什麼是 DDoS 攻擊?

當今網絡上最強大的攻擊之一是分佈式拒絕服務(DDoS)攻擊。 它如此強大的原因在於它的多功能性,每次信息安全專家認為他們已經看到了這一切時,就會出現新版本的攻擊。 自從這些攻擊在 21 世紀初首次出現以來,情況就一直如此。

傳奇網絡安全先驅尤金·卡巴斯基 (Eugene Kaspersky) 在他的 博客:

“DDoS 攻擊發展得非常快……它們變得更加惡劣,技術也更加先進; 他們時不時地會採取非常不尋常的攻擊方式; 他們追求新的目標,並打破新的世界紀錄,成為有史以來規模最大、最嚴重的 DDoS。 但是,DDoS 所處的世界也發展得非常快。 一切和廚房水槽都在線:連接到網絡的各種“智能”[原文如此]設備的數量現在遠遠超過了老式台式機和筆記本電腦的數量。” 的基本思想 >DDoS 攻擊 是使目標超載,直至其無法再按預期運行。 它起源於拒絕服務 (DoS) 攻擊,但這兩種攻擊的區別在於所涉及的計算機數量。 在 DoS 攻擊中,一台機器攻擊目標。 然而,在 DDoS 攻擊中,攻擊機器會得到大量其他機器的幫助。 這些機器稱為殭屍網絡,它是“機器人” 的混合詞。 >“網絡”。殭屍網絡由攻擊者控制的數百、數千甚至數百萬台裝置組成。 形成殭屍網絡的機器稱為殭屍。 術語“殭屍”意味著計算機正在被感染控制(很像虛構的怪物)。 殭屍要么感染了惡意軟件,要么通過其軟件中的某些漏洞被利用。 這些殭屍的控制方式是通過命令與控制(C2)伺服器。 攻擊者發送到計算機的所有命令都是通過 C2 伺服器進行的。 殭屍網絡過去需要具有專業知識的人員來控制它們。 然而如今,任何能夠訪問比特幣等加密貨幣的人都可以租用殭屍網絡。 DDoS 即服務已成為一種令人難以置信的威脅,因為它允許腳本小子暫時扮演黑客惡棍。 每當採用 DDoS 即服務時,都會向客戶端提供易於使用的前端網頁。 該網頁充當 GUI(圖形用戶界面)形式的命令和控制伺服器。 它不需要太多的技術知識來操作,這反過來又使它變得更加危險。 大量破壞性殭屍網絡只需加密支付即可,並且大多數 DDoS 攻擊都記錄在案 。 最著名的例子是 Lizard Squad 利用租用的殭屍網絡來推翻 Xbox LivePlaystation 網絡,甚至朝鮮政府網站。 這群巨魔和腳本小子以多年未見的憤怒追擊高優先級目標,也許是自匿名黑客行動主義事件以來從未見過的。 他們獲得了大量媒體曝光,雖然他們的傲慢最終導致當局找到他們,但他們留下了一系列混亂。

有關殭屍網絡的更多信息:著名示例

殭屍網絡多年來不斷發展,但其用途並不總是用於 DDoS。 以下是一些最重要的示例:

Earthlink 垃圾郵件發送者:

這可以說是第一個著名的殭屍網絡,由 Khan K. Smith 於 2000 年創建。 其目的不是DDoS攻擊,而是高頻率發送釣魚郵件。 無論是有意還是無意,DDoS 攻擊都是在這裡誕生的,因為創建它的機制已經誕生了。 其他殭屍網絡也效仿了這種網絡釣魚攻擊方式,例如 2007 年的 Cutwail。

Grum:

該殭屍網絡在 2010 年造成了全球大量垃圾郵件流量。它於 2008 年首次出現,在 2012 年關閉之前,全球大約 18% 的垃圾郵件來自 Grum。 垃圾郵件通常針對藥品。 當然,這些垃圾郵件是為了感染用戶的惡意嘗試。 迄今為止,大量惡意軟件感染都是此類垃圾郵件造成的。

