DDOS攻击原理
DDoS 攻击的中文全称为分布式拒绝服务攻击,其攻击原理简单粗暴,旨在通过向目标网站(服务器)发送超过其处理能力的庞大流量来造成其瘫痪,使其无法为用户提供服务。更多参阅:什么是DDOS攻击?
这好比有一家餐厅(网站),正常情况下能同时为 100 人(网民)提供外卖送餐(内容)服务,突然来了 10000 名陌生的顾客(DDoS 攻击源,俗称“肉鸡”),恶意下了 10000 张外卖送餐的订单(DDoS 攻击请求),又在几分钟内取消,使得餐厅疲于应对,进而难以甚至无法给正常的顾客提供服务。
DDOS如何防御?
DDOS攻击为什么易攻难防?
经过多年的发展,DDoS 攻击演变出了多种不同的类型,常见的有以下三类。
HTTP 请求密集型 DDoS 攻击,通过发送超过 HTTP 服务器处理能力的请求来造成服务拒绝事件。
IP 数据包密集 DDoS 攻击,通过发送超过路由器、防火墙和服务器处理能力的数据包来造成瘫痪。
流量密集型攻击,通过饱和及堵塞互联网连接来造成“交通堵塞”。更多内容访问:常见的DDoS攻击类型
此外,虽然每种类型的 DDoS 攻击各有特点,但它们的相同之处是攻击原理,以及易攻难防。
为什么易攻?因为 DDoS 的攻击原理简单,关键在于获取足够的“肉鸡”。“肉鸡”指的网络上被黑客控制用于发动 DDoS 攻击的计算机或终端。据悉,在国际黑市中,租用 1000 台“肉鸡”同时发动 1 小时 DDoS 攻击的价格还不到 10 美元,成本非常低廉。另据中国国家计算机应急处理中心发布的数据,2023 年中国计算机病毒感染率为 70.51%,这也侧面地印证了互联网上“肉鸡”的数量之多。
为什么难防?从根本上讲,是因为它的无规律性,或者说,无法通过简单的技术手段对攻击流量进行甄别。具体来讲,笔者归纳了以下三点。
来源多且分散:DDoS 攻击的攻击源是受黑客控制“肉鸡”,它们广泛地分布在互联网的各个角落,这种分布式的特点使得我们无法简单地针对地域或源 IP 地址的规律对攻击流量进行拦截。
流量大且突然:由于攻击成本低廉,只要 DDoS 攻击方愿意,他可以在短时间内调动足够多的“肉鸡”,突然发起大流量攻击,让被攻击方束手无策。
规律少且变化:此外,攻击方还可以根据实时状况,动态地调整攻击的策略,例如对攻击强度、类型与方向进行调节,以取更好的攻击效果,让被攻击方防不胜防。
DDOS如何防御?
为您详细介绍应对 DDoS 攻击的三种典型防御手段,分别是黑洞路由、高级防护和近源清洗。
一:黑洞路由
首先我们来介绍第一种防御手段——黑洞路由。顾名思义,就是当 DDoS 攻击发生后,为了防止影响进一步扩大,客户网络向运营商网络通告一条关于受攻击服务器 IP 的黑洞路由,运营商网络收到黑洞路由后,随之停止对外通告关于该 IP 的路由,这时受攻击的 IP 地址便像从互联网中消失了一般,无法再被任何主机访问到——相当于在互联网上制造了一个路由的“黑洞”。
为了方便您更好地理解,笔者为您举个例子。如下图所示,客户网络中有 A、B、C、D 四台服务器,共用某运营商提供的互联网接入服务。突然,服务器 A 受到了来自互联网的 DDoS 攻击,服务器 A 很快就因为负载过重而瘫痪,无法对外提供服务了。更要命的是,由于攻击流量持续汹涌而至,客户网络上连的互联网出口也出现了严重的流量拥塞,这使得未被攻击的服务器 B、C 和 D 也无法正常对外提供服务。
就在这千钧一发之际,客户网络对上游运营商“大吼”一声:“服务器 A 已死!”。运营商收到消息后,也随之互联网的四面八方“叫道”:“服务器 A 已死,别再通过我找他了!”。于是,一传十,十传百,整个互联网中都传遍了服务器 A 的死讯。
就这样,互联网上所有的主机,包括“肉机”和正常电脑,均找不到服务器 A 了,DDoS 攻击流量和正常流量在互联网的边缘便被丢弃,网络拥塞的情况也随之解除。
这就是黑洞路由的工作原理。细心的读者可能会发现,黑洞路由的副作用非常大,因为正常流量也受到了影响。因此,用黑洞路由防御 DDoS 攻击的本质是“弃车保帅”,通过牺牲被攻击的服务器,解除网络拥塞,来保全客户网络。
