D分布式拒绝服务攻击,CC attacks

分布式拒绝服务攻击 (DDoS) 的定义

  分布式拒绝服务攻击(DDoS)是一种能够使互联网用户服务不可用的恶意攻击。通常会暂时中断或暂停托管服务器的服务。 DDoS每秒点击次数 DDoS攻击来自许多被感染的装置,具有全球分布的特点,被称为僵尸网络。它与其他拒绝服务(DoS)攻击有所不同,它使用单一互联网装置(一个网络连接)发送恶意流量攻击目标。这些细微的差别是这两者存在的主要原因,也使他们的定义有所不同。
“这是对我们分布式拒绝服务(DDoS)党的总结:Escapist杂志,星战前夜,我的世界,英雄联盟,8个电话请求。” LulzSec的推文 – 2011年6月14日,11:07PM

总体而言,DoS和 DDoS攻击可以分为三种类型

基于流量的攻击

包括UDP 洪水、ICMP 洪水和其他伪造数据包洪水。攻击目标是使被攻击站点的带宽达到饱和,其大小量级以每秒位数(Bps)为单位进行衡量。

协议攻击

包括SYN 洪水、碎片包(fragmented packet)攻击、死亡之Ping、 Smurf DDoS等。此类攻击消耗实际的服务器资源或中间通信设备(如防火墙、负载均衡器)的资源,并以每秒数据包数(Pps)为单位进行衡量。

应用层攻击

包括低速和慢速攻击,GET/POST 洪水,目标针对Apache、Windows 或OpenBSD等漏洞进行攻击。这些攻击由貌似合法且并无恶意的请求组成,目标是破坏网站服务器,其量级由每秒请求数(Rps)进行衡量。

常见的DDoS攻击类型

一些最常见的DDoS攻击类型包括: UDP 洪水

从定义上看,UDP 洪水是指那些针对拥有使用者数据包通讯协议(UDP) 的目标进行 DDoS淹没式攻击。攻击的目标是一个远程主机的随机端口。这将导致主机不断重复检查该端口的应用监听,并(当没有发现应用时)做出ICMP”目标不可达”数据包的回应。这个过程会耗尽主机资源,最终导致主机不可访问。

ICMP (Ping) 洪水

ICMP 洪水攻击的原理与UDP 洪水攻击类似,通过ICMP 回应请求 (ping) 包大量消耗目标资源,通常在不等待回应的情况下尽快发送这种请求包。此类攻击会消耗目标的进出带宽,受害服务器通常会试图通过 ICMP Echo Reply包做出回应,导致整个系统运行速度大幅降低。

SYN 洪水

SYN 洪水 DDoS攻击利用TCP关联序列(“三段式交握”)的已知弱点,其中用于发起与主机的TCP连接的SYN请求必须由来自该主机的SYN-ACK响应来应答,然后由来自请求者的ACK响应来确认。在SYN 泛滥的情形下,请求者发出多个SYN请求,但是不对主机的SYN-ACK应答做出响应,或从一个伪造的IP地址发送SYN请求。无论是哪种情况,主机系统持续等待每个请求的确认,绑定这些资源,直到无法进行新的连接,并最终导致拒绝服务。

死亡之Ping

死亡之ping (“POD”)攻击是指攻击者向一台计算机发送多个畸形或恶意的pings。IP包的最大长度(包括header)为65,535字节。然而,数据链路层(Data Link Layer)通常设定了最大帧尺寸,例如,以太网的最大值为1500字节。在这种情况下,一个大的IP数据包被分割成多个IP数据包(称为碎片),而接受主机将这些IP碎片重新组装成一个完整的包。”死亡之ping”肆虐时,恶意操纵碎片内容后,进行组装时,接受者最终得到一个超过65,535字节的包。这可能会溢出分配给该包的内存缓冲区,造成合法包拒绝服务。

Slowloris

Slowloris是一种具有高度针对性的攻击,可使一个Web服务器攻击另一个服务器,而不影响目标网络的其他服务或端口。Slowloris通过尽可能长时间打开目标Web服务器的连接,创建与目标服务器的连接实现攻击,但仅仅发出部分请求。Slowloris 持续发出越来越多的 HTTP headers,但从不完成一个请求。目标服务器始终对这些虚假连接开放。这种攻击最终导致最大并发连接池饱和,使来自合法客户端的额外连接遭到拒绝。

