DDoS攻擊
DDoS攻擊是什麼?常見網路攻擊方式介紹|天矽科技網頁設計
目錄
➤ DDoS是什麼?
➤ 如何防範DDos攻擊?
➤ DDoS攻擊手法
DDoS是什麼?
DDoS是一種惡意的網路攻擊方式,目的在於使目標電腦的網路或系統資源耗盡,迫使服務暫時中斷或停止,讓網站無法正常存取、使用與進行,其常見原因包括同業競爭、資料竊取或勒索,則產業又以金融保險與貿易銷售為主要目標。
DoS
DoS(Denial-of-service Attack) 阻斷服務攻擊,屬於一對一的攻擊方式,駭客會利用程式產生大量的封包、流量或請求,導致目標系統無法負荷或正常提供,常用於部分的網路遊戲與抗議(Dos是網路街頭抗議的一種形式),而它也是如今DDoS的前身。
DDoS
DDoS(Distributed Denial-of-service Attack) 分散式阻斷服務攻擊,屬於多對一的攻擊方式,主要會針對重要的服務或是知名網站、金融企業等進行攻擊,進而達到同業打擊、資料竊取或勒索等目的,比如銀行或信用卡支付閘道器等,都是一般常見的目標。
目前DDos攻擊已成為新常態,根據中華電信於 2021/5/4 資安大會中揭露 2021第一季 全台DDoS攻擊數...
- 1月時,DDoS進階防護區觀察到了有307次的攻擊,其中最大攻擊流量達58.1Gbps,且主要遭受攻擊的產業為金融保險(59.1%)和貿易銷售(31.8%)。
- 2月時,攻擊次數減少下降為243次,主要攻擊的產業仍是金融保險業(76.9%)和資訊通信業。
- 3月時,攻擊次數再下降為195次,但是單次最大攻擊流量達49.6Gbp,且主要攻擊對象一樣是是金融保險業和資訊通信業,接著才是服務業與製造業。
另外,根據中華電信的報告表示,全台灣的惡意連線在台北市(21.5%)發生率是最高的,其次是新北市(17.78%),接著是台中市、桃園市、高雄市、台南市、新竹及彰化;若以產業來看,零售業有近四千家企業(24%)與惡意中繼站連線、製造業近三千家(18%)、二類電信占18%、不動產業占5%、營造工程業占4%。
資料來源:
iThome|【臺灣資安大會直擊】中華電信揭露2021第一季台灣DDoS攻擊災情數據,3月攻擊近3百次,最高流量達273Gbps
如何防範DDos攻擊?
DDoS之所以變成一個新的常態就是因為它難以預防,難以預防的原因則是因為其攻擊手法,大多都是使用看起來正常的需求作為包裝、請求,另外難以追蹤其來源也是DDoS棘手的原因,因此防範DDoS攻擊也成為資安的重點防範之一。
那麼我們要如何防範DDoS攻擊呢?我們可以...
定期資安檢測、設置防火牆與加強通行規則、提升設備性能與規格或是使用DDoS防禦或緩解的機制系,提升保護系統的安全、阻斷DDoS攻擊或是當不幸遭受DDoS攻擊時,可以爭取緩衝時間,讓網站在癱瘓之前可以將傷害減至最低。
延伸閱讀:
✔ WAF防火牆是什麼?2021十大安全風險排行
✔ Acunetix網頁弱點掃描,網站漏洞應立即修補
DDoS攻擊手法
DDoS攻擊手法多以送出大量的無效請求來進行網頁的資源消耗,具體可分為兩種形式「頻寬消耗型」與「資源消耗型」;另外以觸發漏洞導致系統崩潰癱瘓服務的類型則是「漏洞觸發型」。
頻寬消耗型
DDoS頻寬消耗型的攻擊方式,是藉由傳送大量無效流量或惡意放大流量的數據請求,堵塞被攻擊的頻寬讓正常使用者沒有辦法進入,最終導致網頁當機、癱瘓。其中又分成幾個不同的層次:「UDP洪水攻擊 」、「ICMP洪水攻擊 」與「DNS/ NTP 放大攻擊」。
➤ UDP洪水攻擊
UDP (User Datagram Protocol floods) 是一種無連接協定,當封包透過UDP(使用者資料協定)傳送時,所有封包在傳送與接收時不需要進行握手驗證,因此當受害者受到DDoS UDP攻擊時,攻擊者會大量製造封包以佔滿受害者系統網路頻寬,導致正常用戶的封包無法到達,進而影響使用者體驗。
