DDoS 攻击是什么?5 招教您保护网站

分享:
 

DDoS 攻击是最常见的网路攻击手法之一,用流量使系统停摆,杀伤力强大。根据统计,DDoS 攻击造成服务中断,让企业平均一分钟损失 6,000 美元。DDoS 攻击究竟是什么呢?为什么会这么可怕?背后运作原理是什么?有什么徵兆?可以如何防御?本文将为您一一解答这些问题。

 

什么是 DDoS 攻击?

分散式阻断服务(Distributed Denial-of-Service)攻击,一般简称为 DDoS 攻击,是一种网路攻击的手法。以大量流量造成网路阻塞,耗费资源或瘫痪基础设施,进而导致目标电脑、网页或线上服务速度严重下降,或甚至无法照常运作。阻断网页或伺服器提供服务给其他正常的使用者。

 

DDoS 流量攻击除了造成因服务中断而带来的财务损失、影响公司名声和品牌形象以外,也可能是网路犯罪声东击西的伎俩,趁资安人员忙于应付流量攻击时,窃取敏感资料、植入勒索软体等。或是透过 DDoS 流量攻击来向受害者施加压力。因此做好流量攻击的防御,并留意其徵兆,是资安防护的重要课题。

 

DDos 攻击原理说明

DDoS 流量攻击可以想像成高速公路被人刻意塞满了自动驾驶、又无目的的赃车。而需要移动的正常驾驶和乘客要不是上不了高速公路,就是卡在车流之间,动弹不得。高速公路也因此无法发挥本来的功用。

 

发动 DDoS 攻击前,骇客首先会以木马、殭尸病毒等恶意软体感染,并远端控制大量的电脑、行动装置,或其他可连上网的设备(例如:物联网设备)。而这一整群被控制的机器,通常会称为「殭尸网路」或「机器人网路」。DDoS 攻击中的大量流量,就是来自于听命于骇客的殭尸电脑或装置。建立好殭尸网路后,骇客的下一步就是操控殭尸们,对目标的电脑或是伺服器发出请求。所谓的请求,指的是使用者希望电脑系统执行的工作内容,例如:在文字编辑器中输入文字、在电脑中开启应用程式、在网页上点击按钮等,都是送出请求。

 

一时之间收到大量流量和请求,很可能会造成被攻击的目标系统过载,无法负荷或即时执行请求的内容。轻则处理速度降低,重则整个服务下线。即使殭尸网路已经被骇客挟持,作为犯罪工具,从殭尸网路发出的请求对于系统来说,仍算是来自合法网路装置的流量。因此遭受 DDoS 攻击的目标,也无法在短时间内分辨出正常流量和恶意流量,增加缓解 DDoS 攻击的困难度。

 

ALL_article_24F14_4d4wrP6IFu

【殭尸网路&DDoS 攻击示意图】

 

DoS 与 DDoS 一样吗?

DoS(Denial-of-Service)攻击和 DDoS 攻击一样,皆以耗尽网路或系统资源、阻断服务为目的。两者的差别在于 DoS 攻击透过单一电脑进行,并非殭尸网路。也因此和 DDoS 攻击比起来,DoS 攻击的规模和伤害力还要较小,发动攻击所需的时间也较长。同时,DoS 攻击也因为形式较简单,无论是侦测、缓解攻击或追查流量来源都相对容易。DDoS 攻击可以说是 DoS 攻击的全面进阶版。

 

DDoS_DoS vs DDoS

【Dos 攻击 vs DDoS 攻击示意图】

 

 

 

DoS (Denial-of-Service) 攻击

DDoS (Distributed Denial-of-Service) 攻击

攻击流量来源

单一机器

大量机器

攻击速度

是否使用恶意软体

是(木马、殭尸病毒)

资安威胁

较低

较高

 

