#互联网攻击已成常态
辛苦建好了自己的私有云、公有云环境,发现安全是不容忽视的重要角落。像私有云的环境,出口带宽往往只有几百兆,而攻击流程现在超过Tb级。随着安全事件的频繁,安全人员的工资也水涨船高,在互联网企业成为重要的支撑岗位。我们对耳熟能祥的DDOS攻击进行再次的简要学习。
一、DDOS攻击像狼群战术
DDOS攻击主要针对有商业价格的网站,例如游戏服务器、网吧等,攻击时间短、流量大、突发性大、防御难度大。
就像国庆节等重大节目放假时,平常正常的高速公路收费站,突然涌入太多的汽车,造成全部中断。如同下图。
DDOS攻击有两种类型:带宽型攻击、资源消耗型攻击。带宽型攻击使用超Tb级的带宽直接堵塞服务器的所有带宽,造成正常业务带宽被阻塞;如同高速路收费站,正常每小时收费5000台汽车,如果同时来了500百万台恶意的汽车阻塞,则正常汽车通行则全面受阻。而资源消耗型攻击则消耗服务器的正常响应,主要是http、tcp类的握手式攻击;如同高速路收费站,恶意的汽车到收费站,收费员要求司机缴费,而司机拒绝回话,造成单个用户的收费处理时间大幅上升。
二、DDOS攻击原理
攻击者(Attacker)控制了大量的僵尸主机(Zombies),用于攻击Web网站等,攻击者一般会通过跳板机进行控制(避免被追溯)。目前随着互联网的用户带宽提速,一般用户带宽会达到100M、200M,因此目前的DDOS攻击带宽超Tb级将成为常态。
三、常见的三种攻击
1、Syn Flood,利用Tcp的三次握手机制进行攻击。正常用户访问服务器是3次握手,每次握手将消耗服务器的正常资源。而攻击者可以通过伪造源ip地址、或直接用大量肉鸡ip,发送请求报文,对服务器的握手成功请求不回应,造成服务器大量的资源被消耗。这种攻击是资源消耗型的攻击,是最难防的一种攻击类型。
该类型攻击的防护,可以通过防火墙方式进行防护。客户对服务器的访问,将通过防火墙进行代理,由防火墙对客户进行三次握手,成功之后,再由防火墙向真实的服务器进行三次握手。所有流程如果正常,来自该客户的ip将通过SynCookie记录,以后直接通过,以提高访问效率。
2、DNS Flood,利用DNS请求不需要三次握手确认,大量请求DNS业务,造成DNS服务器中断。攻击者利用伪造的ip地址大量发起dns查询的请求,造成递归dns服务器存储了大量的dns、ip的映射信息,造成正常DNS请求失效。DNS Flood也属于资源消耗型的攻击。
DNS攻击也可以造成反射攻击。攻击者发起小流量 4M的伪造ip地址(某网吧的真实地址),DNS将查询到的DNS信息发送给该伪造ip地址,流量可能达到100M,造成某网吧接受到大量的流量,影响正常网吧业务。
3、HTTP Flood,可以利于服务器查询数据库造成业务过载。例如下图,攻击者发起大量的需要数据库验证的攻击请求(如验证用户名密码是否正确),造成Web Server向后台的数据库发起大量业务请求,从而造成真实的业务请求无法回应,该攻击方式也是大家熟悉的CC攻击。