随着企业网络和系统中的数据流动日益频繁,网络威胁的风险也随之增高。尽管网络攻击的形式多种多样,但拒绝服务攻击 (DoS) 和分布式拒绝服务攻击 (DDoS) 是两种常见的攻击类型,它们在规模、执行方式和影响上存在差异,但目标却相似。
本文将深入分析这两种网络攻击的区别,旨在帮助您更好地保护自己的系统。
什么是拒绝服务 (DoS) 攻击?
拒绝服务 (DoS) 攻击是一种旨在破坏正常功能或阻止其他用户访问服务的攻击。其原理是通过向服务发送超出其处理能力的请求,导致服务速度减慢、崩溃甚至瘫痪。
DoS 攻击的核心在于向目标系统注入超出其承受能力的流量,从而使得目标用户无法访问。通常,DoS 攻击是从单一的计算机发起的。
什么是分布式拒绝服务 (DDoS) 攻击?
分布式拒绝服务 (DDoS) 攻击与 DoS 攻击类似。但其不同之处在于,DDoS 攻击利用多个连接的在线设备(也称为僵尸网络)组成的大规模网络,向目标系统发送大量的互联网流量,从而破坏其正常运行。
DDoS 攻击就像高速公路上突发的严重交通拥堵,导致车辆无法按时到达目的地。它通过使系统崩溃或过载,阻止合法的流量到达目的地。企业系统因此瘫痪,导致服务中断。
DDoS 攻击的主要类型
随着技术的进步,DoS/DDoS 攻击的形式也变得多种多样。本节将介绍当前主要的三种攻击形式。这些攻击通常针对网络流量、协议或应用程序层。
#1. 基于流量的攻击
每个网络或服务都有其在特定时间内可处理的流量上限。基于流量的攻击旨在通过发送大量的虚假流量使网络过载,导致网络无法处理更多流量或速度变慢,从而影响正常用户的体验。ICMP 洪水攻击和 UDP 洪水攻击是此类攻击的典型例子。
#2. 基于协议的攻击
基于协议的攻击通过向目标网络和防火墙等基础设施管理工具发送大量的数据包,从而消耗服务器资源。这类攻击主要针对 OSI 模型中的第三层(网络层)和第四层(传输层)的弱点。SYN 洪水攻击就是一种典型的基于协议的攻击。
#3. 应用层攻击
OSI 模型中的应用层负责生成对客户端 HTTP 请求的响应。攻击者针对该模型的第七层,即负责将网页交付给用户的层,通过向服务器发送针对同一页面的大量请求,占用服务器资源,导致服务器无法响应用户的正常请求。此类攻击难以检测,因为很难区分合法请求和攻击者的恶意请求。Slowloris 攻击和 HTTP 洪水攻击属于应用层攻击。
不同类型的 DDoS 攻击
#1. UDP 攻击
用户数据报协议 (UDP) 是一种无连接的通信协议,具有最小的协议机制,主要用于对数据传输延迟敏感的实时应用,例如视频会议或游戏。当攻击者向目标发送大量的 UDP 数据包时,会导致服务器无法响应合法的请求,从而发生 UDP 攻击。
#2. ICMP 洪水攻击
互联网控制消息协议 (ICMP) 洪水攻击是一种 DoS 攻击,它向网络发送过量的 ICMP 回显请求数据包,导致网络拥塞和带宽浪费,从而延迟其他用户的响应时间。它甚至可能导致被攻击的网络或服务完全崩溃。
#3. SYN 洪水攻击
图片来源: 云耀
这种类型的攻击可以用餐馆的服务员来比喻。正常情况下,顾客下单后,服务员将订单送到厨房,厨房制作好食物后交给顾客,完成一个正常的流程。
在 SYN 洪水攻击中,攻击者会不断发送 SYN 请求(点餐),但不响应服务器返回的 SYN-ACK 响应(确认订单),导致服务器一直在等待回复,占用大量资源。最终,服务器会因为处理过多的未完成订单而瘫痪,无法响应其他用户的正常请求。SYN 洪水攻击正是利用了 TCP 连接中的弱点。
#4. HTTP 洪水攻击
图片来源: 云耀
HTTP 洪水攻击是一种常见的攻击方法,它通过从不同的 IP 地址向服务器发送大量的 HTTP 请求来实现。这种攻击的目的是消耗服务器的电力、网络带宽和内存,使得合法用户的流量无法访问。
#5. Slowloris 攻击
Slowloris 攻击通过向目标服务器建立多个不完整的连接请求,保持服务器对这些连接的开放,并等待永远不会发送的完整请求。最终,服务器会因连接数达到上限而无法处理其他请求,从而导致拒绝服务。
其他攻击还包括死亡之 Ping、放大攻击、泪滴攻击、IP 分片攻击和洪泛攻击等。这些攻击的共同目标是使服务或服务器过载,限制其处理来自合法用户的正常请求。
为什么会发生 DoS 攻击?