常发生 DDoS 攻击的 5 种产业

发动 DDoS 攻击成本低廉,又可以对目标造成巨大损害,常常被利用来达到勒索钱财、攻击竞争对手、进行抗争运动、展开网路战、宣扬理念或政治意图、恶作剧等目的。目标电脑系统被瘫痪之后,营运中断,除了直接财务损失,更可能进一步衍伸出名誉受损、失去客户信任等问题。以发表宣言为目的的骇客也可以藉 DDoS 攻击博得新闻版面。DDoS 攻击的目标通常有以下共同点:获利高、知名度高、有大量使用者及存有敏感资料。

 

DDoS 攻击常针对以下产业:

 

银行金融业

根据阿卡迈科技公司,2023 年约有 35% 的 DDoS 攻击针对金融业。骇客以制造大型纷乱或恐慌为目的时,会首先考虑知名银行,但同时知名金融公司资安 DDoS 防护措施也较严谨。
 

电信和网路业

通讯基础设施公司 Zayo 统计,2023 下半年,电信和网路业整体受到近 13,000 次 DDoS 攻击。攻击网路供应商造成的影响甚巨,可以窃取大量敏感资料、吸引大量目光外,同时也因为电信和网路业可攻击的位置较多。
 

教育机构产业

近年针对各教育机构和相关产业的 DDoS 攻击事件数量大幅上升。学校和教育产业成为 DDoS 攻击的目标不外乎是因为远距教学盛行,教学仰赖电脑系统,系统存有大量个资,加上资安防护强度较低。

 

游戏业

游戏业获利多,又有大量玩家和玩家个资,产业关注度又高,可以说是 DDoS 攻击最理想的目标。有些游戏玩家甚至会自行修改游戏,或使用拍照工具等第三方工具和外挂作弊软体,也因此造成更多资安漏洞,让骇客有机可趁。

 

政府及国防国安机构 

对政府组织进行 DDoS 攻击,瘫痪敌人运作,在战争中取得优势。随着俄乌战争延烧,来自俄罗斯的 DDoS 攻击事件在一年间成长了 450%。除了对乌克兰国防部发动 DDoS 攻击以外,目标还包含了北约其他成员国的国家基础设施,包含电信、电力、能源、水利、交通、医疗、金融、紧急救助系统等。除此之外,带有政治动机的网路抗议者,也会针对政府组织发动 DDoS 攻击。

 

 

【想更进一步瞭解网路攻击如何运作与预防,可以参考《网路攻击》文章。】

 

DDoS 攻击的常见类型:

DDoS 攻击依照瘫痪系统的方式,可以分为两大类型:频宽消耗型和资源消耗型

一、频宽消耗型

讨论网路资讯传递时,频宽指的是固定时间之内,可以传输的资料量。频宽消耗型 DDoS 攻击以大量的无效资料,攻击目标的基础设施层,佔用其频宽,排挤其正常的使用者。

 

UDP 洪水攻击、ICMP 洪水攻击、 DNS / NTP 放大攻击都是常见频宽消耗型 DDoS 攻击,分别利用大量的使用者资料包通讯协定(UDP)封包和网际网路控制讯息协定(ICMP)封包,以及向网域名称系统(DNS)和网路时间协定(NTP)伺服器请求大量封包,以瘫痪目标。

 

想了解有哪些方式可以协助企业找出资安漏洞?可以参考【弱点扫描是什么】以及【渗透测试是什么

ALL_article_24F14_9m1g0X9elG晟崴小知识:

1. 什么是通讯协定(Protocols)?

两个系统传输资料时,需要遵守相同的规则,通讯协定就是这类规则的统称。可以想像成资讯系统之间的共通语言,两台电脑要说同一个语言才能沟通。

2. 什么是封包(Data Packet)?

