DDoS攻擊原理解析!如何防禦DDoS攻擊
在數位化時代,網站的穩定即是企業重要的營運標準,而DDoS攻擊,則是一種常見且具破壞力的網路攻擊,企業若未妥善防禦DDoS,可能導致重大損失!
DDoS攻擊原理是駭客發起大量的請求和連線,對目標網站伺服器灌入大量的異常流量與壓力,使目標網站伺服器失去正常的負荷與處理能力,造成資源耗盡,同時使網站及線上服務中斷。
➤ DDoS是什麼?
➤ DDoS攻擊原理:DDoS如何癱瘓網站
➤ DDoS攻擊常見手法
➤ 如何防禦DDoS攻擊
DDoS是什麼?
DDoS 分散式阻斷服務攻擊 (Distributed Denial-Of-Service) 是一種惡意的網路攻擊方式,是由早期的網路攻擊 DoS 阻斷服務攻擊 (Denial-Of-Service) 變化而來。
早期的 DoS阻斷服務攻擊的異常流量,通常是來自單一源頭,是系統對系統的一對一攻擊。
而DDoS則是有兩個或以上的異常流量來源,攻擊者會操控多台設備發動DDoS攻擊,讓伺服器被來自多個源頭的惡意的異常流量入侵,DDoS攻擊速度非常快,導致正常使用者無法順利連線進入網站。
▲DDoS攻擊網站伺服器示意圖
DDoS攻擊原理:DDoS如何癱瘓網站
DDoS的攻擊原理,是利用「大量異常流量」同時發送請求至特定的網站或伺服器,讓目標網站的頻寬與處理資源被快速耗盡,DDoS造成網路塞車、消耗資源或癱瘓網路,導致目標網站的線上服務速度下降,甚至無法運作。
DDoS的大量異常惡意流量,會阻止使用者與網站和伺服器連線,也讓網站擁有者和商家無法提供線上服務給顧客。DDoS攻擊的情境,就像演唱會購票網站突然湧入大量人潮搶票,網站無法負荷龐大流量,導致許多人無法進入使用服務。
這些大量的DDoS惡意流量,是來自遍布全世界的殭屍網路(Botnet),而這些殭屍網路,則來自一群被駭客控制的裝置,如受感染電腦、IoT裝置或伺服器。其中,以金融業、加密貨幣、遊戲業、電信業和網路通訊業...等產業,都是經常被駭客DDoS攻擊盯上的對象。
DDoS攻擊常見手法
DDoS攻擊手法,大多是以送出大量無效請求,對網站及伺服器進行大量的資源消耗,DDoS使網站無法正常提供服務、營運中斷,使用者也無法正常使用網站!某些駭客還會利用DDoS攻擊進行勒索,要求企業支付贖金才會停止攻擊。
【常見的DDoS攻擊方式有哪些?】
SYN 洪水攻擊(SYN Flood Attack)
攻擊原理:
攻擊者在TCP三次握手過程中發送大量SYN(同步)封包,卻不完成最後一步握手,導致伺服器資源耗盡。攻擊目的:
使伺服器的半開放連接表達到上限,阻止正常用戶建立新的連接。
ACK洪水攻擊(ACK Flood Attack)
攻擊原理:
攻擊者偽造大量ACK(確認)封包,並持續發送至目標伺服器。攻擊目的:
佔用伺服器資源,降低其處理正常請求的能力。
RST洪水攻擊(RST Flood Attack)
攻擊原理:
透過發送大量RST封包,中斷伺服器與用戶間的TCP連接。攻擊目的:
干擾伺服器的正常數據傳輸,破壞用戶體驗。
Push+Ack攻擊(Push+Ack Attack)
攻擊原理:
攻擊者持續向目標伺服器發送帶有PUSH和ACK標誌的封包。攻擊目的:
耗盡伺服器資源,導致其運作效率大幅下降。
TCP連接耗盡攻擊(TCP Connection Exhaustion Attack)
攻擊原理:
攻擊者完成正常的TCP三次握手,但保持這些連接空閒而不進行數據傳輸。攻擊目的:
佔滿伺服器的同時連接數,妨礙新用戶的連線請求。
慢速攻擊(Slowloris Attack)
攻擊原理:
攻擊者建立多個TCP連接,並以極慢的速度持續發送HTTP請求,保持連線狀態。攻擊目的:
長時間佔用伺服器資源,使其他用戶無法正常連接或提交請求。
零日攻擊(Zero-Day Exploits)
攻擊原理:
利用伺服器TCP協定中的未知安全漏洞進行攻擊。攻擊目的:
繞過現有安全防護,對伺服器造成直接損害。
淚滴攻擊(Teardrop Attack)
攻擊原理:
利用 TCP 協定會將資料排列整齊的特性,將封包排序打亂、重疊,造成封包損壞。攻擊目的:
系統在接收毀損的封包時,就會因為重組封包發生錯誤,導致系統癱瘓。
UDP 洪水攻擊(User Datagram Protocol Flood Attack)
攻擊原理:
利用協定中的漏洞,製造出大量的 UDP 封包。攻擊目的:
產生佔據系統頻寬的 DDoS 攻擊,讓使用者無法接收到或傳送有需要的 UDP 封包。
ICMP 洪水攻擊(Internet Control Message Protocol Flood Attack)/ Ping 洪水攻擊
