查看原文
其他

DDoS 攻击的误区

计算机与网络安全 计算机与网络安全 2022-06-01

一次性进群,长期免费索取教程,没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号:微信群;QQ群:16004488


微信公众号:计算机与网络安全

ID:Computer-network

对DDoS攻击,大部分人的认知来源于新闻报道。新闻报道这种方式在普及DDoS危害性的同时,也会不自觉地引入一些误区。例如,针对各国政府和国际知名企业的攻击更受媒体关注,这导致很多人会认为中小网站不会遭遇DDoS。此外,报道中经常将攻击流量的数字放在醒目的位置,提醒这次攻击的严重性,然而事实上流量的大小并不等同于危害的程度。下面列出了关于DDoS常见的9个误区。


误区1:DDoS攻击都来自PC组成的僵尸网络


“DDoS攻击都是由僵尸网络发起的”,这几乎是一个安全领域的“常识”。然而,事实并非如此,至少并不完全是由PC组成的僵尸网络发起的。


随着技术的进步,服务提供商所使用的高性能服务器在处理性能和带宽方面快速提升,而传统的由PC组成的僵尸网络却发展缓慢。除了处理能力方面的因素外,PC通常只有非常有限的带宽资源,而可供利用的时间也很不确定。于是,一些“黑客”开始把目光移向高性能服务器,在“燕子行动”中,他们就这样做了。


此外,黑客组织Anonymous更喜欢组织众多真实的参与者共同发起攻击,我们也称其为“自愿型僵尸网络”。


误区2:DDoS攻击都是消耗网络带宽资源的攻击


很多时候,新闻报道中提到DDoS攻击时,都会以“攻击流量达到××”的语句来描述攻击的猛烈程度。这种以攻击流量的带宽作为DDoS攻击危害程度描述指标的说法,通常会让人们误以为DDoS攻击都是消耗网络带宽资源的攻击。


事实上,除了网络带宽资源,DDoS攻击还有消耗系统资源和应用资源的攻击方法,而攻击流量的大小只是决定攻击危害程度的一个方面。对于相同种类的攻击,通常攻击流量越大,其危害也越大;而如果在相同攻击流量的情况下,不同的攻击方法造成的危害和影响则不尽相同。


有时候,人们会错误地将SYN洪水攻击认为是消耗网络带宽资源的DDoS攻击,而事实上,这种攻击的主要危害在于耗尽系统连接表资源。相同攻击流量的SYN洪水攻击会比UDP洪水攻击的危害更大。

误区3:DDoS攻击都是洪水攻击


在提到DDoS攻击时,人们通常会条件反射性地想到UDP洪水攻击、SYN洪水攻击、RST洪水攻击等,并会由此认为DDoS攻击都是洪水攻击。


事实上,洪水攻击确实占据了DDoS攻击方法中相当大的比例,但并不是所有的DDoS攻击都是洪水攻击。除了洪水攻击外,还有一些被称为慢速攻击(Low and Slow Attack)的攻击方法。消耗或长期占用大量资源,从而达到拒绝服务的目的。洪水攻击就是通过快速发送大量数据和请求,达到迅速消耗大量资源的目的;而慢速攻击则有所不同,它会缓慢而坚定地发送请求并长期占用,一点一滴地蚕食目标的资源。


如果把DDoS攻击某个特定目标看作是一次杀手的谋杀任务,那么洪水攻击就是杀手手持机关枪直接射击目标,而慢速攻击则是《勺子杀人狂》中的杀手使用一把勺子完成了谋杀任务。


误区4:普通人不会遭遇DDoS攻击


如果你没有自己的在线网站或服务,自然无须担心。但如果你是一个网站的经营者,哪怕收入不多,甚至是非营利性质的,以下的想法也大错特错。“网上这么多站点,更出名的多的是,黑客怎么会攻击我?经营最近刚上轨道,挣钱还没多少,也没得罪过谁,黑客应该不会选中我吧?”


其实这样想,本身就已经进入了误区。网络世界遵循的并不是“人不犯我,我不犯人”的规则,一切只为了利益。网络犯罪团伙会为了利益进行敲诈,攻击名气大的站点的确可能获得更高收益,但成本和风险同时也会增加;而规模较小的网站防护能力薄弱,更容易得手。竞争也是DDoS的重要原因之一,新进者可能攻击领先者以抢夺用户,而领先者也可能攻击新进者来消除隐患。至于恶意的报复性攻击,则完全不会考虑规模之类的因素。


总之,网站的名气和盈利状况并不会影响攻击行为本身。只要你的网站是可被攻击的,那么它就可能遭遇DDoS,普通人同样难以幸免。


误区5:只有“黑客”才能发起DDoS


“只有‘黑客’才能发起DDoS”这个问题有些类似“只有士兵才能持枪射击”。技术的发展必然会促进分工,当前枪械的制造和使用早已完全分离,使用的难度也大幅降低。如果对准确度要求不高,射击就不再是一项专业技能,普通人经过少许练习就能够使用枪支。


