网络安全之DDos攻击

  • Post author:
  • Post category:其他


一.DDoS 攻击究竟是什么?

DDoS 攻击,全称是 Distributed Denial of Service,翻译成中文就是

分布式拒绝服务。

一般来说是指攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求,大规模消耗目标网站的主机资源,让它无法正常服务。在线游戏、互联网金融等领域是 DDoS 攻击的高发行业。

例如:

我开了一家有

五十个座位

的重庆火锅店,由于用料上等,童叟无欺。平时门庭若市,生意特别红火,而对面二狗家的火锅店却无人问津。二狗为了对付我,想了一个办法,叫了

五十个人

来我的火锅店坐着却不点菜,让别的客人没法吃饭。

二.DDoS 攻击多少G是什么意思?

经常有人说,被攻击了,有50G流量,那多少G到底啥意思?

G指的就是带宽和流量了。例如你去访问百度,百度需要将它的页面发给你,这个页面可能有几百字节而已,但要是一直访问,百度就需要一直发送几百字节的页面给你。

一台肉鸡,10M带宽,可以不断访问直到带宽满了,那将消耗百度服务器10M的下行流量。像一般服务器对外有100M带宽,10台肉鸡就可以将网站带宽占满,正常的访问无法进入。

像IDC查询出口带宽的流量就行。如果是Linux服务器,使用

ifconfig

命令即可查询上行和下行的流量。

二.DDoS攻击种类



1.ICMP Flood

ICMP(Internet控制报文协议)用于在IP主机、路由器之间传递控制消息,控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息,虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。

通过对目标系统发送海量数据包,就可以令目标主机瘫痪,如果大量发送就成了洪水攻击。



2.UDP Flood

UDP协议是一种无连接的服务,在UDP Flood 中,攻击者通常发送大量伪造源IP地址的小UDP包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。

100k bps的UDP Flood经常将线路上的骨干设备例如防火墙打瘫,造成整个网段的瘫痪。上述传统的流量型攻击方式技术含量较低,伤人一千自损八百,攻击效果通常依赖受控主机本身的网络性能,而且容易被查到攻击源头,单独使用的情况已不常见。于是,具有四两拔千斤效果的反射型放大攻击就出现了。



3.NTP Flood

NTP是标准的基于UDP协议传输的网络时间同步协议,由于UDP协议的无连接性,方便伪造源地址。攻击者使用特殊的数据包,也就是IP地址指向作为反射器的服务器,源IP地址被伪造成攻击目标的IP,反射器接收到数据包时就被骗了,会将响应数据发送给被攻击目标,耗尽目标网络的带宽资源。

一般的NTP服务器都有很大的带宽,攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器,就可给目标服务器带来几百上千Mbps的攻击流量。因此,“问-答”方式的协议都可以被反射型攻击利用,将质询数据包的地址伪造为攻击目标地址,应答的数据包就会都被发送至目标,一旦协议具有递归效果,流量就被显著放大了,堪称一种“借刀杀人”的流量型攻击。



4.SYN Flood

这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

建立TCP连接,需要三次握手——客户端发送SYN报文,服务端收到请求并返回报文表示接受,客户端也返回确认,完成连接。SYN Flood 就是用户向服务器发送报文后突然死机或掉线,那么服务器在发出应答报文后就无法收到客户端的确认报文(第三次握手无法完成),这时服务器端一般会重试并等待一段时间后再丢弃这个未完成的连接。

一个用户出现异常导致服务器的一个线程等待一会儿并不是大问题,但恶意攻击者大量模拟这种情况,服务器端为了维护数以万计的半连接而消耗非常多的资源,结果往往是无暇理睬客户的正常请求,甚至崩溃。从正常客户的角度看来,网站失去了响应,无法访问。



5.CC 攻击

CC攻击是目前应用层攻击的主要手段之一,借助代理服务器生成指向目标系统的合法请求,实现伪装和DDoS。

我们都有这样的体验,访问一个静态页面,即使人多也不需要太长时间,但如果在高峰期访问论坛、贴吧等,那就很慢了,因为服务器系统需要到数据库中判断访问者否有读帖、发言等权限。访问的人越多,论坛的页面越多,数据库压力就越大,被访问的频率也越高,占用的系统资源也就相当可观。

CC攻击就充分利用了这个特点,模拟多个正常用户不停地访问如论坛这些需要大量数据操作的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的请求,网络拥塞,正常访问被中止。这种攻击技术性含量高,见不到真实源IP,见不到特别大的异常流量,但服务器就是无法进行正常连接。

之所以选择代理服务器是因为代理可以有效地隐藏自己的身份,也可以绕开防火墙,因为基本上所有的防火墙都会检测并发的TCP/IP连接数目,超过一定数目一定频率就会被认为是Connection-Flood。

当然也可以使用肉鸡来发动CC攻击,攻击者使用CC攻击软件控制大量肉鸡发动攻击,肉鸡可以模拟正常用户访问网站的请求伪造成合法数据包,相比前者来说更难防御。CC攻击是针对Web服务在第七层协议发起的攻击,在越上层协议上发动DDoS攻击越难以防御,上层协议与业务关联愈加紧密,防御系统面临的情况也会更复杂。

比如CC攻击中最重要的方式之一HTTP Flood,不仅会直接导致被攻击的Web前端响应缓慢,对承载的业务造成致命的影响,还可能会引起连锁反应,间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务。

由于CC攻击成本低、威力大,知道创宇安全专家组发现80%的DDoS攻击都是CC攻击。带宽资源严重被消耗,网站瘫痪;CPU、内存利用率飙升,主机瘫痪;瞬间快速打击,无法快速响应。



