一、DDoS是什麼?
DDoS(Distributed Denial-of-Service Attack)全名為分散式阻斷服務攻擊,是一種惡意的網路攻擊手法。主要透過發送大量虛假需求,使流量超出目標電腦可負荷範圍,導致網頁或伺服器被迫中斷,使用者無法正常使用網頁,最終徹底癱瘓目標電腦的網路系統。可怕的是,這種攻擊的持續時間可長達數小時到數天。
由於DDoS攻擊的操作簡單且低成本,加上根本難以察覺,以至於企業或政府根本來不及應對。不論攻擊目的是因為政治動機、經濟勒索,或是單純娛樂目的,DDoS攻擊可說是防不勝防。
(一)Dos DDoS差異為何?
除了DDoS,你可能還聽說過所謂的Dos,DDoS與Dos(Denial-of-Service Attack)最大的差異在於攻擊的形式及數量,DDoS是由Dos進化而來。
隨著科技進步,過往只需電腦性能稍高就能輕鬆破解Dos攻擊,現在DDoS攻擊手法越來越複雜和難以偵測,演變至今還可能導致與目標電腦使用同區域網路的其他電腦也受到影響,甚至是整個地區的網路都無法正常運作。
- Dos阻斷服務攻擊:一對一,規模小,單個裝置就能操作,大部分不會涉及惡意軟體,起源於線上遊戲的個人爭執或報復行為,通常透過識別攻擊來源、阻擋特定IP即可阻斷攻擊。
- DDoS分散式阻斷服務攻擊:多對一,2個或2個以上殭屍網路進行攻擊,來源難以分辨因此防範難度更高,現今常與其他勒索軟體聯合使用,以便大規模地襲擊知名企業及政府單位網站。
以下也整理了簡單的表格,幫助大家快速了解Dos、DDoS的差異:
不論是DDoS還是Dos,最主要的目的都是「干擾使用者正常使用或存取網路服務」。試想當你玩手遊玩得正盡興時,幾百封的訊息通知不斷顯示及跳出,影響遊戲體驗,進而退出遊戲畫面,這就是DDoS欲達成的效果。
二、遭到DDoS攻擊的症狀一覽
你知道嗎?遭到DDoS攻擊時防火牆是無法辨識的,因為DDoS攻擊主要手法是操控大量的電腦,並且同一時間向伺服器要求正常連線,導致不正常的流量激增,讓網站癱瘓。
那要怎麼知道自己被DDoS攻擊了?可以從以下情況判斷:
- 有單個 IP 或是多個 IP 的可疑流量。
- 不正常的流量爆增。
- 網站反應時間過久。
- 網路流量在某個瞬間非常高。
- 大量流量來自特定的某個用戶,例如特定某一個區域、特定瀏覽器版本等。
- 特定網站無法存取。
- 垃圾郵件數量急劇增加。
- 伺服器容易斷線、卡頓、存取延遲。
不論是DDoS攻擊真的來襲,抑或是單純自身網路效能不好,都歡迎與COCloud聯繫,根據個別需求詢問CDN加速服務或是DDoS防禦產品喔!
三、DDoS攻擊手法有哪些?
