节前,集团一个分公司的网站被DDOS(分布式拒绝服务)攻击了。过去我也曾看到过一些客户遭到DDOS攻击,但主要都是一些网络游戏、互联网金融类的客户,像我们分公司这种普通的公司网站还是头一次遇到。防御和攻击是一个迭代的动态过程,攻击者总是要研究既有防御体系的漏洞,而成功的渗透必将促使防御系统的升级,这反过来又将逼迫攻击者采取新的攻击手段,如此循环往复。
为了能够更好的防御DDOS攻击,我们有必要站在攻击者的角度来研究下什么是DDOS攻击,以及如何来发起一次有效的DDOS攻击。
对DDOS(分布式拒绝服务)攻击的一个定义是:利用大量分布在网络不同位置的攻击端,向服务提供者发起大量请求,从而消耗或长期占用大量资源,最终以阻止服务的正常运行为目的。
曾经,有一个客户遇到了DDOS攻击,他就干脆把服务器关了,我告诉他:这样对方就赢了。
后来我知道:这个客户的做法还是有一定道理的。
有时,攻击者就是通过发起DDOS攻击来调动管理人员的注意力,企图掩盖攻击的真正意图,以方便“趁火打劫”。
当你无法理解攻击者的动机时,想想对方会不会是“明修栈道、暗度陈仓”吧。
另外,其他常见的动机包括:
报复、早期的DDOS攻击一般都和政治事件相关,攻击者为了惩罚某个行为而发动的攻击,在很多时候,受害者和触发攻击的行为无关,完全是不幸“躺枪”。
勒索、后来,攻击者开始考虑商业利益。攻击者在发起短暂的攻击后,通常都会主动的联络受害者,要求支付赎金,并威胁还将发动更猛烈的攻击。攻击者通常选择防御能力较差的组织下手,并且会选择比较恰当的时机发动攻击,在此情况下,绝大多数受害者都会支付赎金。
恶意竞争、再往后,攻击者开始有了分化,攻击者并非都是网络高手。在现在,很多攻击都是由非专业人士“购买”攻击服务(DDOSaaS)来针对业务上的竞争对手发起的。
在黑色产业链中,有人专门负责挖掘漏洞、有人专门负责制作攻击工具、还有人专门使用各种攻击工具来渗透大量的PC、服务器、甚至是智能设备来构建所谓的“僵尸网络”,再通过出售僵尸网络的攻击能力来获利。
僵尸网络是几乎所有DDOS攻击发起的源头。
僵尸网络的特点:
僵尸网络具有高度可控性,控制者通过CC服务器来发布命令,无需逐一的登录僵尸网络的所有成员。
僵尸网络具有高度自主性,僵尸网络的成员在获得指令后,可以自主的协同工作,攻击者无需干预。
目前,主要的僵尸网络都在使用技术,采取分布式的控制管理,很难摧毁。
僵尸网络不除,DDOS攻击就难以从根本上杜绝,只能采取缓解的策略
在制订缓解方案时,首先要知道对方的攻击目标。
按照攻击目标的不同,分布式拒绝服务攻击主要有三种:
攻击带宽资源、
攻击网络带宽型的DDOS攻击通常都会利用“反射攻击”来放大攻击流量,所谓的反射攻击通常会利用DNS或NTP等基于UDP的协议。以DNS反射攻击为例,攻击者会维护一张DNS服务器的列表,这些服务器就是所谓的“反射点”,通过伪造DNS查询,将查询的源地址篡改为攻击目标,通过进行一次包含大量信息的DNS“查询”,攻击者利用少量的查询流量就会对受害者造成数十倍的攻击流量打击,与DNS攻击手法类似的NTP反射攻击的放大效果甚至可以达到700倍以上。因此攻击者借助于很少量的僵尸网络节点就可以发动几百G流量的DDOS攻击。
攻击系统资源
与攻击带宽资源不同,攻击系统资源的DDOS攻击通常都是“慢”性子。这些系统资源包括TCP连接、SSL连接等。其中一种攻击系统资源的攻击就是通过缓慢的建立“半连接”来消耗受害者的TCP连接表项,最终阻止受害者建立正常的TCP连接。
攻击应用资源
最常用的应用服务就是WEB服务,近些年来大量的攻击都是特别针对WEB服务的。这些攻击有利用慢速的POST上传来消耗WEB服务器资源的,也有利用经过特别设计的字符串来让WEB应用的字符串正则表达式引擎“陷入无限循环的”,总之是各种攻击手法层出不穷。
在实际的攻防过程中,攻击者几乎总是混合使用多种攻击手法来实现效果最大化,作为防御者,必须考虑所有可能的攻击手段,分别进行防御。作为防守的一方,你需要考虑所有可能的攻击方向,而只要漏掉了一点,对方就“赢”了,但对方“赢”了,未必就代表你“输”了。
某位安全大神说:在信息安全领域,即便花了钱,依然不能保证不会被黑。因此,这个世界上才只有两种人:一种是知道自己被黑的,另一种是不知道自己被黑的。
既然所有人都会被黑,所以即便被黑了,也不是世界末日,亡羊补牢总是不晚。