用网路传递讯息时,为了减轻系统运作的负担,资料通常被切成一小段一小段,被切割出来的段落即为封包。

 

二、资源消耗型

资源消耗型 DDoS 攻击则是针对目标伺服器的运算资源,使伺服器无间断重复无效的运算,而无法处理来自正常使用者的请求、提供原本的服务。以攻击目标应用程式层为主,较针对基础设施层的攻击更为复杂。

 

常见的资源消耗型 DDoS 攻击包含:伪造 TCP 连线的SYN 洪水攻击、针对 IP 的 LAND 攻击、制造大量的 HTTP 封包的 HTTP 洪水攻击、透过大量将无效的访问请求伪装为合法请求的 CC 攻击。



我遇到 DDoS 攻击吗?8 种遭受攻击的徵兆

DDoS 攻击因为难以区分正常请求和恶意请求,不易即时发现。对于一般网路使用者来说,DDoS 攻击可能有以下影响:

  1. 网站或服务异常缓慢、卡断、频频断线,或是无法读取。
  2. 垃圾邮件量大幅增加。
  3. 多次尝试存取网站或服务遭拒。
  4. 网路(包含有线和无线)异常断线。

 

但出现以上徵兆不一定代表伺服器受到 DDoS 攻击,发现后,借助流量分析工具,进一步观察是否有更多 DDoS 攻击的徵兆:

  1. 可疑流量来自单一 IP 位置或特定 IP 范围。
  2. 对特定页面或特定端点的请求无原因大幅上升。
  3. 大量的请求有相同的特徵,例如:相同设备类型、地理位址、浏览器类型和版本。
  4. 流量模式异常,例如:流量大幅增加的时间间隔相同、在非平常流量大的时段激增等。

 

5 大 DDoS 攻击防御方式

一般企业可以透过以下五大方面,提升系统对抵御 DDoS 攻击的能力,减低流量攻击的威胁:

一、定期进行资安检测、加强防护

了解系统有哪些安全漏洞,评估可能造成哪些资安危害,补强漏洞或制定营运持续计画。避免发生 DDoS 攻击时,系统遭遇其他恶意攻击。同时,使用并定期更新防毒软体,以免电脑或设备沦为殭尸网路的一部份,被远端控制,变成 DDoS 攻击的受害者之一。

 

ALL_article_24F14_9m1g0X9elG晟崴小知识:

营运持续计画(Business continuity planning,BCP)是指企业在地震、颱风、停电等可能造成营运停摆的天灾人祸发生前,先规划好的灾难应变和復原作业流程。内容分析灾难可能带来的冲击、企业营运所需的最低资源需求、优先恢復的营运项目和时程规划等。

 

二、扩充运算资源

DDoS 攻击以消耗资源为手法,达到使网路服务无法正常运作的目的。平时提升频宽、传输或伺服器容量,在遭受 DDoS 攻击时,可以减缓流量攻击的严重程度,也能争取时间进行紧急处理。

 

三、落实备援机制或资料备份

建立备用的伺服器、储存装置、和备份的系统资料,在本来的服务因为 DDoS 攻击中断时,可以立刻启用备援站点,让服务重新上线。或是将重要资料备份,避免在 DDoS 攻击和其他恶意网路攻击事件中,资料遭加密、删改。

 

四、全天候监视,并了解正常和异常流量

7x24 监控网站或服务的流量,才能在出现异常活动时,即时发现和反应。平时也要了解正常流量的大小和特性,例如:哪些时段请求最多、流量来自哪些地区、请求的内容大部分是什么等。知道在正常情况下,网站或服务流量后,较容易在系统侦测到大量流量时,判断是否遭受 DDoS 攻击,并尽速做出回应。

 

五、使用 DDoS 攻击防御产品服务

各云端厂商和资安公司针对 DDoS 攻击,推出多种防护解决方案,可以在网站或服务接收到巨量请求时,分析流量来源、分辨正常及异常流量和减少遭攻击的区域,缓解 DDoS 攻击。此外,同时使用多种 DDoS 攻击防御产品,缓解攻击效果更能加倍。以下整理了常见的流量清洗攻击防御服务:

  1. 流量清洗服务

  • 功能:将所有进入伺服器的流量导向到清洗中心,该中心会分析并过滤流量,将正常请求与恶意请求区分开来。

  • 效益:能够高效地清除大量恶意流量,在不影响正常使用者访问的情况下,保障网站和服务的正常运行。

 