网络攻击同样如此。当前大部分“黑客”都专注于特定领域,有的擅长发现漏洞,有的善于开发工具,有的负责入侵过程,有的专门处理账户信息。就DDoS攻击来说,一些“黑客”会建立和维护所谓的“攻击网络”。他们有的利用僵尸网络,有的控制高性能服务器,形成攻击能力后对外提供租用服务。而最终的租用者很可能只是不具备任何专业知识的普通人。这些服务使用方便,只要输入攻击目标的地址就可以完成整个攻击过程。发起DDoS攻击的可能是本地的网络黑帮,可能是对街的竞争对手,可能是上周被开除的员工,甚至可能是某个老朋友有些过火的玩笑。潜在的攻击者并不遥远,他们也许就在你的身边。


误区6:DDoS攻击的目的就是单纯破坏


在很多人眼中,“黑客”其实是天才和白痴的混合体。一方面,他们在网络中如超人般无所不能;另一方面,他们却像“哥斯拉”般四处喷火,为了破坏而破坏,完全是损人不利己。毋庸置疑,DDoS攻击的直接后果是破坏服务的可用性,简直是这一看法的完美证据。可实际上,这些隐藏在面具后的是一双双能够计算比特币的眼睛。当今时代的攻击者,对计算收益的敏感性远超常人。他们会用破坏的威力换取对等的利润,会用破坏的威慑避免自身可能受到的损失,会用破坏的杠杆撬起胜负的天平。更有时候,只需提示一下破坏的可能性,他们就可以坐地收银。胜负的天平。更有时候,只需提示一下破坏的可能性,他们就可以坐地收银。


破坏,只是DDoS攻击的手段;最终的目的,永远是利益。


误区7:防火墙和入侵检测/防御系统能够缓解DDoS攻击


防火墙是最常用的安全产品,但是防火墙的设计原理中并没有考虑针对DDoS攻击的缓解。传统的防火墙是以高强度的检查作为代价来进行防护的,检查的强度越高,计算的代价越大。而DDoS攻击中的海量流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务。同时,传统防火墙一般都部署在网络入口位置,虽然这是某种意义上保护了网络内部的所有资源,但是往往也成为DDoS攻击的目标。入侵检测/防御系统是应用最广泛的攻击检测/防护工具,但在面临DDoS攻击是,入侵检测/防御系统通常也不能满足要求。入侵检测/防御系统一般是基于规则进行应用层攻击的检测,在其设计之初就是作为一种基于特征的应用层攻击检测设备。但是目前的DDoS攻击大部分采用基于合法数据包的攻击流量,因此入侵检测/防御系统无法对DDoS攻击进行基于特征的有效检测。同时,入侵检测/防御系统也面临着和防火墙同样的性能问题。


误区8:系统优化和增加带宽能够有效缓解DDoS攻击


系统优化主要是指对被攻击系统的核心参数进行调整,例如增加TCP连接表的数量,降低TCP建立连接的超时时间等。对于小规模的DDoS攻击,系统优化的方法的确具有一定程度的缓解作用。但当攻击者成倍地增大DDoS攻击的规模和攻击流量时,这些系统优化的作用就显得微乎其微了。


增加带宽实际上属于一种退让策略,这种退让策略还包括购买冗余硬件、增添性能更好的服务器等。只要攻击者的DDoS攻击造成资源消耗不高于目前的带宽、计算等资源的承载能力,那么攻击就是无效的;而一旦DDoS攻击的资源消耗超出了目前的承载能力,则通过再次退让来使其无效化。增加带宽等退让策略从理论上讲的确能够完全解决DDoS攻击的问题,然而在实际上这种方式并不符合经济规律。事实上,攻击者增大DDoS攻击规模的成本并不高,而采用退让策略缓解DDoS攻击则需要不断增加带宽、服务器等基础设施的投入,这些投入不可能无限制增加,因此退让策略也不是缓解DDoS攻击的有效方法。


误区9:DDoS的云端清洗服务和本地缓解设备可以相互替代


DDoS其实是多种攻击的统称,不同的攻击也许要不同的缓解方法。通常情况下,云端清洗服务主要采用稀释和分流的方法,擅长应对流量型DDoS攻击;而本地缓解设备能够处理的流量较小,更容易组合使用多种清洗技术,适合对抗系统资源消耗型和应用资源消耗型DDoS攻击。用户应该根据自己的业务特点和主要威胁,选择适合自身的解决方案。

    微信公众号:计算机与网络安全

    ID:Computer-network

    【推荐书籍】

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存