DDoS攻击分析

在网络中,数据包利用TCP/IP协议在Internet传输,数据包本身是无害的,但是数据包过多,就会造成网络设备或者服务器过载;或者攻击者利用某些协议或者应用的缺陷,人为构造不完整或畸形的数据包,也会造成网络设备或服务器服务处理时间长而消耗过多系统资源,从而无法响应正常的业务。

DDoS攻击之所以难于防御,是因为非法流量和正常流量是相互混杂的。非法流量与正常流量没有区别,且非法流量没有固定的特征,无法通过特征库方式识别。同时,许多DDoS攻击都采用了源地址欺骗技术,使用伪造的源IP地址发送报文,从而能够躲避基于异常模式工具的识别。

DDoS攻击“主力军”

对现有攻击分析总结,可知常见的DDoS攻击有SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DRDoS、Land Flood、Fragments Flood、Fatboy、DNS Query Flood和CC攻击。

  • SYN Flood攻击

利用TCP协议缺陷,发送海量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

  • ICMP Flood攻击

利用海量ICMP报文给服务器带来较大的负载,影响服务器的正常服务。由于目前很多抗拒绝服务产品直接过滤ICMP报文,因此ICMP Flood出现的频度较低,但变种伪造IP的Flood,Smurf洪水攻击(反射攻击)却愈发猛烈。

  • Land攻击

向服务器发送具有IP源和目的地址,甚至TCP源和目的端口完全一样的伪造的SYN包,使服务器创建大量空连接而无法承受这么多流量瘫痪或重启。

  • CC攻击

CC其前身名为Fatboy攻击,攻击者借助代理服务器生成指向受害主机的合法请求,实现对服务器资源的恶意消耗。

  • DNS Query Flood攻击

利用向被攻击的DNS服务器发送海量伪造域名的解析请求,以达到消耗服务器系统资源的目的。

  • IGMP Flood攻击

利用IGMP协议漏洞(无需认证),发送大量伪造的IGMP数据包造成路由器、抗拒绝服务产品等网关设备内存耗尽,CPU过载。

以上是最为常见的拒绝服务攻击,随着时间的推移,新的攻击类型及其变种层出不穷。作为专业的DDoS解决方案提供商,中新网安金盾防火墙时刻关注此类攻击动向,快速制定相应的解决方案,为您的网络安全提供实时的全方位服务。

DDoS攻击发展趋势

中新网安中新金盾自2002年以来,扎根抗拒绝服务攻击领域,多年来通过对国内外拒绝服务攻击情况,实时进行了跟踪分析:

  • 攻击目的产业化

DDoS攻击逐渐从偶然攻击动机转变为追求经济利益的谋利手段,如产业竞争、经济敲诈等,并逐渐形成一个成熟的DDoS攻击市场及与之相对应的地下产业链。

  • 攻击手段趋于复杂化

攻击者通过组合多种攻击方式,随机伪造各种正常报文。如攻击包有时随机、有时固定、有时分片;攻击报文长度有时超长、有时超短;宽带型攻击夹带应用型混合攻击。

  • 攻击目标趋于多样化

从早前攻击针对网络层,消耗链路带宽和被攻击服务器系统资源,演变为针对不同业务特点进行攻击。如慢速向Web服务器发送数据查询请求、向游戏服务器发送虚假人物登录请求。

  • 攻击流量趋于海量化

进入21世纪,国内互联网运营商加速宽带网络建设,此后DDoS攻击逐渐活跃,单次攻击规模逐年增大。如2002年,中新网安监测到大规模攻击流量不过千兆,而2014年监测到单次攻击最高已达到100G,2018年上半年,DDoS攻击对于互联网安全的威胁形势进一步加剧,新型Memcached反射放大攻击甚至带来了1.7 Tbps的惊人流量峰值。十几年间攻击规模的不断递增,攻击流量海量化已成事实。