几十年来,分布式拒绝服务(DDoS)攻击一直是犯罪工具箱的一部分,而且它们只会变得越来越普遍和强大。
什么是DDoS攻击?
分布式拒绝服务(DDoS)攻击是指攻击者试图使数字服务无法交付。这可能是向web服务器发送了如此多的请求来提供一个页面,以至于它在需求下崩溃,也可能是数据库被大量查询击中。结果是可用的互联网带宽、CPU和RAM容量不堪重负。
DDoS攻击的影响可能从轻微的烦恼到整个企业下线。在使用了20多年后,DDoS攻击不断增长和发展。Netscaut报告称,仅在2023年,它就观察到超过1300万次DDoS攻击。
什么是DoS
拒绝服务(DoS)听起来是这样的:阻止对从服务器、设备和服务到网络、应用程序甚至应用程序内特定事务的几乎任何访问。
DoS和DDoS有什么区别?
DoS和DDoS之间的区别在于规模。在这两种情况下,目标都是通过超出系统处理能力的数据请求使目标系统脱机,但在DoS攻击中,一个系统发送恶意数据或请求,而DDoS攻击来自多个系统。
分布式攻击造成的损害可能比来自单一机器的攻击大得多,因为防御公司需要阻止大量的IP地址。
DDoS攻击背后的共同动机
作为一种攻击手段,DDoS是一种钝器。与渗透不同,DDoS不会将攻击者的任何私人数据或对目标基础设施的任何控制都网起来。它只是让基础设施离线。但在一个几乎任何企业都必须拥有网络存在的世界里,DDoS攻击可能是一种破坏性武器。
DDoS攻击背后有四个主要动机:
让竞争对手离线:Mirai僵尸网络用于对DNS提供商Dyn的DDoS攻击,被设计为Minecraft服务器提供商之间战争的武器。如今,游戏行业仍然是DDoS攻击的主要目标。正如Netscaut在其最新的DDoS威胁情报报告中所指出的那样:“攻击游戏行业的吸引力在于其巨大的财务价值和扰乱竞争对手的目标。”
地缘政治:Netscaut指出,出于政治动机的团体“越来越多地将DDoS用作针对意识形态上反对他们的人的工具”。例如,在秘鲁,DDoS攻击在12月全国抗议活动后激增。此外,据Netscaut称,DDoS组织正在“执行无缝跨越国界的攻击”。例如,亲俄黑客组织NoName057(16)不仅针对乌克兰,还针对支持乌克兰的国家。
经济收益:虽然DDoS攻击不是勒索软件攻击,但DDoS攻击者有时会联系受害者,承诺关闭数据包的消防水带以换取比特币。或者,DDoS攻击者可能会从想要破坏您网站的人那里获得经济激励。暗网上有一种名为booters和stressers的工具,它们本质上为感兴趣的客户提供DDoS-as-a-service服务,只需点击按钮即可访问现成的僵尸网络,而且需要付费。
作为一种转移:DDoS攻击也可以被用作一种转移注意力的方式,以保持组织有限的事件响应资源的参与,同时在基础设施的另一部分进行不同的、更隐蔽的攻击。这可能会导致发现其他妥协的延迟。例如,网上银行服务可能会受到DDoS攻击,以阻止用户访问账户,从而延迟他们注意到资金已从这些账户中转出。
DDoS攻击是如何运作的?
DDoS僵尸网络是任何DDoS攻击的核心。僵尸网络由数百或数千台被称为僵尸机器人的机器组成,恶意黑客可以控制这些机器。攻击者通过识别易受攻击的系统来获取这些系统,这些系统可以通过钓鱼攻击、恶意广告攻击和其他大规模感染技术感染恶意软件。受感染的机器范围从普通的家庭或办公室PC到物联网设备——著名的Mirai僵尸网络组织了一支被黑客入侵的闭路电视摄像头大军——它们的主人几乎肯定不知道它们已经被入侵,因为它们在大多数方面都能正常运行。
受感染的机器等待来自命令和控制服务器的远程命令,该服务器用于发起和控制攻击,并且通常本身就是一台被黑客攻击的机器。一旦释放,机器人就会尝试访问受害者在线可用的资源或服务。单独来看,每个机器人引导的流量都是无害的。但是,由于机器人数量太多,请求往往会超出目标系统的容量——而且由于机器人通常是分布在互联网上的普通计算机,在不切断合法用户的情况下,很难或不可能阻止它们的流量。
DDoS攻击的类型
DDoS攻击主要有三类,主要区别在于它们对受害者系统的流量类型:
1.基于流量的攻击使用大量虚假流量来淹没网站或服务器等资源。它们包括ICMP、UDP和欺骗性数据包洪水攻击。基于卷的攻击的大小以比特每秒(bps)为单位进行测量。
2.协议或网络层攻击向目标网络基础设施和基础设施管理工具发送大量数据包。这些协议攻击包括SYN洪水和Smurf DDoS等,其大小以每秒数据包(PPS)为单位进行测量。
