DDoS攻击方法和原理

什么是DDoS攻击？

分布式拒绝服务（DDoS）攻击是通过大量Internet流量淹没目标或周围基础结构的恶意尝试，目的是破坏目标服务器，服务或网络的正常流量. DDoS攻击通过使用多个受损的计算机系统作为攻击流量的来源来实现有效性. 所使用的机器可以包括计算机和其他网络资源，例如物联网设备. 从高层次来看，DDoS攻击就像是堵车阻塞了高速公路，从而阻止了常规流量到达其期望的目的地.

DDoS攻击如何起作用？

DDoS攻击要求攻击者控制计算机网络进行攻击. 计算机和其他计算机（例如IoT设备）感染了恶意软件，从而将每台计算机变成机器人（或僵尸）. 然后，攻击者可以远程控制被称为“僵尸网络”的僵尸网络.

一旦建立了僵尸网络，攻击者就可以通过远程控制方法向每个机器人发送更新的指令，以指导机器. 当受害人的IP地址被僵尸网络作为目标时，每个僵尸程序将通过向目标发送请求来做出响应，这可能导致目标服务器或网络出现容量溢出的情况，从而导致拒绝正常流量的服务. 由于每个机器人都是合法的Internet设备，因此可能很难将攻击流量与正常流量分开.

DDoS攻击的常见类型是什么？

不同的DDoS攻击媒介针对网络连接的不同组件. 为了了解不同的DDoS攻击如何工作，有必要知道如何建立网络连接. Internet上的网络连接由许多不同的组件或“层”组成. 就像从头开始建造房屋一样攻击方式，模型中的每个步骤都有不同的用途. 如下所示，OSI模型是一个概念框架，用于描述7个不同层上的网络连接

尽管几乎所有DDoS攻击都涉及压倒性的目标设备或网络流量，但攻击可以分为三类. 攻击者可以使用一个或多个不同的攻击媒介，也可以根据目标采取的对策来循环攻击媒介.

应用层攻击

攻击目标:

有时称为第7层DDoS攻击（请参阅OSI模型的第7层）. 这些攻击的目的是耗尽目标的资源. 攻击的目的是在服务器上生成网页，并将其传递以响应HTTP请求. 在客户端上执行单个HTTP请求很便宜，而响应目标服务器可能很昂贵，因为服务器通常必须加载多个文件并运行查询才能创建网页. 由于难以将流量标记为恶意攻击，因此难以防御7层攻击.

应用层攻击示例: HTTP Flood

此攻击类似于同时在多台不同计算机上的Web浏览器中反复按下刷新按钮-大量HTTP请求泛洪服务器，从而导致拒绝服务.

这种类型的攻击从简单到复杂. 一个更简单的实现可以使用相同范围的攻击IP地址，引荐来源网址和用户代理访问URL. 复杂版本可能使用大量令人反感的IP地址，并使用随机引用和用户代理来定位随机URL.

协议攻击

攻击目标:

协议攻击（也称为状态耗尽攻击）通过消耗中间资源（例如Web应用程序服务器或防火墙和负载平衡器）的所有可用状态表容量来引起服务中断. 协议攻击利用协议栈的第3层和第4层中的弱点使目标无法访问.

协议攻击示例:

SYN Flood

SYN Flood与供应室的工作人员相似，他们从商店的前台接收请求. 工作人员收到了请求，去拿了包裹，然后等待确认再取出包裹. 然后，工作人员在没有确认的情况下收到更多包裹请求，直到他们无法携带更多包裹，不知所措，并且请求开始被答复为止.

此攻击通过向目标发送大量带有欺骗性源IP地址的TCP“初始连接请求” SYN数据包来利用TCP握手. 目标计算机响应每个连接请求，然后等待握手的最后一步. 此步骤从未发生过，耗尽了过程中的目标资源.

批量攻击

攻击目标:

这种类型的攻击尝试通过消耗目标与较大Internet之间的所有可用带宽来造成拥塞. 通过使用放大形式或其他方式来创建大量流量（例如来自僵尸网络的请求），将大量数据发送到目标.

