DDoS 攻击是什么?5 招教您保护网站
DDoS 攻击是最常见的网路攻击手法之一,用流量使系统停摆,杀伤力强大。根据统计,DDoS 攻击造成服务中断,让企业平均一分钟损失 6,000 美元。DDoS 攻击究竟是什么呢?为什么会这么可怕?背后运作原理是什么?有什么徵兆?可以如何防御?本文将为您一一解答这些问题。
什么是 DDoS 攻击?
分散式阻断服务(Distributed Denial-of-Service)攻击,一般简称为 DDoS 攻击,是一种网路攻击的手法。以大量流量造成网路阻塞,耗费资源或瘫痪基础设施,进而导致目标电脑、网页或线上服务速度严重下降,或甚至无法照常运作。阻断网页或伺服器提供服务给其他正常的使用者。
DDoS 流量攻击除了造成因服务中断而带来的财务损失、影响公司名声和品牌形象以外,也可能是网路犯罪声东击西的伎俩,趁资安人员忙于应付流量攻击时,窃取敏感资料、植入勒索软体等。或是透过 DDoS 流量攻击来向受害者施加压力。因此做好流量攻击的防御,并留意其徵兆,是资安防护的重要课题。
DDos 攻击原理说明
DDoS 流量攻击可以想像成高速公路被人刻意塞满了自动驾驶、又无目的的赃车。而需要移动的正常驾驶和乘客要不是上不了高速公路,就是卡在车流之间,动弹不得。高速公路也因此无法发挥本来的功用。
发动 DDoS 攻击前,骇客首先会以木马、殭尸病毒等恶意软体感染,并远端控制大量的电脑、行动装置,或其他可连上网的设备(例如:物联网设备)。而这一整群被控制的机器,通常会称为「殭尸网路」或「机器人网路」。DDoS 攻击中的大量流量,就是来自于听命于骇客的殭尸电脑或装置。建立好殭尸网路后,骇客的下一步就是操控殭尸们,对目标的电脑或是伺服器发出请求。所谓的请求,指的是使用者希望电脑系统执行的工作内容,例如:在文字编辑器中输入文字、在电脑中开启应用程式、在网页上点击按钮等,都是送出请求。
一时之间收到大量流量和请求,很可能会造成被攻击的目标系统过载,无法负荷或即时执行请求的内容。轻则处理速度降低,重则整个服务下线。即使殭尸网路已经被骇客挟持,作为犯罪工具,从殭尸网路发出的请求对于系统来说,仍算是来自合法网路装置的流量。因此遭受 DDoS 攻击的目标,也无法在短时间内分辨出正常流量和恶意流量,增加缓解 DDoS 攻击的困难度。
【殭尸网路&DDoS 攻击示意图】
DoS 与 DDoS 一样吗?
DoS(Denial-of-Service)攻击和 DDoS 攻击一样,皆以耗尽网路或系统资源、阻断服务为目的。两者的差别在于 DoS 攻击透过单一电脑进行,并非殭尸网路。也因此和 DDoS 攻击比起来,DoS 攻击的规模和伤害力还要较小,发动攻击所需的时间也较长。同时,DoS 攻击也因为形式较简单,无论是侦测、缓解攻击或追查流量来源都相对容易。DDoS 攻击可以说是 DoS 攻击的全面进阶版。
【Dos 攻击 vs DDoS 攻击示意图】
DoS (Denial-of-Service) 攻击 |
DDoS (Distributed Denial-of-Service) 攻击 |
|
攻击流量来源 |
单一机器 |
大量机器 |
攻击速度 |
慢 |
快 |
是否使用恶意软体 |
否 |
是(木马、殭尸病毒) |
资安威胁 |
较低 |
较高 |
常发生 DDoS 攻击的 5 种产业
发动 DDoS 攻击成本低廉,又可以对目标造成巨大损害,常常被利用来达到勒索钱财、攻击竞争对手、进行抗争运动、展开网路战、宣扬理念或政治意图、恶作剧等目的。目标电脑系统被瘫痪之后,营运中断,除了直接财务损失,更可能进一步衍伸出名誉受损、失去客户信任等问题。以发表宣言为目的的骇客也可以藉 DDoS 攻击博得新闻版面。DDoS 攻击的目标通常有以下共同点:获利高、知名度高、有大量使用者及存有敏感资料。
