隨著這幾年網絡技術的發展,DDoS攻擊規模也越來越大,分布式拒絕服務(DDoS)攻擊已經進入了1 Tbps的DDoS攻擊時代。不斷創新的攻擊方式讓傳統的安全服務商壓力劇增,也讓很多年輕的網際網路創業公司被攻擊的毫無還手之力,多少年輕人懷著創業夢想,想創造奇蹟,想改變行業,可惜在遭到DDoS攻擊後,可能連生存下去的機會都沒有了。因為DDoS防禦成本比較高,而且市場上的高防服務商魚龍混雜,如果對DDoS不了解,遇到那種垃圾騙子高防服務商,活活把企業拖死了。今天墨者安全就來說說各種DDoS攻擊類型和一些緩解手段,以及教大家如何分辨高防服務商的真假和水分。
1、syn Flood攻擊和防禦方式
這裡是最常見的一種DDoS攻擊類型,利用TCP三次握手原理,偽造的IP源,以小博大,難以追蹤,堪稱經典的攻擊類型。大量的偽造源的SYN攻擊包進入伺服器後,系統會產生大量的SYN_RECV狀態,最後耗盡系統的SYN Backlog,導致伺服器無法處理後續的Tcp請求,導致伺服器癱瘓。就和下面的圖片一樣,伺服器資源被耗盡,導致正常用戶無法和伺服器建立連接。
如何防禦SYN Flood攻擊?
方式1:軟體防火牆和系統參數優化 (適用於SYN Flood攻擊流量小於伺服器接入帶寬,並且伺服器性能足夠)
【Windows系統: 可以修改註冊表來提高SYN數據包的處理能力】
進入註冊表的[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]項目
1. 啟用syn攻擊防護模式 (可以顯著提高Windows的SYN處理能力)
SynAttackProtect=2 [dword]
2. 加大TCP半開連接數的隊列數量
TcpMaxHalfOpen=10000 [dword]
3. 啟用動態Backlog隊列長度
EnableDynamicBacklog=1 [dword]
通過修改這三處註冊表信息可以防止一些小規模並且較為簡單的SYN Flood攻擊
方式2: 購買專業的DDoS雲清洗和雲防禦服務 (適用於SYN Flood攻擊流量較大,強度較高的場景)
購買專業的DDoS雲清洗服務之前可以諮詢一下服務商採用的SYN Flood防禦算法和模式,這個非常重要,SYN Flood防禦算法和模式對於不同業務產生的影響是完全不同的。錯誤的SYN Flood防禦算法和模式雖然可以防禦SYN Flood攻擊,但是也會導致業務無法正常訪問。常見的SYN Flood防禦算法有:
SYN Cookies
SYN Proxy
SYN Reset
SYN SafeGuard
如果您諮詢的高防服務商無法回答或者不專業的話,基本都是代理商和一些騙子。
2、(ACK RST PSH FIN) Flood攻擊和防禦方式
ACK Flood / RST Flood / PSH Flood / FIN Flood 這類攻擊本質上不如SYN Flood危害那麼大,但是也足夠輕鬆的導致伺服器癱瘓。如下圖,這類攻擊雖然不會導致伺服器系統中出現大量的SYN_RECV,但是會出現伺服器向偽造源IP發送大量的RST報文。
如何防禦(ACK RST PSH FIN) Flood攻擊?
針對這種攻擊,我建議直接上DDoS雲清洗和雲防禦服務,沒必要調整系統,因為沒什麼意義。
3、UDP Flood攻擊和防禦方式
UDP Flood攻擊目前來說越來越普遍,得益於各種軟體設計缺陷和UDP協議的無連接特性,這讓UDP Flood攻擊非常容易發起,並且可以得到數十倍數千倍的攻擊放大,下圖可以讓大家了解到UDP放大攻擊的原理。由於網站業務是用不到UDP協議的,所以UDP Flood攻擊主要是針對遊戲或者視頻直播業務的。
如何防禦UDP Flood攻擊?
