根据墨者安全相关数据研究发现,从今年年初开始,DDoS功击的数量相比去年几乎是翻倍增长,特别是游戏、金融、政企、电商、医疗行业,更是DDoS功击的重灾区,很多企业是闻“D”色变。DDos(Distributed Denial of Service),中文翻译是“分布式拒绝服务”,是目前最常见的网络功击手段,常见的功击方式有以下几种:
1、流量功击
主要是针对网络带宽的功击,通过模拟大量的合法网络包去功击服务器,导致网络带宽堵塞,让正常访客无法访问。常见的流量功击方法有SYN/ACK Flood功击,是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持。
2、资源耗尽功击
主要是针对服务器主机的功击,即通过大量功击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。常见的资源耗尽功击方式有“TCP全连接功击”和“刷脚本功击”两种。
TCP全连接功击
这种功击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤TearDrop、Land等DOS功击的能力,但对于正常的TCP连接是放过的,这里发送大量貌似正常的TCP连接请求,使服务器性能迅速下降。TCP全连接功击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种功击的特点是可绕过一般防火墙的防护而达到功击目的。
刷脚本功击
一般站点几个常见的弱点模块:1、登录认证 2、评论 3、用户动态 4、ajax api等,他们要对数据库进行读或写操作,建立大量的连接。一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,
DDoS功击分为很多类型,面对多样的DDoS功击改如何应对呢?
1、DDoS防火墙
大部分防火墙的原理上都类似,基本上都有强大的计数计时器,然后结合TCP/IP协议族的特点来进行防御,比如:每秒产生多少SYN半开连接算是功击,每IP每秒产生多少ICMP流量算是功击,还有某些协议中从那些位开始携带了某些特殊的字节算是功击等等。对于一些流量不算大的功击防御效果还是比较明显的。
2、专业安全厂商DDoS防护
对于流量较大的功击,也只有专业的安全厂商来防护了,安全厂商拥有较大的网络资源优势。比如墨者安全防护,有着1000G超强DDoS云防护清洗能力,防御各种流量型Flood及CC功击,这是DDoS防火墙所不能比的,所以一般游戏、金融、政企、电商、医疗这些DDOS重灾区行业都会选择专业的安全厂商接入DDoS防护。
在现在这个互联网环境下,发起DDOS功击变得越来越简单,功击成本也越来越廉价,功击流量小则几百兆,大则几个G,甚至几十几百G,各种功击手段防不胜防,企业一定要重视网络安全防护,提高网络安全意识,预防为主,未雨绸缪,提前做好防护,才能有效的避免DDOS功击所造成的经济损失。