Conficker:

由 Conficker 惡意軟件形成的殭屍網絡頗具傳奇色彩。 它是一種蠕蟲病毒,很容易滲透防禦並發展成為 2000 年代頭十年最大的殭屍網絡之一。 總共有400萬台機器被殭屍化,形成了殭屍網絡。 它在 2009 年達到頂峰,估計已感染全球約 1500 萬台機器。 正如數據顯示的那樣,並非所有受感染的計算機都加入了殭屍網絡。

Mariposa:

這個殭屍網絡在西班牙語中是“蝴蝶”的意思,它並不是一種優雅的生物。 相反,它是 2009 年當時最惡毒、最強大的殭屍網絡之一。 Mariposa 結合使用了點對點 (P2P) 網絡、惡意網絡連線和加載惡意軟件的 USB 驅動器(一種常見的社會工程策略) )。 最終,聯邦調查局介入並查明了 Mariposa 的 C2 伺服器並將其關閉。 然而,在此之前,Mariposa 感染了大部分財富 500 強公司。 它也是歷史上最早的 DDoS 即服務殭屍網絡之一。

Mirai:

Mirai 是第一個利用物聯網裝置的殭屍網絡,它永遠改變了威脅格局。 不再只是計算機成為殭屍網絡的成員,任何可以被利用的智能設備(冰箱、電視等等)也都成為了殭屍網絡的成員。 Mirai 本身是一種惡意軟件,旨在利用 Minecraft 服務器,但它創造的東西遠遠超出了遊戲範圍。 Mirai 傳播的最大原因是物聯網安全實踐不佳。

該殭屍網絡用途廣泛、易於使用且功能強大。 難怪他們如此容易實施 DDoS 攻擊。

著名的 DDoS 攻擊

要真正了解分佈式拒絕服務的威力,就像我們對殭屍網絡所做的那樣,探索眾所周知的事件至關重要。 接下來的內容遠非詳盡的列表和分析,但它應該可以揭示 DDoS 攻擊的危險性。

Github:

2018 年,熱門軟件存儲庫網站遭受大規模 DDoS 攻擊。 這次攻擊的速度為每秒 1.35 Tbits/s,導致 Github 伺服器超載。 該公司設有 DDoS 防護,但根本無法承受這樣破紀錄的攻擊。 據 GitHub 稱,數千台自主機器攻擊了數以萬計的獨特端點。

Cloudflare:

Cloudflare 的名字是 DDoS 保護的代名詞,因此各種黑客想要測試他們的防御也就不足為奇了。 2014 年,Cloudflare 經歷了 NTP 反射 DDoS 攻擊。 結果是他們的服務器承受了每秒 400 Gbit/s 的壓力。

里約奧運會:

2015年,巴西里約熱內盧夏季奧運會正在如火如荼地籌備中。 由 DDoS 即服務殭屍網絡主導的大規模 DDoS 攻擊也在如火如荼地進行。 它名為 LizardStresser,與其他殭屍網絡合作,並針對奧委會官方網站。 攻擊持續了數月,擾亂了域名的正常運行。 在高峰期,攻擊的速度高達 540 Gbit/s。

Imperva:

與 Cloudflare DDoS 攻擊非常相似,Imperva 因其 DDoS 緩解服務而成為網絡犯罪分子的主要目標。 2019 年,Imperva 遭受 SYN DDoS 攻擊,峰值每秒約 5.8 億個數據包。 這顯著超過了 Cloudflare 攻擊,至少在 PPS 方面如此,因為 Cloudflare DDoS 的峰值約為每秒 130 個數據包。

Dyn:

還記得我們之前討論過的 Mirai 殭屍網絡嗎? 它已被用於許多著名的 DDoS 攻擊,這是最大的攻擊之一。 DNS 提供商 Dyn 在 2016 年受到殭屍網絡的攻擊。許多使用 Dyn 服務的知名公司,包括 Netflix、Paypal 和 Reddit,都因這次攻擊而癱瘓。

