DDoS攻击,全称为分布式拒绝服务攻击(Distributed Denial of Service attack),是一种常见的网络安全攻击方式。这种攻击形式主要通过恶意流量消耗网络或网络设备的资源,从而导致网站无法正常运行或在线服务无法正常提供。
攻击者通常出于以下目的实施DDoS攻击:
商业竞争:部分行业存在恶意竞争(例如游戏行业),竞争对手通过DDoS攻击破坏对手的在线服务,导致对手的客户大量流失,以在商业竞争中获得优势。
敲诈勒索:攻击者通过攻击目标网站,对网站所有者进行勒索,要求支付赎金才会停止攻击。
示威或政治动机:某些组织或个人通过DDoS攻击进行网络抗议,以吸引公众注意或表达自己的政治主张等。
在DDoS攻击中,攻击者通过控制大量的网络设备(例如个人电脑、服务器、物联网设备),向攻击目标(例如网站、Web服务器、网络设备等)发出海量的、但并不是出于正常业务需要的访问请求,来耗尽目标系统或网站的资源,让用户无法正常使用该系统或访问该网站,从而达到破坏网站或在线服务正常运营的目的。
攻击者可利用恶意软件或攻击目标系统的漏洞等安全薄弱环节,对攻击目标方接入互联网的设备(即“傀儡机”)进行控制。同时,对被控制设备发送远程指令,让其对目标网站或服务发起DDoS攻击。被控制设备的访问流量通常难与正常的访问流量区分开。
受到DDoS攻击时,网站或服务的响应速度会突然变慢或无法访问。有以下迹象时需警惕是否出现了DDoS攻击:
网络连接正常的情况下,网站或在线服务突然无法访问或访问速度明显变慢,服务器突然出现连接断开、用户掉线等情况。
来自单个来源的IP地址或地址范围的网络流量激增。
服务器CPU或内存占用率出现不明原因的激增。
出现异常流量情况,比如在非正常的时间段频繁出现(例如每隔几分钟)流量峰值。
DDoS 攻击还有其他更具体的迹象,具体取决于攻击的类型,例如网络层DDoS攻击中特定类型的请求(SYN请求)会突然增多等。
DDoS攻击类型 | 具体的攻击类型 | 危害及防护思路 |
应用层攻击 |
| 模拟正常的用户请求,通过向目标服务器或系统发送大量正常的HTTP请求,使Web应用程序耗尽处理能力,直接影响Web应用的功能和性能,例如Web响应、访问数据库、磁盘读写等。 应用层攻击与正常的业务请求没有明显的区分,所以比较难以辨认。 因此需关注Web服务中一些资源消耗较大的任务,比如Web应用中的分页和分表、文件的上传和下载、大文件或多个文件同时传输、后台定时任务、资源密集型API调用、实时图形渲染或复杂的数据可视化等。可以考虑对请求的频率进行限制,防止过多请求达到应用程序,或对应用程序的资源进行管控,避免单一用户或IP地址消耗过多资源。 |
网络层或协议攻击 |
| 利用协议通信的恶意连接请求或伪造连接请求来耗尽网络资源。TCP通信过程通过三次握手建立连接,其中包括发送SYN包和ACK包。攻击者会发送大量SYN包用于建立TCP的初始连接,但不完成后续的握手过程(即不响应服务器发回的SYN-ACK包),导致服务器为了维护这个半连接状态持续分配资源,最终资源耗尽,达到拒绝服务的状态。 因此需要配置防火墙规则、黑白名单功能来识别和阻止异常或恶意的网络流量。 |
容量耗尽型攻击 |
| 通过向攻击目标发送大量的数据包,消耗目标系统的可用带宽来造成网络拥塞。 DNS Flood攻击还可以利用伪造的IP地址向开放式DNS服务器发出海量的域名查询请求(虚假请求),让DNS服务器无法响应正常的域名查询请求。 因此可以考虑增加足够的带宽来确保受到攻击时服务可用,或使用CDN来分散流量,可在一定程度上缓解攻击流量带来的影响。 |
防止DDoS攻击的关键是准确区分攻击流量与真实的用户流量。
通过防护工具定期扫描,确认资产是否受到了攻击。
使用专业的DDoS服务对流量进行清洗,分离和拦截恶意流量。
阿里云为您提供DDoS防护解决方案,具体包括:
DDoS基础防护(免费)
为您购买的阿里云产品(ECS、负载均衡、EIP(包含绑定NAT网关的EIP)、轻量应用服务器、全球加速、Web应用防火墙)提供500 Mbps~5 Gbps的DDoS防护能力。具体介绍,可参见上述云产品的相关文档。
DDoS原生防护
以透明方式接入的DDoS原生防护,防护对象为部署在阿里云的资源。详细介绍,请参见什么是DDoS原生防护。
DDoS高防
以代理接入模式防护端口和域名的DDoS高防,可防护非阿里云主机。详细介绍,请参见什么是DDoS高防。
您可参考选型指引,选择合适的DDoS防护产品。
友情链接:
