本篇首先介绍了DDoS攻击的定义、特点和分类,然后介绍了华为Anti-DDoS方案关键技术以及华为云清系统;另外,还介绍了华为Anti-DDoS的硬件产品型号、部署方式和部署模式,这些是读者了解华为Anti-DDoS方案必须掌握的入门级概念。
1.1 什么是DDoS攻击
1.1.1 DDoS攻击的定义
DDoS的前身是DoS(Denial of Service,拒绝服务),最基本的DoS攻击是指攻击者利用大量合理的服务请求来占用过多的攻击目标的服务资源,从而使合法用户无法得到服务响应的过程。DoS 攻击一般采用一对一的方式,当攻击目标各项性能指标不高时(例如 CPU 速度低、内存小或者网络带宽小等),它的效果是明显的。
随着计算机处理能力的不断提高,网络带宽迅速增长,以往的受攻击目标对这些恶意请求的“消化能力”增强了很多,这就使得Dos攻击的困难程度大大增加。一个攻击者无法使目标“拒绝服务”,那么攻击者会同时发起多个攻击,这时 DDoS(Distributed Denial of Service,分布式拒绝服务)攻击也就应运而生了。DDoS攻击是指攻击者控制僵尸网络中的大量僵尸主机向攻击目标发送大流量数据,耗尽攻击目标的系统资源,导致其无法正常地响应服务请求。
1.1.2 DDoS攻击的特点
..DDoS攻击很容易被发起
DDoS攻击的发起很容易,攻击者可以很方便地从互联网获取各类DDoS攻击工具,从而发起攻击。比较出名的发起DDoS的免费工具有卢瓦(LOIC)、HOIC(LOIC升级版)、XOIC、Hulk、DAVOSET、黄金眼等。DDoS攻击者还可以购买僵尸网络或者DDoS攻击服务,有的攻击者甚至可以借助正常的软件或网站发起攻击。
..DDoS攻击防御难度大
DDoS 攻击防御难度大,攻击会损害受害者的金钱、服务和信誉。报告显示,65%以上的DDoS攻击每小时给受害企业造成的损失高达一万美元。例如2016年10月,针对美国DNS服务提供商Dyn公司的一系列DDoS攻击导致Twitter、GitHub、BBC、华尔街日报、Xbox官网、CNN、HBO Now、星巴克、纽约时报、The Verge、金融时报等大量站点无法正常访问,造成的损失不可估量。
1.1.3 DDoS攻击的分类
DDoS 攻击根据攻击方式划分有以下三种类型:泛洪攻击(Flood)、畸形报文攻击(Malformation)和扫描探测类攻击(Scan&Probe)。
1.泛洪攻击
泛洪攻击是一种攻击者通过僵尸网络、代理或直接向攻击目标发送大量伪装的服务请求报文,最终耗尽攻击目标的资源的攻击方法。攻击者发送的大量报文可以是TCP的SYN和ACK报文、UDP报文、ICMP报文、DNS报文、HTTP/HTTPS报文等。
近年来,泛洪攻击又发展出了一种高级形式,即反射攻击。反射攻击并不是攻击者直接向攻击目标发起大量的服务请求,而是攻击者控制僵尸网络中的海量僵尸主机,将其伪装成攻击目标,然后这些僵尸主机以攻击目标的身份向网络中的服务器发起大量服务请求。网络中的服务器会响应大量的服务请求,并发送大量的应答报文给真正的攻击目标,从而造成真正的攻击目标性能耗尽。
反射攻击大多是由UDP flood变种而来的,它反射的是UDP报文,例如NTP、DNS、SSDP、SMTP、Chargen 等。攻击者为什么会选中 UDP 报文呢?因为 UDP 的响应(Response)报文大小要大于请求(Request)报文,这样攻击者就实现了放大攻击流量的目的。
以NTP报文为例,NTP的Monlist命令被用来查询最近所有和服务器通信的记录,服务器会返回最多600个通信记录,这样流量就被放大了数百倍。如果攻击者控制成千上万的僵尸主机,并将其伪装成攻击目标,并向NTP服务器发送大量此命令,那么反射给攻击目标的流量数量可想而知!