雖然DDoS相當難察覺,其實還是有幾個跡象判別你是不是正在遭受DDoS攻擊!COCloud在此不藏私,分享幾個可以診斷的症狀給你,順道與你一起了解DDoS攻擊手法究竟有哪些。
(一)DDoS攻擊原理:OSI模型
若是想要預防DDoS攻擊,就應該先從DDoS攻擊原理開始了解;如果想要掌握DDoS攻擊原理,最適合的方式就是先認識制定網路標準參考的概念性架構,也就是OSI模型(Open System Interconnection Reference Model)。
OSI模型將網路連線通訊分成以下7個層面(Layers):
| # |
層面 | 型態 | 工作內容 | DDoS 攻擊方式 |
|---|---|---|---|---|
| 應用程式 | 資料 | 應用程式網路程序 | HTTP泛洪 | |
| 展示 | 資料 | 資料展示和加密 | SSL濫用 | |
| 工作階段 | 資料 | 中間主機通訊 | 不適用 | |
| 傳輸 | 區段 | 端對端連線和可靠性 | SYN泛洪 | |
| 網路 | 封包 | 路徑判定和邏輯定址 | UDP反射攻擊 | |
| 資料連結 | 框架 | 實體定址 | 不適用 | |
| 實體 | 位元 | 媒體、訊號和二進位傳輸 | 不適用 |
(二)3大DDoS攻擊類型
由上面表格我們可以得出並非每個網路層級都會適用DDoS的攻擊,然而整個資料傳輸是一項連動的過程,只要其中的一個層面受到干擾,發出請求與接收回應的流程就無法順利完成。根據不同的攻擊原理還可細分為頻寬消耗、資源消耗、漏洞觸發3類。
這裡我們就以上述所提的層級做分類,介紹幾個常見的DDoS攻擊手法:
【頻寬消耗型】
➡️UDP洪水攻擊
UDP洪水攻擊是一種阻斷服務攻擊,攻擊者將大量使用者資料包通訊協定 (UDP) 封包傳送到目標伺服器,藉此耗盡該設備的處理及回覆資源,導致正常用戶的資料傳輸受阻,降低用戶的操作體驗。
➡️DNS/ NTP 放大攻擊
DNS(Domain Name System)和NTP(Network Time Protocol)的攻擊策略是會生成大量擁有假冒源IP的封包,並將之導向多個DNS或NTP伺服器進行封包請求。一旦DNS或NTP伺服器完成了這些請求的處理,就會被攻擊的目標回傳回應封包。
➡️ICMP洪水攻擊
在ICMP洪水攻擊中,攻擊者利用網際網路控制訊息協定(ICMP)來傳遞資訊,會藉由通過沒有設定好的路由器來發送資訊並佔用系統資源來攻擊。網路健康和連接性的診斷工具如traceroute及ping依賴ICMP協定的功能。通常會利用ICMP請求與回覆的信息,可以對網路裝置進行ping檢測,分析裝置的狀態、可連接性以及傳送者與裝置的連線狀態。
【資源佔據型】
➡️LAND攻擊
LAND攻擊,即區域網路拒絕服務攻擊(Local Area Network Denial attack),它與SYN攻擊相似,但LAND攻擊的封包中的來源和目標IP位址均設為攻擊目標的IP,這個手法會使目標機器陷入無窮的循環,徹底消耗其資源。
➡️HTTP洪水攻擊
HTTP洪水攻擊會向目標伺服器發送很多HTTP數據包(HTTP GET、HTTP POST封包)。GET查詢通常針對固定靜態內容的提取,而POST查詢經常對動態生成的資源進行交互。讓伺服器在嘗試處理這些查詢時,消耗大量系統資源。
➡️SYN洪水攻擊
SYN(同步序列號)是TCP/IP連接建立過程中的握手訊號。攻擊者運用TCP的三次握手機制,假裝用戶端發出SYN要求,服務器隨後返回SYN/ACK請求。然而,偽造的用戶端並不提供ACK的回覆,導致伺服器不停地緩存SYN要求直至時間耗盡,從而耗盡了伺服器的資源。
➡️殭屍網路攻擊
殭屍網路大多是攻擊者會傳播惡意軟體,並組成自己的殭屍網路。
➡️應用程式級洪水攻擊
應用程式級洪水攻擊鎖定了軟體應用的層面,其核心目標是廣泛耗用系統資源。透過對網路服務應用進行過度的資源要求,讓正常的網路服務功能受到嚴重干擾。
➡️CC攻擊
CC攻擊(Challenge Collapsar attack)主要用於網頁應用。攻擊者創建大量看似正當的假冒訪問要求,以便用盡目標系統的資源。當網站突然遭遇大規模的同時連線時,它會導致網頁加載速度下降,甚至可能導致系統崩潰。