  1. 负载平衡器

  • 功能:根据每个伺服器的负载情况,将流量分配到不同伺服器。

  • 效益:减轻单一伺服器的负荷,避免伺服器过载,提升整体服务的稳定性和响应速度。

 

  1. Anti-DDoS/高防解决方案

  • 功能:在伺服器之前增加一道防护层,对进入的流量进行全面的分析和过滤。

  • 效益:能够快速辨识并拦截各类型的 DDoS 攻击,提供即时的防护措施,保障伺服器的安全。

 

  1. CDN(内容传递网路)

  • 功能:将网站的内容缓存到全球各地的多个节点上,让使用者可以从最近的节点存取内容。

  • 效益:除了提升网站的访问速度外,还能分散流量,减少对伺服器的直接冲击,缓解 DDoS 攻击的效果。

 

  1. WAF(Web应用程式防火墙)

  • 功能:监控和过滤进入网站的请求,根据设置的规则拦截具有攻击特徵的恶意流量。

  • 效益:能够自动学习和更新防护策略,设置频率限制、IP 黑白名单等,提高网站对 DDoS 攻击的抵御能力。



DDoS 攻击背后原理简单,发动也容易,但手法众多,且难以侦测,却又可以严重损害目标,达到获得经济利益或博得关注的效果。流量攻击也因此在骇客间盛行。虽然侦测和防御困难,透过平时做好资安防护措施,定期资安检测,分析并监控流量,和导入 DDoS 攻击解决方案,可以协助企业和组织缓解 DDoS 攻击的威力,降低营运风险。

 

欢迎联络晟崴科技

网站总是被瘫痪却无法有效缓解吗?晟崴科技为您提供全球与中国境内的DDoS 防御服务

 

相关信息

WAF 是什么? 3 大类型 WAF 保护网页不受攻击

WAF 是什么? 3 大类型 WAF 保护网页不受攻击

Web 应用程式防火墙(WAF)为了保护 Web 应用程式的资安而诞生。本篇文章将深入介绍 WAF,其功能和种类,协助您提升企业 IT 安全,保护机敏资讯不外泄、企业营运稳定不中断。

什么是防火墙?认识防火墙功能

什么是防火墙?认识防火墙功能

防火墙是网路安全的核心技术,保护内部免受外部威胁。无论是企业或个人,防火墙都可以过滤可疑流量,阻挡恶意攻击。本文将介绍防火墙功能、运作原理及各式类型。

MDR 是什么?与 EDR 的差异与使用好处

MDR 是什么?与 EDR 的差异与使用好处

MDR 和 EDR 是什么呢?企业可以如何利用这两者,加强自身资安防护?本文将深入介绍 EDR 和 MDR,并说明实务上的差异与优势,协助您选择最适合的资安防护方案。

联系我们
联系我们

CONTACT US

联络我们的专业团队,解答您的所有疑虑与需求!


本网站使用 Cookie 来提升您的使用体验、协助我们分析网站效能和使用状况,以及让我们投放相关联的行销内容。您可以在下方管理 Cookie 设定,或是按一下「全部接受」即代表您同意採用目前的设定。

管理Cookies

隐私权偏好设定中心

本网站使用 Cookie 来提升您的使用体验、协助我们分析网站效能和使用状况,以及让我们投放相关联的行销内容。您可以在下方管理 Cookie 设定,或是按一下「全部接受」即代表您同意採用目前的设定。

查看政策

管理同意设置

必要的Cookie

一律启用

网站运行离不开这些 Cookie 且您不能在系统中将其关闭。通常仅根据您所做出的操作(即服务请求)来设置这些 Cookie,如设置隐私偏好、登录或填充表格。您可以将您的浏览器设置为阻止或向您提示这些 Cookie,但可能会导致某些网站功能无法工作。

数字验证

请由小到大,依序点击数字