Krebs 談安全:

Brian Krebs 是一位備受尊敬的網絡安全研究員,運營著“Krebs on Security”博客。 該博客也成為 Mirai 殭屍網絡的目標,據 Krebs 稱,這是他見過的最大規模的 DDoS 攻擊。 Krebs 對 DDoSing 並不陌生,作為一名網絡安全記者,它有點熟悉,但隨著 Mirai 攻擊,他的網站無法承受攻擊。 這次攻擊的峰值速度約為 623 Gbit/s,導致網站完全關閉一段時間。

DDoS 攻擊的類型

雖然這並不是一個詳盡的列表,但這裡的重點是展示 DDoS 攻擊的多功能性。 一些最流行的 DDoS 攻擊類型如下:

反射攻擊:

攻擊者欺騙互聯網數據包,以便伺服器以特定方式響應。 這個想法是欺騙服務器伺服器認為數據包是從它控制的域發送的。 這就是為什麼它被稱為反射,因為拒絕服務是通過欺騙伺服器“反射”通信而引起的。 數據快速有效地傳播,在不引起警報的情況下擊落目標。

ICMP 洪水:

攻擊者用惡意的網絡控制消息協議數據包淹沒目標。 這種攻擊存在多種類型,其中一個流行的例子是 ping 洪水。 在 ping 洪水攻擊中,大量 ping 請求被發送到目標。 由於 ping 是合法請求,因此目標服務器會響應每個 ICMP 回顯請求。 最終,來自殭屍網絡的洪水變得太多,服務器不再能夠通信或接收新請求。

SYN flood:

TCP/IP 協議需要三次握手才能完成與裝置的連線。 Syn-Syn/Ack-Ack 連線允許比不需要握手的 UDP 協議更少的 DDoS 機會。 然而,這並不意味著它不受剝削。 在 SYN 洪水 DDoS 中,殭屍網絡不斷地一遍又一遍地發送第一個 SYN 消息,迫使伺服器重新啟動握手,直到它不再能夠處理為止。 該攻擊針對所有開放端口。

Slowloris:

這種攻擊以可愛的亞洲靈長類動物命名,運用了“緩慢而穩定贏得比賽”的古老格言。 Slowloris 攻擊不是在短時間內用盡可能多的流量使目標過載,而是以巧妙的方式使用殭屍網絡。 它會讓所有計算機發送部分 HTTP 請求,隨著時間的推移,最終會導致目標伺服器填滿其連接池。 這會阻止任何合法用戶連線。

DDoS 攻擊流程

所有 DDoS 攻擊通常都遵循相同的過程。 為了更好地了解攻擊者的心態,列出此過程將很有用。

  • 威脅參與者找到他們想要進行 DDoS 攻擊的目標的域或 IP 位址。
  • 攻擊者可以通過感染、利用漏洞或在暗網上出租來控制強大的殭屍網絡。
  • 權衡他們的選擇和攻擊計劃後,威脅行為者開始命令殭屍網絡通過其 C2 伺服器執行 DDoS。
  • 如果受攻擊的目標沒有任何 DDoS 緩解策略,或者即使有但證明無效,目標就會開始遇到中斷。
  • 最終,目標無法處理洪水般的流量並超載。
  • 只要攻擊者願意,DDoS 攻擊就會持續下去,或者 DDoS 保護最終啟動並阻止攻擊端點。
  • 然後將 DDoS 報告給有關當局,由他們嘗試確定攻擊者的位置和身份。 有時他們會被抓住,有時如果他們能阻止留下數字足跡,他們就會逍遙法外。
DDoS 攻擊流程