【漏洞觸發型】
這種攻擊策略透過試圖激發緩衝過量和其他漏洞,導致作業系統出現核心失誤或藍屏,最終達成阻斷服務攻擊。
譬如,「死亡之PING(Ping Of Death)」 產生的封包數超出了IP協定的承受範圍,若系統無檢查機制則將崩潰。另外,“Teardrop攻擊”則是透過篡改封包位移資訊,導致封包在重組過程中問題發生,引起錯誤。
(三)DDoS攻擊趨勢4點要留意
隨著技術演進,DDoS攻擊手法也出現了巨量化、產業化的現象,並且有計畫且系統性地進行。以下COCloud分享4點DDoS攻擊走向,讓你更深入了解此類攻擊的未來發展,以及提高資安防護重要性的意識:
- 巨流量攻擊持續進行:TB級強度、每秒數億個封包的DDoS攻擊依然持續在發生,並且規模有逐漸成長的趨勢,未來此類巨大型攻擊會越來越常見。攻擊者利用由虛擬私人伺服器(Virtual Private Server, VPS)組成的高效能殭屍網路,將攻擊的效果增強達最多5,000倍;另一方面,同時也有觀察到用作攻擊的流量不少是來自雲端,甚至超出以往利用私人網路服務供應商(Internet Service Provider, ISP)的方式,這些源自雲端可任意擴充的流量讓攻勢規模更是可觀。
- 透過API進行資安攻擊:平板、智慧型手機的使用愈趨普及,應用程式介面(Application Programming Interface, API)的需求也隨之增加。也因為其中不安全的API串接、認證與傳輸流程、資源錯置等問題,導致此類潛在資安漏洞成為DDoS攻擊者的目標。
- 多以勒索為目的的攻擊:攻擊者的目標從過往單純的「癱瘓服務」轉變為「取得報酬」,讓勒索型DDoS攻擊成為主流。藉由此類方式威脅受害組織,要求像是比特幣或是其他加密貨幣形式的贖金,攻擊者通常在初期會持續發動小型的DDoS攻擊,以此證明其攻擊預告的可信度。此外,政治因素也日漸成為發動此類攻擊的動機。
- 複雜多向量的攻擊形式:利用多種動態攻擊形式,讓合法流量和惡意流量的區別變得更加困難。像是利用基於IP的語音(Voice over Internet Protocol, VoIP),這類語音通話技術可透過網際網路進行通訊,讓攻擊者有機可乘假裝發起呼叫請求,此時就會利用針對第7層級與第3和第4層級的多重攻擊手段,令受害者難以抵禦。
四、DDoS防禦怎麼做?最佳解方告訴你!
看完DDoS定義、類型和原理,難道真的毫無方法可以防堵DDoS攻擊?別擔心,世界上並沒有萬無一失的攻擊手段,這裡就由COCloud為大家簡單介紹 9 個常見的DDoS防禦、解決方式:
-
引至黑洞路由
額外建置1個如空介面或是不存在的IP位址路線,並引導資料傳輸到此類「黑洞」存放,幾乎是所有DDoS攻擊發生時都可以使用的最有效應對方式。只是如果設定不當或是直接不篩選流量,則很可能正常使用者的流量也被過濾傳送至無效路徑,同樣導致了網路無法正常使用的結果。
-
擴大網路頻寬
前面我們曾提及其中1種攻擊方式為「頻寬消耗」,提升網路頻寬或許可以達到暫時的緩解效果,相對來說執行簡易但無法達到完全根除。因此就表面來看,擴充頻寬的方式僅僅是將DDoS攻擊的門檻稍微提高,極為容易就被更複雜或進步的技術攻破。
-
CDN服務部署
CDN是一組多個分散部署於各地的中繼伺服器,除了能提供網際網路內容的快速交付、減緩網路塞車的現象發生之外,還能夠分散DDoS使用過多流量傳輸的手法,甚至在CDN伺服器中進行進一步的安全性設置,有效辨別異常請求;CDN也能隱藏源伺服器位置,讓攻擊者無從得知IP或網域,拖延攻擊進入本體的時間,爭取應對餘裕、降低DDoS攻擊力度,可說是抵禦DDoS的最佳解方之一。
如有任何與CDN建置的相關需求,也歡迎和COCloud聯繫!
-
DDoS防火牆
防火牆(Web Application Firewall, WAF)可針對「資源消耗」類型攻擊的第7層應對,經由分析數據包內容達成防禦目的。在其內設定流量來源的篩選限制,像是過濾每個IP位置的最大請求數量,防止遭受到單一來源流量的攻擊。只是使用防火牆要留心的是,部分正常請求也有可能因為某些因素而被拒之門外,且惡意流量也有可能在防火牆設置完成前通過,因此越早準備建置是越安全的喔!