如果遇到UDP攻擊,只能找一家非常專業的DDoS雲清洗服務商給你做保護了,大部分DDoS雲清洗和雲防禦服務商都是買的硬體防火牆,沒有實質性的研發能力和技術實力來驅動這種端雲聯動的防禦算法。只有真正擁有完全自研DDoS防禦算法能力的服務商才可以做到這點。
4、DNS Query攻擊和防禦方式
DNS Query攻擊是小編從業10多年來,最具備威脅的攻擊方式,普遍存在於棋牌遊戲,私服,菠菜,AV等暴利,競爭不是你死就是我活的行業。這種攻擊最大的威脅便是,通過隨機構造並查詢被攻擊域名的二級域名,繞過遞歸DNS伺服器的解析記錄緩存,各地區地市的遞歸DNS伺服器向權威DNS伺服器發起大量的DNS查詢請求,如果被攻擊域名所在的權威DNS伺服器性能和帶寬無法支撐查詢所需要的帶寬,那麼就會直接癱瘓,並影響這個權威DNS伺服器上的其他域名。攻擊的原理示意圖如下:
如何防禦DNS Query攻擊?
防禦這種DNS Query攻擊,不但難度極大,而且成本極高,並且還不一定是100%防禦。尤其是遞歸DNS伺服器壓力過大的時候,運營商可以直接封禁被攻擊的域名,所以只能找專業的DNS服務商和運營商配合來做,否則都是無效的,費用也是非常貴的。
5、HTTP Flood攻擊(CC攻擊)和防禦方式
HTTP Flood攻擊和SYN Flood攻擊一樣非常棘手,但是也非常經典,攻擊效果非常顯著,而防禦難度卻比SYN Flood攻擊高出幾個數量級!同時攻擊軟體也日新月異,各種攻擊模式,很大一部分的攻擊軟體甚至都可以完全模擬用戶行為,真真假假很難分辨。
如何防禦HTTP Flood攻擊(CC攻擊)?
如果攻擊規模不大的,可以考慮將被攻擊的頁面靜態化,避開資料庫查詢,和動態語言。
如果攻擊規模巨大,每秒QPS高達數萬以上的CC攻擊,有兩種辦法。
方法1: 購買大量的伺服器和帶寬,以及專業的硬體負載均衡設備做負載均衡,將WEB伺服器和資料庫伺服器做成集群和高可用架構,這樣可以極大的提高CC攻擊的防禦能力。但是這個成本可能會很高。
方法2: 購買專業的DDoS雲清洗和雲防禦服務商的服務,專業的事情交給專業的人去做。友情提示一下,CC攻擊防禦難度很高,建議讓防禦服務商免費提供1-3天的防禦試用(墨者安全就有提供免費試用哦),如果三天期間防禦效果不滿意可以換一家,而不至於被騙。
6、慢請求攻擊和防禦方式
慢請求攻擊是這幾年新興的攻擊方式,通過大量的肉雞發起大量的請求,每個肉雞每秒只請求1次,大量肉雞會導致伺服器遭受大量的攻擊請求,但每個源IP看著卻沒有異常行為。慢請求攻擊示意圖:
如何防禦慢請求攻擊?
方案1:主要是擴展後端業務伺服器規模來死扛這種攻擊,成本極高,但是能解決。
方案2:尋找專業的雲安全服務提供商,解決這種攻擊。
7、脈衝型攻擊和防禦方式
脈衝型的攻擊可以在短時間內發起多次DDoS攻擊,並且快速停止,快速打擊,這對於很多雲安全防禦服務商來說就是噩夢。脈衝波型DDoS相對難以防禦,因為其攻擊方式避開了觸發自動化的防禦機制。在「脈衝波」持續過程中,被攻擊者的網絡陷入了癱瘓,而當網絡恢復時,又發起新一波脈衝攻擊,甚至能發起更多同步攻擊,讓被攻擊者防不勝防。
如何防禦脈衝型DDoS攻擊?
脈衝型DDoS攻擊防禦難度極高,只需要100G-200G的攻擊流量即可癱瘓T級別的防禦,對於DDoS清洗設備的壓力和可靠性要求巨大。沒辦法自己解決,只能依靠專業的雲安全服務商解決,並且是有足夠強大的研發能力和技術支撐能力的。
8、混合矢量(Multi-Vector)攻擊和防禦方式
也叫做混合DDoS攻擊,這種DDoS攻擊通常只存在於利潤巨大,競爭巨大,並且有著血海深仇對手的攻擊。這種攻擊通常會利用所有可利用的攻擊方式來攻擊目標,初期的目的是讓DDoS硬體防火牆處理不過來,當你的防禦算法無法精細的過濾掉這些惡意流量時,但凡漏了一點點攻擊流量進入後端伺服器,那就是災難性的。