放大示例:

DNS放大

DNS放大就像有人打电话给餐厅说: “我拥有的所有东西，请给我打电话并告诉我我的整个订单，”他们回叫的电话号码是针对数量. 只需很少的努力，就能产生长的响应.

通过将请求发送到具有伪造IP地址（目标的真实IP地址）的开放式DNS服务器，目标IP地址将收到来自服务器的响应. 攻击者构造请求，以便DNS服务器以大量数据响应目标. 结果，目标收到了攻击者初始查询的放大信息.

缓解DDoS攻击的过程是什么？

缓解DDoS攻击的关键问题是区分攻击和正常流量. 例如，如果该公司的产品发布网站被热切的客户所淹没，那么切断所有流量是错误的. 如果该公司突然发现已知不良行为者带来的流量激增，则可能需要做出努力以减轻攻击. 困难之处在于，它会将真正的客户与攻击流量区分开.

在现代Internet中，DDoS流​​量采用多种形式. 从欺骗到复杂的自适应多矢量攻击，设计的流量都可以从单一来源受到攻击. 多向量DDoS攻击使用多种攻击路径以不同方式淹没目标，并且可能分散任何一条轨迹上的缓解措施. 多协议DDoS的示例包括对DNS放大（目标层3/4）与HTTP泛洪（目标层7）的结合，对协议堆栈多层的同时攻击.

缓解多矢量DDoS攻击需要多种策略来应对不同的发展轨迹. 通常，攻击越复杂，流量与正常流量的分离就越困难-攻击者的目标是尽可能多地混合以降低缓解效率. 涉及不加选择地丢弃或限制流量的缓解尝试可能会带来良好的流量，并且还可以对攻击进行修改并使其适应对策. 为了克服复杂的销毁尝试，分层解决方案将带来最大的收益.

黑洞布线

几乎所有网络管理员都可以使用的解决方案是创建黑洞路由并将流量聚合到该路由中. 以最简单的形式，当在没有特定限制的情况下实施黑洞过滤时，合法和恶意的网络流量都会被路由到空路由或黑洞，并从网络中丢弃. 如果Internet属性遇到DDoS攻击，则该属性的Internet服务提供商（ISP）可能会将所有站点的流量发送到黑洞作为防御.

速度限制

限制服务器在特定时间范围内接受的请求数也是减轻拒绝服务攻击的一种方法. 尽管速率限制有助于减慢Web爬虫窃取内容的速度并减少强大的登录尝试，但可能不足以有效地处理复杂的DDoS攻击. 但是，速率限制是有效的DDoS缓解策略中的有用组成部分. 了解Cloudflare的速率限制

Web应用程序防火墙

Web应用程序防火墙（WAF）是一种工具，可以帮助缓解第7层DDoS攻击. 通过将WAF放在Internet和源服务器之间攻击方式，WAF可以充当反向代理，并保护目标服务器免受某些类型的恶意流量的侵害. 通过基于用于标识DDoS工具的一系列规则过滤请求，可以防止第7层攻击. 有效的WAF的关键价值在于能够快速实施自定义规则以应对攻击. 了解Cloudflare的WAF

Anycast网络激增

此缓解方法使用Anycast网络将攻击流量分配到分布式服务器网络，直到网络吸收流量为止. 正如将快速河流引入不同的较小渠道一样，此方法可以将分布式攻击流量的影响扩展到可管理的水平，从而散布任何破坏性功能.

Anycast网络缓解DDoS攻击的可靠性取决于攻击的大小以及网络的规模和效率. Cloudflare实施的DDoS缓解措施的重要组成部分是使用Anycast分布式网络. Cloudflare具有15 Tbps的网络，比记录的最大DDoS攻击大一个数量级.

如果您当前正受到攻击，则可以采取措施摆脱压力. 如果您已经在使用Cloudflare，则可以按照以下步骤减轻攻击. 我们在Cloudflare实施的DDoS防护是多方面的，可减轻许多可能的攻击媒介. 了解有关Cloudflare DDoS保护及其工作原理的更多信息.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-168542-1.html