-
流量清洗服務
將所有流量率先導入有清洗能力與監控的網路架構中,對流量進行精準監控,分離正常與惡意流量,並將安全無虞的正常流量導回網站路徑,其餘可疑來源則封鎖或是阻擋在外。
針對此類方式,COCloud提供最準確的清洗服務,成功率達99.995%,讓你可以安心將流量過濾這件事交給COCloud。
-
定期進行資安檢查
資安工具包含我們上述提及的防火牆、自家網站與應用程式弱點掃描、網頁安全性偵測等,隨著科技快速變動,DDoS攻擊手法也日新月異逐漸進步,藉由定期的檢測結果尋求改善與優化,才能有效降低資安風險。
-
網站備援時時注意
不少DDoS攻擊的發生主要是為了趁著企業或政府手忙腳亂之際,取得各項機密資料,用於要求贖金或是其他惡意用途。因此除了重要資料應該備援以外,也應留意其中的加密機制,避免機密資料外洩,導致更大的損失。
-
導入攻擊防護機制
隨著DDoS攻擊發生的頻率逐年上升,難保自家不是下一個受害者。因此可考慮設置專門防堵DDoS攻擊的防護機制,交由像是COCloud的雲端整合服務專家,不僅能夠提高抵禦DDoS攻擊的能力,企業也可以花更多心思在主要業務上。
-
擬定實戰回應策略
內部教育與資訊安全的宣導可說是最關鍵的防禦工具,應定期更新組內技能與實踐,並事先分配各個職員在攻擊發生時的角色與責任,才能達到最佳的DDoS防禦效果。
五、DDoS解決方法首選|COCloud為您量身定做雲端解決方案
還是對於被DDoS怎麼辦感到擔憂,或是不想要花那麼多心思在時時刻刻提心吊膽有沒有人對你發動DDoS攻擊?如果有以上想法,就放心將DDoS防禦這件事交給COCloud!由COCloud協助你制定最完善與適配的方案,對於DDoS防禦這件事,我們有信心:
- 全方位解決方案:不論應用程式部署於公有雲、混合雲,或是多雲端架構,COCloud皆可協助你DDoS或其他網路類型攻擊,提供最完整第3層、第4層、第7層的保護
- 高性價比低成本:大流量彈性按天計費,防護能力按次購買等多種防護方案,多情境支持,依據實際需求,配置最高性價比防護方案
- 優秀的清洗能力:實現實時防護,清洗成功率達99.995%,讓相關業務人員輕鬆面對DDoS複雜的攻擊,保障業務平穩運行
- AI智能防護策略:以大數據運算和機器學習為基礎,建構AI智能Anti-DDoS系統,自動偵測及調適,減輕大量DDoS攻擊
- 全球性防護節點:綜合7大合作原廠全球布局,提供T級防禦能力,為用戶全球化業務布局提供最優質近源防護
- 攻擊之數據分析:提供實時精準流量報表與攻擊詳情,讓用戶隨時掌握防護資源與流量曲線
關於DDoS不知道你是不是有進一步的認識了呢?對於自家網站是否遭受DDoS攻擊有疑慮?那就快與COCloud聯繫,由COCloud協助你解決DDoS的相關問題,以及了解更多雲端技術能帶來的優勢,COCloud就是企業上雲路途中,最佳的商業夥伴!
更多雲端科技資訊
- Azure是什麼?Azure探索指南系列01:解鎖雲端計算未來的神秘大門
- 什麼是 AWS(Amazon Web Services)與對企業上雲影響?
- GCP與AWS深度對決:一次搞定最適合您的雲端平台
- DDoS第三層(DDoS layer 3)攻擊原理與防禦策略:從根本解決網絡安全問題
- CDN防護與加速一把罩!從原理、技術認識CDN是什麼
- DDoS百科|教你5方式有效預防3大類DDoS攻擊
Amazon Web Services (AWS)教學百系列
- AWS知多少?AWS是什麼以及服務收費標準一次看!
- AWS S3懶人包:且看雲端儲存如何讓資料管理更便利
- AWS(Amazon Web Services)對企業上雲影響?
- AWS Console 教學指南:功能、操作教程與常見問題解答
- 深入探討AWS EC2:您需要知道的一切,從選擇實例到費用結構
Google Cloud Platform (GCP)教學百系列
- Google Cloud Platform (GCP)百科01:揭開 GCP 強大功能的神秘面紗
- GCP 百科02:GAE 的可擴展 Web 應用程序教學,探索 Google App Engine 的強大功能
- GCP 百科03:Google Compute Engine (GCE)教學,一站式的雲計算解決方案
- GCP 百科04:全面探索Google Kubernetes Engine(GKE):功能、特性和服務教學
- GCP是什麼?Google Cloud服務、4大優勢完整介紹
- GCP費用全面解密!5分鐘快速掌握GCP費用計算與設定
- Google Cloud Platform 介面攻略01:GCP服務、功能、優勢完整介紹