攻擊原理:
偽造大量的 ICMP 訊息來佔領網路頻寬或伺服器資源。攻擊目的:
攻擊者發送大量 ICMP 訊息時,就會導致網路流量暴增,導致使用者無法連線或傳輸速度緩慢。
DNS 放大攻擊(巨流量攻擊)
攻擊原理:
偽造受害者 IP 向查詢 DNS 的伺服器傳送大量請求,讓伺服器解析這些請求後,把回應傳送到受害者的裝置上。攻擊目的:
受害者的系統或裝置被大量回應佔據頻寬與資源,導致癱瘓。
CC 攻擊(Challenge Collapsar Attack)
攻擊原理:
大量向伺服器發送回應請求,通常發生在網路應用程式(APP)上,如網路銀行、電子信箱、電商平台等。攻擊目的:
伺服器來不及給予回應,耗盡主機 CPU 資源,服務停擺。
分散式 HTTP 洪水攻擊(HTTP flood DDoS attack)
攻擊原理:
大量向伺服器發送回應請求,通常發生在網站上,透過建立大量連線或提交大量網站表單來癱瘓網站。攻擊目的:
伺服器來不及給予回應,耗盡主機 CPU 資源,服務停擺。
低速緩慢攻擊(Slow Attack)
攻擊原理:
與伺服器建立起許多速度相當緩慢的連線。攻擊目的:
當所有緩慢連線同時向伺服器傳輸資料或發送請求時,就會讓伺服器的回應時間變長,最終用盡伺服器所有資源。
延伸閱讀:什麼是TCP、UDP協議?從網路效能到網路安全看TCP、UDP協議
如何防禦DDoS攻擊
DDoS攻擊往往瞬間爆發,短時間DDoS內即能癱瘓目標系統,使正常使用者無法使用企業的網路線上服務!那麼要如何防禦DDoS攻擊呢?
想要防禦DDoS攻擊,不是單靠一種工具或技術就可以輕鬆防禦DDoS攻擊,而是要透過多層次的防禦架構來降低風險與損失。
【建立流量異常監控機制】
企業網站可以主動監控進入網站的流量,提早發現DDoS攻擊。
我們也可以透過安裝異常流量與連線監控工具,監視伺服器流量和連線狀態,當偵測到DDoS異常流量或連線時,系統會對企業或系統管理員發出警報。
部分監控工具甚至提供主動防禦措施,當遇到 DDoS 攻擊時會主動開啟分流、清洗流量機制,縮短人工反應、處理及防護的時間,提供更即時、全面性的安全保護。
【使用CDN節點分流】
網站可以利用CDN內容傳遞網路,將網站的快取放置全球多個CDN節點,使用者的請求會被導向離他最近的CDN節點,減少對原伺服器的壓力,因此當DDoS攻擊來襲時,CDN可以吸收大部分流量,讓原伺服器和網站維持穩定服務。
【部屬防火牆】
WAF防火牆 Website Application Firewall 網站應用程式防火牆,可以監控網站傳輸的HTTP流量,將惡意且可疑的流量(包括DDoS、bot、爬蟲、重複請求...等)擋在門外,保護網站不被攻擊。
【備用額外頻寬與伺服器】
當伺服器遭到DDoS攻擊時,因短暫衝入的大量流量,容易導致企業網站的伺服器癱瘓且服務中斷,建議企業可事先準備備用頻寬與伺服器資源,當遭受DDoS攻擊時,則可自由調度資源,維持服務正常。
【過濾異常流量、建置流量清洗中心】
企業網站可以建置流量清洗中心,以過濾異常流量,當企業遇到DDoS攻擊時,可切換伺服器連線的路由方向,將疑似攻擊的流量導入清洗中心進行分析,過濾來路不明的來源和異常流量,最終在將剩下的安全流量倒回伺服器中。
【使用DDoS防護服務供應商】
如:Cloudflare、AWS Shield、騰雲運算...等,可過濾Tbps級(兆位元每秒)的攻擊流量,對抗複雜攻擊尤為關鍵。
【限制流量Rate Limiting】
為了避免資源被少數惡意使用者耗盡,因此建議限制每個使用者能夠使用的資源量,進行限流(Rate Limiting),這可使惡意使用者無法再發請求給伺服器,減少伺服器的資源消耗,防禦DoS攻擊。
總結
DDoS攻擊是當今網路最常見且破壞力最快速、強大的網路攻擊方式,無論是企業網站還是個人網站,都有可能成為駭客的DDoS攻擊目標。
了解DDoS的攻擊原理與常見手法,再搭配適當的多層防禦策略與雲端資源,如此便可將低DDoS攻擊風險、保障網站與線上服務的穩定。
延伸閱讀:
CDN概念全解析!一篇搞懂CDN的原理、用途與案例分析!
DDoS懶人包|帶你了解常見的DDoS攻擊手段與DDoS防禦策略!
什麼是流量清洗?流量清洗服務原理、抵擋DDoS的方法報你知!
參考資料:
維基百科|阻斷服務攻擊
- 延伸閱讀:
- DDoS懶人包|帶你了解常見的DDoS攻擊手段與DDoS防禦策略!
- CDN概念全解析!一篇搞懂CDN的原理、用途與案例分析!
- 網路攻擊全攻略:一文了解21種網路攻擊手法、防禦方法!
- DNS是什麼?DNS運作流程、設定教學、攻擊手法全解析!
- 防火牆是什麼?防火牆5大功能、運作原理、常見種類一次看!