NTP 放大

实施”NTP 放大”攻击时,攻击者利用可公开访问的网络定时协议(NTP)服务器,通过UDP流量对目标服务器进行饱和攻击。之所以将这个攻击定义为放大攻击,是因为这种情形下的任何地方,请求-回应比率是在1:20和1:200之间,或更大。这意味着任何获得开放NTP服务器列表的攻击者(例如:利用开放NTP项目的Metasploit或数据等工具)能够轻易地发起一个毁灭性的、高带宽、高流量的DDoS攻击。

HTTP 洪水

实施HTTP 洪水 DDoS攻击时,攻击者利用貌似合法的 HTTP GET 或 POST 请求对Web服务器或应用程序进行攻击。HTTP 洪水并不使用畸形包、欺骗或反射技术,针对网站或服务器进行破坏时,比其他攻击手段占用的带宽要小得多。当其强制服务器或应用程序对每个回应分配尽可能多的资源时,攻击是最有效的。

 HTTP 洪水--来自180,000个僵尸网络的IPs的690,000,000 个DDoS请求。 Incapsula可减轻巨大的HTTP 洪水:来自180,000个僵尸网络的IPs的690,000,000个 DDoS请求。 零日 DDoS攻击

“零日”的定义涵盖所有未知或新型的攻击,主要针对那些存在漏洞但尚未发布补丁的目标。这个术语在黑客圈中是众所周知的,而零日漏洞的交易目前在圈中相对普遍。

DDoS 攻击背后的动机

根据最近的市场调查,DDoS攻击正在成为最普遍的网络威胁,在过去一年中数量迅猛增长。其发展趋势是攻击周期更短,而每秒分组攻击量更大。 攻击者主要有以下动机:
  • ” 意识形态 — 所谓的”黑客行为主义分子”利用 DDoS 作为手段,对那些与其意识形态不同的网站进行攻击。
  • ” 商业纠纷–企业可以通过DDoS 攻击战略性破坏竞争对手的网站。例如:阻止他们参加重大活动,如网络星期一。
  • ” 无聊 — 网络破坏分子,又名”脚本小子”,利用事先写好的脚本发起 DDoS 攻击。这些攻击的发起者通常很无聊,喜欢以黑客的身份来发泄他们的肾上腺素。
  • ” 勒索 –攻击者利用DDoS攻击或 DDoS 攻击的威胁,作为从目标处勒索钱财的手段。
  • ” 网络战–政府授权 的DDoS攻击用于破坏敌对网站和敌对国家的基础设施。
入门级的DDoS攻击工具LOIC (低轨道离子炮) LOIC (低轨道离子炮):网站破坏者所使用的一种”入门级”的DoS 攻击工具

Incapsula 降低DDoS 攻击损害的解决方案

Incapsula 可针对三种类型的 DDoS 攻击,提供无缝、全面的保护方案,制定独特的工具箱和防卫策略解决每个问题:
基于流量的攻击Incapsula通过利用全球洗涤中心网络应对这些攻击,根据需要可以应对数千兆字节 的DDoS 攻击。
协议攻击Incapsula可在攻击到达网站之前阻止此类”毒”流的攻击,利用访客识别技术区分合法网站访问者(人、搜索引擎等)、自动或恶意客户。
应用层攻击Incapsula 通过监视访客行为,阻止已知的恶意机器人来缓解这种应用层攻击,并通过JS 测试、Cookie挑战甚至CAPTCHAs来应对可疑的或无法识别的实体。
Incapsula mitigates a 250GBps DDoS attack—one of Internet's largest Incapsula 缓解250GBps的 DDoS 攻击–互联网最大的攻击之一。
在所有这些情况下,Incapsula在您的网络外围应用其DDoS 防护解决方案,这意味着,只有被过滤的流量才会到达您的主机。另外,Incapsula积累了大量的DDoS威胁知识库,包括新型的和正在出现的攻击方法。这些不断更新的信息在我们的整个网络中得到整合、汇总–识别新出现的威胁,探测已知的恶意用户,并对受到其保护的网站实时应用补救措施。