与专注于从服务器窃取数据的攻击不同,DoS 攻击的目的是通过耗尽服务器资源来阻碍服务器的正常运行,从而使其无法响应合法用户的请求。
随着技术的进步,越来越多的企业依赖互联网和云服务为客户提供服务。在当今竞争激烈的市场环境中,拥有可靠的网络服务几乎是企业保持竞争优势的必要条件。然而,竞争对手可能利用 DDoS 攻击来关闭竞争对手的服务,使其信誉受损。
DoS 攻击也可能被攻击者用作勒索的手段。他们会向企业服务器发送大量无效请求,迫使其支付赎金才能停止攻击并恢复服务器的正常运行。
一些团体还可能出于政治或社会原因,针对那些与他们意识形态不符的平台发动 DoS 攻击。总而言之,DoS 攻击不会直接篡改服务器上的数据,而是通过关闭服务器来阻止其他用户使用。
减轻 DoS/DDoS 攻击
由于网络攻击风险的存在,企业应采取必要措施,确保其系统或服务器能够抵御此类攻击。以下是企业可以采取的一些安全措施:
监控您的流量
了解您的网络流量对于减轻 DoS 攻击至关重要。每个服务器都有其正常的流量模式。如果流量突然出现异常高峰,这可能表明存在 DoS 攻击。了解流量模式可以帮助您在这种情况下快速采取行动。
速率限制
通过限制在特定时间内可以发送到服务器或网络的请求数量,可以有效减轻 DoS 攻击。攻击者通常会同时发送大量的请求来淹没服务器。通过速率限制,当在特定时间内收到允许的最大请求数量后,服务器会自动延迟超出限制的请求,从而使 DoS 攻击者难以使服务器过载。
分布式服务器
在全球不同地区部署分布式服务器是最佳实践。这有助于减轻 DoS 攻击。如果攻击者成功攻击一台服务器,其他服务器不会受到影响,仍然可以为合法用户提供服务。使用内容分发网络(CDN)将服务器缓存在用户附近的不同位置,也可以作为防止 DoS 攻击的一层保护。
准备 DoS/DDoS 攻击计划
为应对各种类型的攻击做好准备是减少攻击可能造成的损害的关键。每个安全团队都应制定一份关于事件发生时应采取的行动的详细计划,以避免在攻击期间忙于寻找解决方案。该计划应明确规定攻击发生时该做什么、找谁以及如何维持合法请求等。
监控您的系统
持续监控服务器是否存在任何异常情况对于全面安全至关重要。实时监控有助于及时发现攻击并在其升级之前采取措施。它还可以帮助团队了解常规流量和异常流量的来源,以及轻松阻止发送恶意请求的 IP 地址。
另一种缓解 DoS/DDoS 攻击的方法是使用 Web 应用程序防火墙 (WAF) 工具和监控系统,这些工具和系统旨在快速检测和阻止攻击的发生。这些工具通常具有自动化功能,可以提供全方位的实时安全防护。
苏库里
苏库里 是一款针对网站的 Web 应用程序防火墙 (WAF) 和入侵防御系统 (IPS)。Sucuri 可以阻止针对 OSI 模型第三层、第四层和第七层的任何形式的 DoS 攻击。其主要功能包括代理服务、DDoS 防护和快速扫描等。
云耀
云耀 是最受好评的 DDoS 缓解工具之一。 Cloudflare 还提供内容分发网络 (CDN) 以及三重保护机制:网站 DDoS 防护 (L7)、应用程序 DDoS 防护 (L4) 和网络 DDoS 防护 (L3)。
因帕瓦
因帕瓦 WAF 是一种代理服务器,可以过滤所有传入的流量,确保它们在到达 Web 服务器之前是安全的。代理服务、安全补丁和站点可用性连续性是 Imperva WAF 的一些关键功能。
堆栈WAF
堆栈WAF 易于设置,有助于精确识别威胁。Stack WAF 提供应用程序保护,包括网站、API、SaaS 产品、内容保护和应用层 DDoS 攻击防护等。
AWS 盾
AWS 盾 通过分析流量数据来实时监控流量,以便检测可疑流量。它还使用数据包过滤和流量优先级来帮助控制通过服务器的流量。需要注意的是,AWS 盾仅在 AWS 环境中可用。
我们已经回顾了一些有助于减轻服务器上成功 DoD/DDoS 攻击的方法。任何威胁或异常迹象都应及时处理,不容忽视。
DoS 与 DDoS 攻击
从表面上看,DoS 和 DDoS 攻击非常相似。本节将介绍它们之间的一些显著差异。
| 参数 | DoS | DDoS |
| 流量来源 | DoS 攻击来自单一来源。 | DDoS 攻击来自多个来源(僵尸网络)。 |
| 流量规模 | 产生的流量相对较低。 | 可以同时产生来自不同来源的大量流量,快速使服务器过载。 |
| 攻击来源 | 单一系统/机器人。 | 多个系统/机器人。 |
| 缓解难度 | DoS 攻击更容易被检测和终止,因为它来自单一来源。 | DDoS 攻击有多个来源,因此很难识别所有攻击来源并终止攻击。 |
| 复杂性 | 更容易执行,只需少量资源和技术知识。 | 需要大量的资源和更高的技术知识才能实施。 |
| 速度 | 相对较慢。 | 速度极快。 |
| 影响 | 对系统/服务器的影响有限。 | 对系统/服务器的影响巨大。 |
结论
企业应始终将系统安全放在首位; 服务的泄露或中断可能会导致用户失去信任。 DoS 和 DDoS 攻击都是非法的,对目标系统有害。因此,应认真对待所有用于检测和管理这些攻击的措施。
您还可以了解更多关于适用于小型到企业网站的顶级云 DDoS 防护解决方案。