6.DNS Query Flood

DNS作为互联网的核心服务之一,自然也是DDoS攻击的一大主要目标。

DNS Query Flood采用的方法是操纵大量傀儡机器,向目标服务器发送大量的域名解析请求。服务器在接收到域名解析请求时,首先会在服务器上查找是否有对应的缓存,若查找不到且该域名无法直接解析时,便向其上层DNS服务器递归查询域名信息。

通常,攻击者请求解析的域名是随机生成或者是网络上根本不存在的域名,由于在本地无法查到对应的结果,服务器必须使用递归查询向上层域名服务器提交解析请求,引起连锁反应。解析过程给服务器带来很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

根据微软的统计数据,一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求,足以使一台硬件配置极高的DNS服务器瘫痪,由此可见DNS服务器的脆弱性。



7.混合攻击

在实际情况中,攻击者只求达到打垮对方的目的,发展到现在,高级攻击者已经不倾向使用单一的攻击手段作战了,而是根据目标系统的具体环境灵动组合,发动多种攻击手段,既具备了海量的流量,又利用了协议、系统的缺陷,尽其所能地展开攻势。对于被攻击目标来说,需要面对不同协议、不同资源的分布式的攻击,分析、响应和处理的成本就会大大增加。

三.如何应对 DDoS 攻击?



1.行为:选购

选IDC或者云主机时,要查看是否有临时增加带宽,高防服务,冗余等等。这些信息的了解有助于在遇到攻击时帮助解决一部分问题。



2.行为:检测

购买机器前进行性能测试,定期对业务服务进行测试,要清楚当前结构能抗住多大压力。对于电商网站,双十一就是一次DDOS,清楚抗压多少可以根据这些数据来增加机器进行冗余,做到心中有数。

平时可根据数据来预留综合流量30%的资源,以防突然的小高峰访问而导致服务崩溃。



3.行为:适当

对系统和软件的配置,不能动不动就65535,这会导致很容易就被打垮。如果机器只能支持3000,那就配置3000,这样再多就进不来了,而当前只会慢一些。



4.优化:内核进行优化

内核可以控制tcp协议的一些机制,比如链接超时多久就放弃链接,设置短一些将会少量禁止那些半syn攻击,再比如启用TIME-WAIT状态sockets的快速回收,这样可以应对大并发的流量,一个tcp链接终止后将快速释放。

具体可以查看

内核详细说明



5.优化:web服务器优化

针对WEB服务配置的修改,当前只说明nginx的,可以设置客户端连接保持会话超时时间,超过这个时间,服务器断开这个链接等等,根据性能测试,web服务器的优化将带来更显著的效果。

具体可以查看

nginx详细说明


对于优化前后差别可以查看

优化前后



6.软件:黑名单

面对火锅店里面的流氓,我一怒之下将他们拍照入档,并禁止他们踏入店铺,但是有的时候遇到长得像的人也会禁止他进入店铺。这个就是设置黑名单,此方法秉承的就是“错杀一千,也不放一百”的原则,会封锁正常流量,影响到正常业务。

像nginx里设置最大一个ip并发访问20就禁止,也是不太好的,因为有的公司使用正向代理服务器访问,或者公司就一个出口ip,那一个ip可能一个公司用,何止20并发。

并且如果在服务器上设置黑名单,将会很消耗服务器资源,进来一个链接就比对一次,换成硬件防火墙好一些。



7.配置:CDN加速

我们可以这么理解:为了减少流氓骚扰,我干脆将火锅店开到了线上,承接外卖服务,这样流氓找不到店在哪里,也耍不来流氓了。在现实中,CDN 服务将网站访问流量分配到了各个节点中,这样一方面隐藏网站的真实 IP,另一方面即使遭遇 DDoS 攻击,也可以将流量分散到各个节点中,防止源站崩溃。

同时每个节点都有缓存的静态页面,这样如果攻击方不是随机访问网站多个页面,将能更好的承接攻击。



8.配置:尽量使用静态页面

DDOS是耗尽资源(带宽,服务器的内存,cpu,tcp链接数),如果将首页或者某些页面尽量使用静态的html页面,如果点击某些东西再切换到动态页面,将能更好的承接DDOS攻击,如果首页是动态页面,那每次的解析和查询表单等操作将会很耗费性能。



9.硬件:高防服务器

还是拿我开的重庆火锅店举例,高防服务器就是我给重庆火锅店增加了两名保安,这两名保安可以让保护店铺不受流氓骚扰,并且还会定期在店铺周围巡逻防止流氓骚扰。高防服务器主要是指能独立硬防御 50Gbps 以上的服务器,能够帮助网站拒绝服务攻击,定期扫描网络主节点等,这东西是不,就是贵~



10.硬件:DDoS 清洗

DDos 清洗,就是我发现客人进店几分钟以后,但是一直不点餐,我就把他踢出店里。

DDoS 清洗会对用户请求数据进行实时监控,及时发现DOS攻击等异常流量,在不影响正常业务开展的情况下清洗掉这些异常流量。



11.硬件:提高带宽

现在大多用云,那意味着可以动态扩容,像nginx属于高并发,很多时候并不是内存和cpu满了,而是带宽不够用了。那就可以买带宽来临时提高

如果是真实机,那就没办法了,像idc被攻击就不太好处理,最好是上高防



12.硬件:LSB负载均衡

如果是阿里云,可以在域名的DNS那里填写多个LSB的地址,每个LSB提供5G的流量清洗,这样几个加起来就可以抵御很大的攻击了。将正常访问传给后端服务。