分布式拒绝服务(Distributed Denial of Service,简称DDoS)将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序,对一个或多个目标发起DDoS攻击,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。
简单地说,就是攻击者发送大量请求使服务器瘫痪。DDoS攻击是在Dos攻击基础上的,可以通俗理解,Dos是单挑,而DDoS是群殴,因为现代技术的发展,Dos攻击的杀伤力降低,所以出现了DDoS,攻击者借助公共网络,将大数量的计算机设备联合起来,向一个或多个目标进行攻击。
从1966年分布式拒绝服务(DDoS)攻击诞生至今,便一直威胁着网络安全,随着新技术的不断催生,导致DDoS结合新技术演变出多种攻击类型。DDoS攻击作为黑灰色产业的手段之一,使许多企业与国家蒙受巨大损失。
一、爱沙尼亚网络战
2007年4月,爱沙尼亚遭受了大规模DDoS攻击,黑客目标包括国会、政府部门、银行以及媒体的网站,其攻击规模广,影响大,这次袭击在国际军事界中广受注目,普遍被军事专家视为第一场国家层次的网络战争。
攻击的第一次高峰出现在5月3日,当天莫斯科爆发最激烈的反抗。另一次高峰是5月8日和9日,欧洲各国纪念战胜纳粹德国,攻击同步升级,最少六个政府网站被迫关闭,其中包括外交和司法部。最后一次攻击高峰是15日,该国最大的几家银行被迫暂停国外连线。爱沙尼亚《邮政时报》的编辑直指:“毫无疑问,网攻源自俄罗斯,这是一次政治攻击。”但俄罗斯多次否认与事件有关,并抨击爱沙尼亚虚构指控。这次攻击导致了网络战的国际法制定。
二、最大的DDoS攻击——GitHub遭受攻击
迄今为止,最大的DDoS攻击,发生在2018年2月。这次攻击的目标是数百万开发人员使用的在线代码管理服务GitHub。在此高峰时,DDoS攻击以每秒1.3太字节(Tbps)的速率传输流量,以每秒1.269亿的速率发送数据包。攻击者利用了Memcached数据库缓存系统的放大效应。通过使用欺骗性请求,冒充Memcached服务器,将其攻击放大约50,000倍。
幸运的是,GitHub正在使用DDoS保护服务,该服务在攻击开始后的10分钟内,自动发出警报。此警报触发了缓解过程,GitHub才能够快速阻止攻击。最终,这次世界上最大的DDoS攻击只持续了大约20分钟。
三、DDoS攻击的危害
攻击者使用分布式拒绝服务攻击时,可以利用网络设施的缺陷,伪造IP地址,间接地增加攻击流量。通过伪造源IP地址,受攻击的服务器会误认为存在大量主机与其通信。此外,黑客还会利用IP协议的缺陷,对一个或多个目标进行攻击,消耗网络带宽及系统资源,使用户无法得到正常服务。伪造IP地址发动攻击的成本远远小于组建僵尸主机,且技术成本要求较低,使得伪造IP地址发动DDoS攻击极其活跃。由于分布式拒绝服务攻击具有分布式、欺骗性、隐蔽性等特点,因此,其追踪和防范难度较大。
四、DDoS攻击的防御
国际知名公司NETSCOUT公布其调查报告结果显示,2021年上半年,网络罪犯发动了约540万次分布式拒绝服务(DDoS)攻击,比2020年上半年的数字增长11%。随着技术的不断进步,攻击源追踪技术已经在追踪速度、自动化程度、追踪精确度等方面取得显著进步。那要如何从IP源地址角度预防DDoS攻击呢?
当DDoS攻击发生时或结束后,可以根据相关信息定位攻击的来源,找到攻击者的位置或攻击来源。IP地址来源定位是防御DDoS攻击过程中的重要环节,并起到了承上启下的关键作用。精准的IP地址定位结果既可以为进一步追踪真正攻击者提供线索,也可以为其他的防御措施(如流量限速、过滤等)提供信息,还可以为法律上追究攻击者责任提供证据。
根据《Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring》研究报告,为了隐藏DDoS攻击,攻击者会降低攻击速率,使攻击流量速率接近正常访问速率,以此增加检测难度。而访问IP数量大幅度增加是DDoS攻击的一个明显特征,且此特征无法隐藏,基于此,如果能够对IP地址进行实时监测与判定,便能够有效地检测DDoS攻击,特别是攻击源地址分布均匀的DDoS攻击。新源地址出现速率可以作为攻击是否发生的依据,通过监测访问流数量变化,实现对Flash Crowd和DDoS攻击的有效区分。
同时,根据《An Entropy Based Method to Detect Spoofed Denial of Service (Dos) Attacks》研究报告,伪造源地址DDoS攻击发生时,IP源地址流数量熵值和目标地址流数量熵值均会发生较大变化,大量流汇聚导致目的地址的熵值大幅度下降,攻击流地区的分布均匀使得源地址熵值会有所增加,通过训练出的阈值,可以检测DDoS攻击。而当无攻击发生时,对某一目标地址访问的源地址分布是稳定的,且通常成簇,而DDoS攻击发生时,IP源地址的分布趋于离散,可以根据IP源地址这一特性,识别 DDoS攻击的方法。
21世纪的今天,DDoS 攻击仍然是互联网安全重要威胁之一。及时更新网络安全设备和软件,检查电脑漏洞,能够有效监测恶意软件,降低操作系统被感染的风险。同时,师生也要增强个人计算机安全防护意识,创造一个安全的计算机使用环境。
供稿人:王发晨