防止針對自己的攻擊是一件多方面的事情。 您應該採用的第一道防線是強大的防火牆。 某些DDoS 攻擊針對特定端口,如果防火牆配置正確,則攻擊期間發送的數據包將不會到達您的路由器。 雖然防火牆是一個好的開始,但它們並不是故事的結束,因為許多 DDoS 攻擊繞過了入侵檢測系統。 根據攻擊您的人的不同,他們可能是腳本小子或具有實際技術知識的人。 不要以為它們會是前者。

一些專門的 DDoS 攻擊,例如 NTP 放大 ,將需要特定的配置來創建適當的防禦。 “monlist”命令是利用NTP伺服器的關鍵。 根據所使用的伺服器,可以安裝禁用“monlist”命令的補丁。 棘手的是補丁必須是 4.2.7 或更高版本。 有許多 NTP 服務器是舊伺服器,無法支持此補丁。 因此,必須實施另一種解決方法來緩解。 在面向公眾的 NTP 伺服器上,US-CERT 建議舊系統輸入“noquery”命令來“限制默認”系統配置。 如果執行正確,它將禁用“monlist”命令。 無論面臨何種 DDoS 攻擊,大型組織都應考慮使用第三方DDoS 緩解服務。 無論您是民族國家、跨國公司還是其他主要實體,這都是整體防禦的重要組成部分。 這些服務可以處理重大攻擊,因為它們擁有服務器空間來容納和分解數據包,然後才能到達預期目標。 不過,這些“永遠在線”的保護服務並不便宜,這就是為什麼只建議最大的公司使用它們(或者如果您有錢可燒的話)。 對於屬於局域網的路由器 (LAN),您的靜態 IP 地址將是您遭受 DDoS 攻擊的最可能原因。 為了防止您的真實 IP 位址被用來對付您,虛擬專用網絡 (VPN) 是您的最佳選擇。 好的 VPN 會加密您的連接並將您的 IP 隱藏在伺服器的 IP 地址後面。 因此,攻擊者不可能找到攻擊您的媒介。 借助 PureVPN,您可以獲得一個經濟高效的選項來防止 DDoS 攻擊。 網絡由遍布 65 多個國家的 6000 多台全球伺服器組成,每個協議均採用 AES 256 位加密 支持等等,PureVPN 可以幫助您抵禦網絡犯罪分子。 PureVPN 可防止 WebRTC 洩漏、DNS 洩漏和 IPv6 洩漏,因此您可以確保攻擊者永遠不會發現 攻擊所需的數據。
受到保護 31 天退款保證

總結

最後,請考慮 Qijun Giu 教授和 Peng Liu 教授關於 DoS 和 DDoS 防護的這些話(如廣泛的 有關該主題的研究論文):

“DoS 攻擊者利用協議和系統中的缺陷來拒絕對目標服務的訪問。 攻擊者還控制大量受感染主機發起DDoS攻擊。 簡單地保護服務器已不足以使服務在攻擊下可用,因為 DoS 攻擊技術更加複雜,並且許多不知情的主機參與了 DoS 攻擊……對於防御者來說,很難確定數據包是否是 欺騙,防止主機受到損害和控制,要求上游路由器過濾不需要的流量,並使防御者自己免受 DoS 攻擊……無線網絡中的 DoS 攻擊擴展到了網上不可行的範圍。 現有的防禦方法表明,應研究安全對策並將其納入較低層的無線協議中,移動主機應積極協作地參與保護其無線網絡。” 拒絕服務和分佈式拒絕 服務攻擊將繼續發展。 這是無法阻止的。 隨著技術不可避免地向前發展,安全解決方案也必須與這一進步保持同步。 這不僅需要信息安全專業人士的行動,還需要普通公民的行動。 我們所有人都必須對防止此類攻擊負責。 對抗可能導致<殭屍網絡的感染,增強伺服器保護,避免社會工程陷阱,以及任何其他可能導致 DDoS 攻擊演變的因素。 這需要我們所有人的努力。 一起。 請相信這一點,在 PureVPN,我們隨時為您提供幫助。