DDoS 攻击常针对以下产业:
电信和网路业
教育机构产业
游戏业
游戏业获利多,又有大量玩家和玩家个资,产业关注度又高,可以说是 DDoS 攻击最理想的目标。有些游戏玩家甚至会自行修改游戏,或使用拍照工具等第三方工具和外挂作弊软体,也因此造成更多资安漏洞,让骇客有机可趁。
政府及国防国安机构
对政府组织进行 DDoS 攻击,瘫痪敌人运作,在战争中取得优势。随着俄乌战争延烧,来自俄罗斯的 DDoS 攻击事件在一年间成长了 450%。除了对乌克兰国防部发动 DDoS 攻击以外,目标还包含了北约其他成员国的国家基础设施,包含电信、电力、能源、水利、交通、医疗、金融、紧急救助系统等。除此之外,带有政治动机的网路抗议者,也会针对政府组织发动 DDoS 攻击。
【想更进一步瞭解网路攻击如何运作与预防,可以参考《网路攻击》文章。】
DDoS 攻击的常见类型:
DDoS 攻击依照瘫痪系统的方式,可以分为两大类型:频宽消耗型和资源消耗型。
一、频宽消耗型
讨论网路资讯传递时,频宽指的是固定时间之内,可以传输的资料量。频宽消耗型 DDoS 攻击以大量的无效资料,攻击目标的基础设施层,佔用其频宽,排挤其正常的使用者。
UDP 洪水攻击、ICMP 洪水攻击、 DNS / NTP 放大攻击都是常见频宽消耗型 DDoS 攻击,分别利用大量的使用者资料包通讯协定(UDP)封包和网际网路控制讯息协定(ICMP)封包,以及向网域名称系统(DNS)和网路时间协定(NTP)伺服器请求大量封包,以瘫痪目标。
想了解有哪些方式可以协助企业找出资安漏洞?可以参考【弱点扫描是什么】以及【渗透测试是什么】
晟崴小知识:
1. 什么是通讯协定(Protocols)?
两个系统传输资料时,需要遵守相同的规则,通讯协定就是这类规则的统称。可以想像成资讯系统之间的共通语言,两台电脑要说同一个语言才能沟通。
2. 什么是封包(Data Packet)?
用网路传递讯息时,为了减轻系统运作的负担,资料通常被切成一小段一小段,被切割出来的段落即为封包。
二、资源消耗型
资源消耗型 DDoS 攻击则是针对目标伺服器的运算资源,使伺服器无间断重复无效的运算,而无法处理来自正常使用者的请求、提供原本的服务。以攻击目标应用程式层为主,较针对基础设施层的攻击更为复杂。
常见的资源消耗型 DDoS 攻击包含:伪造 TCP 连线的SYN 洪水攻击、针对 IP 的 LAND 攻击、制造大量的 HTTP 封包的 HTTP 洪水攻击、透过大量将无效的访问请求伪装为合法请求的 CC 攻击。
我遇到 DDoS 攻击吗?8 种遭受攻击的徵兆
DDoS 攻击因为难以区分正常请求和恶意请求,不易即时发现。对于一般网路使用者来说,DDoS 攻击可能有以下影响:
- 网站或服务异常缓慢、卡断、频频断线,或是无法读取。
- 垃圾邮件量大幅增加。
- 多次尝试存取网站或服务遭拒。
- 网路(包含有线和无线)异常断线。
但出现以上徵兆不一定代表伺服器受到 DDoS 攻击,发现后,借助流量分析工具,进一步观察是否有更多 DDoS 攻击的徵兆:
- 可疑流量来自单一 IP 位置或特定 IP 范围。
- 对特定页面或特定端点的请求无原因大幅上升。
- 大量的请求有相同的特徵,例如:相同设备类型、地理位址、浏览器类型和版本。
- 流量模式异常,例如:流量大幅增加的时间间隔相同、在非平常流量大的时段激增等。
5 大 DDoS 攻击防御方式
