引言
今天騰訊雲受到ddos攻擊,導致我們項目UIOC了,那麼什麼是ddos呢?
1、ddos攻擊介紹:
ddos,全稱Distributed Denial of Service,中文意思爲“分佈式拒絕服務”,就是利用大量合法的分佈式服務器對目標發送請求,從而導致正常合法用戶無法獲得服務。通俗點講就是利用網絡節點資源如:IDC服務器、個人PC、手機、智能設備、打印機、攝像頭等對目標發起大量攻擊請求,從而導致服務器擁塞而無法對外提供正常服務,只能宣佈game over,詳細描述如下圖所示:
DDoS攻擊示意圖
2、ddos的攻擊的特點:
1)、DDoS簡單粗暴,可以達到直接摧毀目標的目的。
2)、DDoS的技術要求和發動攻擊的成本很低,只需要購買部分服務器權限或控制一批肉雞即可,而且攻擊相應速度很快,攻擊效果可視。
3)、DDoS具有攻擊易防守難的特徵,服務提供商爲了保證正常客戶的需求需要耗費大量的資源才能和攻擊發起方進行對抗。
4)、DDoS雖然可以侵蝕帶寬或資源,迫使服務中斷。
3、ddos的攻擊方式
一種服務需要面向大衆就需要提供用戶訪問接口,這些接口恰恰就給了黑客有可乘之機,如:可以利用TCP/IP協議握手缺陷消耗服務端的鏈接資源,可以利用UDP協議無狀態的機制僞造大量的UDP數據包阻塞通信信道。
DDoS攻擊方式分爲以下幾類:
a)資源消耗類攻擊
資源消耗類是比較典型的DDoS攻擊,最具代表性的包括:Syn Flood、Ack Flood、UDP
Flood。通過大量請求消耗正常的帶寬和協議棧處理資源的能力,從而達到服務端無法正常工作的目的。
b)服務消耗性攻擊
相比資源消耗類攻擊,服務消耗類攻擊不需要太大的流量,它主要是針對服務的特點進行精確定點打擊,如web的CC,數據服務的檢索,文件服務的下載等。這類攻擊往往不是爲了擁塞流量通道或協議處理通道,它們是讓服務端始終處理高消耗型的業務的忙碌狀態,進而無法對正常業務進行響應,詳細示意圖如下:
c)反射類攻擊
反射攻擊也叫放大攻擊,該類攻擊以UDP協議爲主,一般請求迴應的流量遠遠大於請求本身流量的大小。攻擊者通過流量被放大的特點以較小的流量帶寬就可以製造出大規模的流量源,從而對目標發起攻擊。反射類攻擊嚴格意義上來說不算是攻擊的一種,它只是利用某些服務的業務特徵來實現用更小的代價發動Flood攻擊,詳細示意圖如下:
d)混合型攻擊
混合型攻擊是結合上述幾種攻擊類型,並在攻擊過程中進行探測選擇最佳的攻擊方式。混合型攻擊往往伴隨這資源消耗和服務消耗兩種攻擊類型特徵。
4、DDoS防護手段
DDoS的防護系統本質上是一個基於資源較量和規則過濾的智能化系統,主要的防禦手段和策略包括:
a)資源隔離
資源隔離可以看作是用戶服務的一堵防護盾,這套防護系統擁有無比強大的數據和流量處理能力,爲用戶過濾異常的流量和請求。如:針對Syn Flood,防護盾會響應Syn Cookie或Syn Reset認證,通過對數據源的認證,過濾僞造源數據包或發功攻擊的攻擊,保護服務端不受惡意連接的侵蝕。資源隔離系統主要針對ISO模型的第三層和第四層進行防護。資源隔離示意圖如下:
資源隔離示意圖
b)用戶規則
從服務的角度來說DDoS防護本質上是一場以用戶爲主體依賴抗D防護系統與黑客進行較量的戰爭,在整個數據對抗的過程中服務提供者往往具有絕對的主動權,用戶可以基於抗D系統特定的規則,如:流量類型、請求頻率、數據包特徵、正常業務之間的延時間隔等。基於這些規則用戶可以在滿足正常服務本身的前提下更好地對抗七層類的DDoS,並減少服務端的資源開銷。詳細示意圖如下:
用戶規則清洗
c)大數據智能分析
黑客爲了構造大量的數據流,往往需要通過特定的工具來構造請求數據,這些數據包不具有正常用戶的一些行爲和特徵。爲了對抗這種攻擊,可以基於對海量數據進行分析,進而對合法用戶進行模型化,並利用這些指紋特徵,如:Http模型特徵、數據來源、請求源等,有效地對請求源進行白名單過濾,從而實現對DDoS流量的精確清洗。
指紋過濾清洗
d)資源對抗
資源對抗也叫“死扛”,即通過大量服務器和帶寬資源的堆砌達到從容應對DDoS流量的效果
作者:網易雲社區
鏈接:https://www.jianshu.com/p/e7a5fdc67b8f
來源:簡書
著作權歸作者所有。商業轉載請聯繫作者獲得授權,非商業轉載請註明出處。