什么是 DDoS 攻击?
欢迎访问网易云社区,了解更多网易技术产品运营经验。html
全称Distributed Denial of Service,中文意思为“分布式拒绝服务”,就是利用大量合法的分布式服务器对目标发送请求,从而致使正常合法用户没法得到服务。通俗点讲就是利用网络节点资源如:IDC服务器、我的PC、手机、智能设备、打印机、摄像头等对目标发起大量攻击请求,从而致使服务器拥塞而没法对外提供正常服务,只能宣布game over,详细描述以下图所示:html5
DDoS攻击示意图web
二、黑客为何选择DDoS
不一样于其余恶意篡改数据或劫持类攻击,DDoS简单粗暴,能够达到直接摧毁目标的目的。另外,相对其余攻击手段DDoS的技术要求和发动攻击的成本很低,只须要购买部分服务器权限或控制一批肉鸡便可,并且攻击相应速度很快,攻击效果可视。另外一方面,DDoS具备攻击易防守难的特征,服务提供商为了保证正常客户的需求须要耗费大量的资源才能和攻击发起方进行对抗。这些特色使得DDoS成为黑客们手中的一把很好使的利剑,并且所向霹雳。服务器
从另外一个方面看,DDoS虽然能够侵蚀带宽或资源,迫使服务中断,但这远远不是黑客的正真目的。所谓没有买卖就没有杀害,DDoS只是黑客手中的一枚核武器,他们的目的要么是敲诈勒索、要么是商业竞争、要么是要表达政治立场。在这种黑色利益的驱使下,愈来愈多的人参与到这个行业并对攻击手段进行改进升级,导致DDoS在互联网行业愈演愈烈,并成为全球范围内没法攻克的一个顽疾。网络
三、DDoS的攻击方式
一种服务须要面向大众就须要提供用户访问接口,这些接口偏偏就给了黑客有可乘之机,如:能够利用TCP/IP协议握手缺陷消耗服务端的连接资源,能够利用UDP协议无状态的机制伪造大量的UDP数据包阻塞通讯信道……能够说,互联网的世界自诞生之日起就不缺少被DDoS利用的攻击点,从TCP/IP协议机制到CC、DNS、NTP反射类攻击,更有甚者利用各类应用漏洞发起更高级更精确的攻击。分布式
从DDoS的危害性和攻击行为来看,咱们能够将DDoS攻击方式分为如下几类:工具
a)资源消耗类攻击大数据
资源消耗类是比较典型的DDoS攻击,最具表明性的包括:Syn Flood、Ack Flood、UDP
Flood。这类攻击的目标很简单,就是经过大量请求消耗正常的带宽和协议栈处理资源的能力,从而达到服务端没法正常工做的目的。spa
b)服务消耗性攻击3d
相比资源消耗类攻击,服务消耗类攻击不须要太大的流量,它主要是针对服务的特色进行精肯定点打击,如web的CC,数据服务的检索,文件服务的下载等。这类攻击每每不是为了拥塞流量通道或协议处理通道,它们是让服务端始终处理高消耗型的业务的忙碌状态,进而没法对正常业务进行响应,详细示意图以下:
服务消耗类攻击
c)反射类攻击
反射攻击也叫放大攻击,该类攻击以UDP协议为主,通常请求回应的流量远远大于请求自己流量的大小。攻击者经过流量被放大的特色以较小的流量带宽就能够制造出大规模的流量源,从而对目标发起攻击。反射类攻击严格意义上来讲不算是攻击的一种,它只是利用某些服务的业务特征来实现用更小的代价发动Flood攻击,详细示意图以下:
反射类攻击
d)混合型攻击
混合型攻击是结合上述几种攻击类型,并在攻击过程当中进行探测选择最佳的攻击方式。混合型攻击每每伴随这资源消耗和服务消耗两种攻击类型特征。
四、DDoS防御困难
一方面,在过去十几年中,网络基础设施核心部件从未改变,这使得一些已经发现和被利用的漏洞以及一些成成熟的攻击工具生命周期很长,即便放到今天也依然有效。另外一方面,互联网七层模型应用的迅猛发展,使得DDoS的攻击目标多元化,从web到DNS,从三层网络到七层应用,从协议栈到应用App,层出不穷的新产品也给了黑客更多的机会和突破点。再者DDoS的防御是一个技术和成本不对等的工程,每每一个业务的DDoS防护系统建设成本要比业务自己的成本或收益更加庞大,这使得不少创业公司或小型互联网公司不肯意作更多的投入。
五、DDoS防御手段
DDoS的防御系统本质上是一个基于资源较量和规则过滤的智能化系统,主要的防护手段和策略包括:
a)资源隔离
资源隔离能够看做是用户服务的一堵防御盾,这套防御系统拥有无比强大的数据和流量处理能力,为用户过滤异常的流量和请求。如:针对Syn Flood,防御盾会响应Syn Cookie或Syn Reset认证,经过对数据源的认证,过滤伪造源数据包或发功攻击的攻击,保护服务端不受恶意链接的侵蚀。资源隔离系统主要针对ISO模型的第三层和第四层进行防御。资源隔离示意图以下:
资源隔离示意图
b)用户规则
从服务的角度来讲DDoS防御本质上是一场以用户为主体依赖抗D防御系统与黑客进行较量的战争,在整个数据对抗的过程当中服务提供者每每具备绝对的主动权,用户能够基于抗D系统特定的规则,如:流量类型、请求频率、数据包特征、正常业务之间的延时间隔等。基于这些规则用户能够在知足正常服务自己的前提下更好地对抗七层类的DDoS,并减小服务端的资源开销。详细示意图以下:
用户规则清洗
c)大数据智能分析
黑客为了构造大量的数据流,每每须要经过特定的工具来构造请求数据,这些数据包不具备正经常使用户的一些行为和特征。为了对抗这种攻击,能够基于对海量数据进行分析,进而对合法用户进行模型化,并利用这些指纹特征,如:Http模型特征、数据来源、请求源等,有效地对请求源进行白名单过滤,从而实现对DDoS流量的精确清洗。
指纹过滤清洗
d)资源对抗
资源对抗也叫“死扛”,即经过大量服务器和带宽资源的堆砌达到从容应对DDoS流量的效果
网易云DDoS 高防拥有1T 超大防御带宽,为您提供超强的 DDoS 攻击保障服务,点击可免费试用。
以上文章来自网易云社区的博文《理解DDoS防御本质:基于资源较量和规则过滤的智能化系统》。
相关文章:
【推荐】 selenium下拉框踩坑埋坑
【推荐】 wap html5播放器和直播开发小结