360网站工程师详细讲解DDoS攻击和防御
当地时间上周五,巴西世界杯官网遭到黑客DDoS攻击,导致网站服务器宕机数小时。据报道,一个名为“匿名”的黑客团体进行了攻击。360网站安全专家表示,“现在DDoS攻击非常简单,不了解技术的人都可以发动,这已经成为网站最大的安全威胁。”。这种攻击不仅是黑客获取利润、进行商业竞争的方式,也是网络对抗的重要手段。
什么是DDoS攻击?如何防御DDoS攻击?360网站安全专家做了简要介绍。
什么是DDoS攻击?
DDoS攻击,即分布式拒绝服务(DDoS),攻击者试图使目标服务器的磁盘空间、内存、进程、网络带宽等资源被占用,使得普通用户无法访问,就像普通商店一样。有人恶意要求大量人群排队却不买东西,让其他顾客买不到东西。
攻击者进行拒绝服务攻击,实际上使服务器达到两个效果:一是迫使服务器的缓冲区满,无法接收新的请求;二是利用IP欺骗迫使服务器终止合法用户的连接,影响合法用户的连接。
攻击者利用傀儡机(俗称“肉鸡”、病毒木马控制的计算机或服务器)作为攻击平台,通过伪装大量合法请求,占用大量网络资源,从而阻止指定的目标网络或服务。
随着网络攻击技术的发展,攻击者不仅控制计算机,还控制高性能服务器,甚至自愿加入僵尸网络。
匿名发起的DDoS攻击利用了僵尸网络。
DDoS攻击有哪些?
DDoS攻击除了洪水攻击,还会缓慢而坚定地发送请求,长时间占用资源,一点一点蚕食目标。对巴西世界杯的攻击是洪水袭击,导致服务器关闭了几个小时。
从技术上讲,攻击者通常使用几种DDoS攻击:
SYN/ACK Flood攻击:这种攻击方式是最经典也是最有效的DDoS方式,主要是向受害主机发送大量伪造源IP和源端口的SYN或ACK数据包,导致主机缓存资源耗尽或忙于发送相应数据包,造成拒绝服务,可以扼杀各种系统的网络服务。这种攻击很难追踪,因为它的来源是假的。但是攻击难以实施,需要大量高带宽的僵尸主机。TCP全连接攻击:这种攻击是为了绕过常规防火墙的检查而设计的。一般情况下,常规防火墙大部分都是为正常的TCP连接预留的,但是很多网络服务程序可以接受的TCP连接数量是有限的。TCP全连接攻击是指很多僵尸主机不断与受害服务器建立大量TCP连接,直到服务器内存等资源耗尽被拖垮,造成拒绝服务。这种攻击的特点是可以绕过一般防火墙的保护,实现攻击;缺点是需要找到很多僵尸主机,僵尸主机IP暴露,容易被跟踪。
脚本攻击:这种攻击是与服务器建立正常的TCP连接,不断向脚本程序提交消耗大量数据库资源的查询、列表等调用。一般来说,向客户端提交指令的成本和对带宽的占用几乎可以忽略不计,但是服务器可能要从数万条记录中找出某条记录才能处理这个请求,这就消耗了大量的资源。攻击者只需要通过代理向目标服务器提交大量的查询指令,在短短几分钟内就会消耗服务器资源,导致拒绝服务。这种攻击的特点是可以完全绕过常见的防火墙保护,轻松找到一些代理进行攻击;缺点是只处理静态页面的网站效果会大大降低,攻击者的IP地址会暴露出来。
DDoS攻击的目的是什么?
DDoS攻击只有通过控制僵尸电脑才能实现,任何熟悉黑客技术的人都可以低成本对目标发动攻击。所以不仅仅是黑客或者技术人员,普通人也可以雇佣黑客来发动。比如竞争对手,对网站或者组织不满的人,甚至离职的员工或者撕毁合同的合作伙伴。
总之,大部分攻击者通过DDoS攻击是为了敲诈或者竞争,很少是单纯的破坏。攻击巴西,世界杯的组织“匿名者”对巴西的贫困、腐败和警察暴力表示抗议,并发起了DDoS攻击。他们甚至制定了一个名为“进攻世界杯”的计划。
肯定有很多网站说:我的网站小,不会引起攻击者的注意。恐怕这个想法需要改变。一个网站只要建立了,就有可能被攻击。而且由于缺乏专业的保护,小网站更容易被黑客得逞。
站长如何防御DDoS攻击?
虽然不可能完全消除DDoS,但通过适当的措施抵御DDoS攻击是可能的。因为DDoS攻击毕竟是有代价的,如果通过适当的方法增强了抵抗DDoS的能力,就意味着攻击者的攻击成本增加了,那么大部分攻击者将无法继续并放弃,相当于成功抵抗了DDoS攻击。所以站长可以使用360网站卫士等云防护产品进行一键防护。DDoS攻防在攻防博弈中不断更新,需要提前建立完整的安全防御措施。