比如過多的惡意、無聲來電佔據客服,導致正常用戶無法聯繫上客服人員,影響使用者。
➤ ICMP洪水攻擊
ICMP (Internet Control Message Protocol) 是網際網路控制訊息協定,DDoS ICMP 攻擊的方式是藉由通過沒有設定好的路由器來發送資訊並佔用系統資源,攻擊者大量製造ICMP Echo Request封包佔滿受害者系統的網路頻寬,導致正常用戶的封包無法到達,其原理與UDP攻擊類似。
比如上下班尖峰時間的車潮導致的塞車,A點到B點要比離峰時間花上更多的時間才能到達目的地。
➤ DNS/ NTP 放大攻擊
DNS (Domain Name System) 網域名稱系統/ NTP (Network Time Protocol) 網路時間協定,DDoS DNS/ NTP 放大攻擊的方式是製造大量偽造來源IP的封包,向多個DNS或NTP伺服器請求封包,當DNS或NTP伺服器處理完請求後,就會回應封包至受害目標。
比如新聞報導說衛生紙即將缺貨而引發的衛生紙搶購潮,民眾大量購買囤貨而導致各大商店人滿為患、衛生紙被搶光,讓真正需要衛生紙的人無紙可用。
資源消耗型
DDoS資源消耗型的攻擊是讓被攻擊方的伺服器不斷進行反覆的無效運作,進而讓網頁資源被耗盡、無法回覆正常用戶的請求與提供需求,為「SYN洪水攻擊」、「LAND攻擊」、「HTTP洪水攻擊」、「CC攻擊」、「殭屍網路攻擊」與「應用程式級洪水攻擊」。
➤ SYN洪水攻擊
SYN (Synchronize Sequence Numbers) 同步續列編號,是TCP/IP建立連接時使用的握手信號,攻擊者會利用TCP三項交握的特性,偽造用戶端發送SYN請求,伺服器端回應SYN/ ACK請求,但用戶端不會回應ACK回覆,導致伺服器不斷儲存SYN請求直到超時,因此佔滿伺服器端資源。
➤ LAND攻擊
LAND攻擊,全名為 區域網路阻斷服務攻擊(Local Area Network Denial attack),這種攻擊與SYN攻擊類似,不過在LAND攻擊包中的原位置和目標位置都是攻擊物件的IP,這樣的方式會導致機器進入不斷的迴圈,追蹤耗盡資源。
➤ HTTP洪水攻擊
HTTP洪水攻擊,攻擊者會製造大量的HTTP封包傳送給受害的伺服端,通常是HTTP GET 或 HTTP POST 封包,GET請求用於檢索標準的靜態內容,而 POST請求則用於訪問動態生成的資源,因此伺服端為了處理這些請求,會耗盡大量的系統資源。
➤ CC攻擊
CC攻擊(Challenge Collapsar attack),主要針對網站應用程式,攻擊者會製造大量貌似合法的偽裝訪問請求,藉此消耗目標系統資源,當網站突然同時湧入大量的連線就會使網頁開啟速度變慢甚至當機。
➤ 殭屍網路攻擊
殭屍網路是指大量被C&C伺服器所控制的網路主機群。攻擊者會傳播惡意軟體,並組成自己的殭屍網路。
➤ 應用程式級洪水攻擊
應用程式級洪水攻擊 (Application level floods) 是針對應用軟體層的攻擊,同樣是以大量消耗系統為目的,通過向網路服務程式提出無節制的資源申請,破壞正常的網路服務。
漏洞觸發型
這類型的攻擊手法是透過嘗試觸發緩衝區溢位等漏洞,使作業系統發生核心錯誤或藍白當機,最終達到阻斷服務的攻擊。
像是死亡之PING (Ping Of Death) 產生超過IP 協定能容忍的封包數,如果系統沒有檢查機制就會當機;還有一種是淚滴攻擊,攻擊方式是捏造封包位移的資訊,造成封包重組時發生問題造成錯誤。
參考資料:
✔ 維基百科|阻斷服務攻擊
✔ apeiro8|這篇就夠!DDoS是什麼意思?有哪些類型?OSI對照!完全解析
✔ 蓋亞數位|DDoS攻擊是什麼? 弄懂常見DDoS攻擊手法與防禦措施