2.畸形报文攻击
畸形或特殊报文攻击通常是指攻击者发送大量有缺陷或具有特殊控制作用的报文,从而造成主机或服务器在处理这类报文时造成系统崩溃的过程。常见的畸形报文攻击有Smurf、Land、Fraggle、Teardrop、WinNuke攻击等。特殊控制报文攻击包括超大ICMP报文、ICMP重定向报文、ICMP不可达报文和各种带选项的IP报文攻击。
3.扫描探测类攻击
扫描探测类攻击是一种潜在的攻击行为,并不具备直接的破坏行为。它通常是指攻击者发动真正攻击前的网络探测行为,例如IP地址扫描和端口扫描等
1.1.4 DDoS攻击分析
..DDoS攻击类型
通过以上描述,大家应该对DDoS攻击有了初步的了解。下面我们再为大家分析一下当前DDoS攻击的趋势,让大家对我们当今所处的网络环境中的DDoS攻击有一个初步的认识。
如图1-3所示,华为未然实验室现网络攻击事件统计数据显示,SYN flood、UDP flood(包括UDP类反射放大攻击)、HTTP get flood、DNS query flood等依然是DDoS攻击的惯用手段。
1)SYN flood
SYN flood攻击是DDoS攻击中的经典方式,也是最古老和原始的DDoS攻击方式。在网络发展初期,SYN flood攻击就是DDoS攻击的代名词。SYN flood攻击具有攻击简单、防御难的特质。SYN flood攻击使用的是最简单、最常用的、被用于TCP三次握手的SYN报文,所以其发起攻击十分简单;而且,SYN报文是TCP连接建立的第一个报文。单独来看,每一个SYN报文都是正常的,防御设备不会对其采取任何措施。
(2)UDP flood
UDP flood攻击目前已经取代SYN flood攻击,成为DDoS攻击中的主要方式。具体原因如下:第一,UDP 都是无连接的协议,不提供可靠性和完整性校验,因此其成为攻击者理想的利用对象;第二,UDP 种类繁多,防御起来难度更大;第三,传统 UDP 攻击是攻防者之间关于带宽的比拼,而反射型的 UDP 攻击让攻防者不再对等,因为反射出来的攻击流量要远远大于攻击者投入的流量。
(3)HTTP flood
HTTP flood攻击迅速发展的原因如下:第一,HTTP的应用十分广泛;第二,网页和应用中的漏洞比较容易被攻击者利用构造HTTP反射类的攻击。例如,攻击者在海量访问的网页中嵌入指向攻击目标网站的恶意 JavaScript 代码,当互联网用户访问该网页时,流量会被反射到攻击目标网站。
(4)DNS flood
DNS flood攻击DNS服务器的代价小,影响范围广,能够造成恐慌,因此此类攻击仍占有较大比例。
..DDoS攻击目标
DDoS 的攻击目标主要为游戏、电子商务、互联网金融等,如图1-4所示。这些都是利润较高的行业,且是竞争最激烈的行业。因此恶意竞争是目前DDoS攻击的主要动机。利润越高、竞争越激烈的行业,遭受攻击的频率越高。
游戏行业作为近几年兴起的新兴行业,已经成为 DDoS
攻击的“重灾区”。游戏行业也是竞争最激烈的行业之一,在线游戏和直播网站一旦被攻击,玩家将直接掉线,由此带来的损失非常大。游戏行业用户基数大、用户类型多、在线维护难度大的特点,也使其极易受到DDoS攻击。另外,由于很多游戏是基于私有协议开发的,传统的DDoS防御手段在没有贴合业务特性的情况下,防御DDoS攻击较难。
