网络攻防之有效抵御DDOS攻击

admin 2022年5月29日14:58:36评论60 views字数 1945阅读6分29秒阅读模式


2020年中下旬,Imperva公司调查发现,针对全球成千上万大型企业组织的勒索拒绝服务(RDoS,即勒索+分布式拒绝服务)攻击已显著增加。2020年7月,Imperva公司报告了规模和范围强大的网络攻击动  态,还报告了一项最高的每秒数据包攻击记录139 MPPS。2020年8月,最大的带宽攻击记录为每秒696Gbit。尽管2020年9月的网络攻击没有达到这些峰值,但也接近了2020年迄今为止DDoS风险最高的月份。这些全球DDoS攻击的频率和强度已经超过了2019年11月(假日购物高峰期)的水平,同时网络层和应用层攻击的规模和频率正在呈现前所未有的增加趋势,接下来,我们就详细了解一下何为DDoS攻击以及如何有效的抵御DDoS攻击。




网络攻防之有效抵御DDOS攻击


1.什么是DDoS攻击

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,导致被攻击者的业务无法正常访问,甚至服务器瘫痪。DDoS的攻击策略侧重于通过多个“傀儡机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”。


网络攻防之有效抵御DDOS攻击


2.常见攻击方式

常见的DDoS攻击一般有三种方式,攻击网络带宽资源、攻击系统资源和攻击应用资源。

  • 通过使网络过载来干扰甚至阻断正常的网络通讯;

  • 通过向服务器提交大量请求,使服务器超负荷;

  • 阻断某一用户访问服务器;

  • 阻断某服务与特定系统或个人的通讯




常见DDoS攻击方式的原理:


ICMP Flood:通过对目标系统发送海量数据包,就可以令目标主机瘫痪,如果大量发送就成了洪水攻击。


UDP Flood:攻击者通常发送大量伪造源IP地址的小UDP包,100k bps的就能将线路上的骨干设备例如防火墙打瘫,造成整个网段的瘫痪。


ACK Flood: 目前ACK Flood并没有成为攻击的主流,而通常是与其他攻击方式组合在一起使用。


NTP Flood:攻击者使用特殊的数据包,也就是IP地址指向作为反射器的服务器,源IP地址被伪造成攻击目标的IP,这样一来可能只需要1Mbps的上传带宽欺骗NTP服务器,就可给目标服务器带来几百上千Mbps的攻击流量。


SYN Flood:一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽的攻击方式。


CC 攻击:借助代理服务器生成指向目标系统的合法请求,实现伪装和DdoS攻击,这种攻击技术性含量高,见不到真实源IP,见不到特别大的异常流量,但服务器就是无法进行正常连接。


DNS Query Flood:操纵大量傀儡机,向目标服务器发送大量的域名解析请求,解析过程给服务器带来很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。


网络攻防之有效抵御DDOS攻击



3.如何有效抵御DDoS

DDoS防护就是快速分析、识别和缓解恶意流量。


1) 缓解方案的服务等级协议(SLA)

缓解时间(time to mitigation)简称TTM,即第一个DDoS数据包攻击系统与DDoS缓解系统开始清理传入流量之间的时间,确保在几秒内缓解任何DDoS攻击——而不仅仅是简单的攻击媒介。


2) 充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力,DDoS攻击是直接解析域名IP进行攻击的,从而对域名ip进行各种发包,导致宽带流量处于峰值,用户便无法正常访问。充足的网络带宽保证,能有效避免绝大部分的DDoS攻击。


3) 尽量避免 NAT 的使用

无论是路由器还是硬件防火墙设备要尽量避免采用网络地址转换 NAT 的使用, 因为采用此技术会较大降低网络通信能力。NAT 需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多 CPU 的时间。


4) 运用CDN技术

CDN 也是带宽扩容的一种方法,核心技术在于内容调度和网络流量管理,通过对用户的就近性以及服务器负载的判断,CDN能保证网站内容以一种极高效的形式为用户提供服务。使用CDN加速后,相当于 在服务器和用户之间增加一个中转站,这样就能达到隐藏服务器真实ip的效果。

 

小结:

网络安全就是生产力,学习相关安全知识,更加有利于抵御日趋严重的网络攻击,防范于未然。网络靶场是构建网络安全能力的关键基础,更有效地实现与网络安全相关的学习、研究、检验、竞赛、演习等行为,从而提高人员及机构的网络安全对抗水平。洞见信息在网络靶场领域多年耕耘,有着深厚的技术与经验积累,各种实战模拟带您飞速提升网络安全知识。






网络攻防之有效抵御DDOS攻击网络攻防之有效抵御DDOS攻击

↑↑↑长按图片识别二维码关註↑↑↑



原文始发于微信公众号(全栈网络空间安全):网络攻防之有效抵御DDOS攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月29日14:58:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络攻防之有效抵御DDOS攻击http://cn-sec.com/archives/947768.html

发表评论

匿名网友 填写信息