一般企业可以透过以下五大方面,提升系统对抵御 DDoS 攻击的能力,减低流量攻击的威胁:
一、定期进行资安检测、加强防护
了解系统有哪些安全漏洞,评估可能造成哪些资安危害,补强漏洞或制定营运持续计画。避免发生 DDoS 攻击时,系统遭遇其他恶意攻击。同时,使用并定期更新防毒软体,以免电脑或设备沦为殭尸网路的一部份,被远端控制,变成 DDoS 攻击的受害者之一。
晟崴小知识:
营运持续计画(Business continuity planning,BCP)是指企业在地震、颱风、停电等可能造成营运停摆的天灾人祸发生前,先规划好的灾难应变和復原作业流程。内容分析灾难可能带来的冲击、企业营运所需的最低资源需求、优先恢復的营运项目和时程规划等。
二、扩充运算资源
DDoS 攻击以消耗资源为手法,达到使网路服务无法正常运作的目的。平时提升频宽、传输或伺服器容量,在遭受 DDoS 攻击时,可以减缓流量攻击的严重程度,也能争取时间进行紧急处理。
三、落实备援机制或资料备份
建立备用的伺服器、储存装置、和备份的系统资料,在本来的服务因为 DDoS 攻击中断时,可以立刻启用备援站点,让服务重新上线。或是将重要资料备份,避免在 DDoS 攻击和其他恶意网路攻击事件中,资料遭加密、删改。
四、全天候监视,并了解正常和异常流量
7x24 监控网站或服务的流量,才能在出现异常活动时,即时发现和反应。平时也要了解正常流量的大小和特性,例如:哪些时段请求最多、流量来自哪些地区、请求的内容大部分是什么等。知道在正常情况下,网站或服务流量后,较容易在系统侦测到大量流量时,判断是否遭受 DDoS 攻击,并尽速做出回应。
五、使用 DDoS 攻击防御产品服务
各云端厂商和资安公司针对 DDoS 攻击,推出多种防护解决方案,可以在网站或服务接收到巨量请求时,分析流量来源、分辨正常及异常流量和减少遭攻击的区域,缓解 DDoS 攻击。此外,同时使用多种 DDoS 攻击防御产品,缓解攻击效果更能加倍。以下整理了常见的流量清洗攻击防御服务:
-
流量清洗服务
-
功能:将所有进入伺服器的流量导向到清洗中心,该中心会分析并过滤流量,将正常请求与恶意请求区分开来。
-
效益:能够高效地清除大量恶意流量,在不影响正常使用者访问的情况下,保障网站和服务的正常运行。
-
功能:根据每个伺服器的负载情况,将流量分配到不同伺服器。
-
效益:减轻单一伺服器的负荷,避免伺服器过载,提升整体服务的稳定性和响应速度。
-
Anti-DDoS/高防解决方案
-
功能:在伺服器之前增加一道防护层,对进入的流量进行全面的分析和过滤。
-
效益:能够快速辨识并拦截各类型的 DDoS 攻击,提供即时的防护措施,保障伺服器的安全。
-
CDN(内容传递网路)
-
功能:将网站的内容缓存到全球各地的多个节点上,让使用者可以从最近的节点存取内容。
-
效益:除了提升网站的访问速度外,还能分散流量,减少对伺服器的直接冲击,缓解 DDoS 攻击的效果。
-
WAF(Web应用程式防火墙)
-
功能:监控和过滤进入网站的请求,根据设置的规则拦截具有攻击特徵的恶意流量。
-
效益:能够自动学习和更新防护策略,设置频率限制、IP 黑白名单等,提高网站对 DDoS 攻击的抵御能力。
DDoS 攻击背后原理简单,发动也容易,但手法众多,且难以侦测,却又可以严重损害目标,达到获得经济利益或博得关注的效果。流量攻击也因此在骇客间盛行。虽然侦测和防御困难,透过平时做好资安防护措施,定期资安检测,分析并监控流量,和导入 DDoS 攻击解决方案,可以协助企业和组织缓解 DDoS 攻击的威力,降低营运风险。
欢迎联络晟崴科技