3.应用层攻击是通过向应用程序(如通过HTTP/S的web应用程序)中注入恶意构建的请求来进行的。应用层攻击的大小以每秒请求数(RPS)来衡量。
DDoS攻击中使用的技术
所有类型的DDoS攻击的常见技术包括:
欺骗:当攻击者更改或混淆IP数据包报头中的信息以指示不同的源IP地址时,他们会“欺骗”IP数据包。因为受害者看不到数据包的真实来源,所以无法阻止来自该来源的攻击。
反思:攻击者可能会将目标受害者的IP地址用作发送给第三方系统的数据包中的源IP地址,然后第三方将回复受害者。这使得受害者更难理解攻击的来源。
放大:这是反射的扩展,其中第三方系统发送给受害者的响应数据包的大小大于触发响应的攻击者的数据包。这利用了DNS、NTP和SSDP等协议中的某些功能,使攻击者能够利用互联网上的开放服务器来放大他们可以产生的流量。
这三种技术可以组合成所谓的反射或放大DDoS攻击,这种攻击越来越常见。
如何识别DDoS攻击
DDoS攻击很难诊断。毕竟,这些攻击表面上类似于来自合法用户合法请求的大量流量。但是,有一些方法可以区分人工流量和DDoS攻击,以及你期望从真实用户那里获得的更“自然”的流量。
需要注意的DDoS攻击症状:
尽管采用了欺骗或分发技术,但许多DDoS攻击将来自有限的IP地址范围或单个国家或地区——也许是一个你通常看不到太多流量的地区。
同样,您可能会注意到,所有流量都来自同一种客户端,其HTTP请求中显示的是相同的操作系统和web浏览器,而不是您期望的真实访问者的多样性。
流量可能会在单个服务器、网络端口或网页上流失,而不是在您的网站上均匀分布。
交通可能会定期出现波浪或模式。
如何阻止DDoS攻击
缓解DDoS攻击是困难的,因为如前所述,一些攻击的形式与合法访问者产生的网络流量相同。只需阻止所有HTTP请求,就很容易“阻止”对您网站的DDoS攻击,事实上,这样做可能是防止服务器崩溃所必需的。但这样做也会阻止其他人访问你的网站,这意味着你的攻击者已经实现了他们的目标。
如果你能像上一节所述的那样将DDoS流量与合法流量区分开来,这可以帮助减轻攻击,同时至少部分保持服务在线:例如,如果你知道攻击流量来自东欧,你可以阻止来自该地理区域的IP地址。一个好的预防技术是关闭任何你不使用的公开服务。可以关闭可能易受应用层攻击的服务,而不会影响您提供网页的能力。
不过,一般来说,抵御DDoS攻击的最佳方法就是能够承受大量的入站流量。根据您的情况,这可能意味着加强您自己的网络,或使用内容交付网络(CDN),这是一种旨在容纳大量流量并具有内置DDoS防御的服务。
您的网络服务提供商可能有自己的缓解服务可供您使用,但2024年观察到的一项新策略是将攻击控制在ISP的自动流量过滤解决方案启动的阈值以下。即使是较小的DDoS攻击也会使不适合处理大量流量的应用程序停机,例如出于远程管理目的而暴露在互联网上的工业设备。
DDoS是非法的吗?
是的,DDoS是非法的。美国、英国和其他地方的大多数反网络犯罪法律都相当宽泛,将任何损害计算机或在线服务运行的行为定为犯罪,而不是指定特定的技术。此外,侵入计算机使其成为僵尸网络的一部分的行为本身就是非法的。
你可能会看到这样的反驳:通过互联网向服务器发送网络流量或请求并不违法,因此DDoS攻击(只是聚合了大量的网络流量)不能被视为犯罪。然而,这是对法律的根本误解。
然而,在目标组织同意的情况下模拟DDoS攻击以对其网络进行压力测试是合法的。
DDoS攻击示例
2024年10月:Cloudflare报告缓解了一次峰值为3.8Tbps的网络层DDoS攻击,使其成为迄今为止报告的最大DDoS攻击。
2024年3月:一群与俄罗斯结盟的黑客行动主义者通过一系列DDoS攻击扰乱了法国政府的几项服务。
2022年6月:谷歌破坏了迄今为止最大的DDoS攻击,在几分钟内达到每秒4600万次请求。
2021年11月:微软Azure成为DDoS攻击的目标,峰值为3.47Tbps。
2020年2月:亚马逊网络服务缓解了一次峰值为2.3Tbps的攻击。
2018年3月:GitHub成为1.3Tbps DDoS攻击的目标。
2016年10月:DNS提供商Dyn遭受DDoS攻击,导致美国东海岸大部分地区的互联网接入中断,几乎瘫痪。这仍然是有史以来最臭名昭著的DDoS攻击之一。
2014年3月:项目管理软件提供商Basecamp在拒绝支付赎金后被DDoS攻击下线。
2004年2月:一次著名的DDoS攻击导致上合组织网站下线。当时,该公司经常出现在新闻中,因为它声称拥有Linux的权利,导致人们猜测开源倡导者应对此次攻击负责。
