隨著科技日新月異,分散式阻斷服務攻擊DDoS(Distributed Denial of Service)成為越來越難預防的攻擊手段,許多知名企業都遭受過DDoS攻擊,甚至被迫支付贖金。尤其線上支付平台、科技公司和金融服務等都是駭客的目標。本篇將帶您快速了解DDoS攻擊是什麼?如何有效遠離DDoS攻擊並採取適當的DDoS防禦,讓潛在的威脅扼殺在搖籃裡。
DDoS攻擊是什麼?
在了解DDoS攻擊之前,先來認識它的前身阻斷服務攻擊DoS(Denial of Service Attack)。其採用一對一電腦攻擊的方式,消耗目標系統的資源直至耗盡為止,可使用戶的資料無法存取,但隨著科技日新月異,單純的DoS大部分都可被破解和預防,進而發展新型攻擊手法DDoS。
DDoS分散式阻斷服務攻擊藉由隱藏於各大網站的惡意程式,藏匿在正常用戶的電腦主機中,只要駭客一個指令便可成為殭屍電腦的一員,發送大量異常封包給某一網站,當同一時間有成千上萬的連線要求時,就會使伺服器負載過重導致癱瘓無法使用。此一攻擊手法令人防不勝防,因為難以判斷這些連線要求究竟是正常的連線要求
還是惡意的舉動,對目前的網路設備來說還無法精確判斷,因此要終結DDoS攻擊似乎是一件不可能的事情。
3種常見DDoS攻擊手法
1.資源消耗攻擊
也稱作SYN 洪水攻擊(SYN Flood Attacks),也就是利用主機和伺服器建立TCP連線時,大量發送異常封包至目標伺服器,使伺服器需要不斷開啟新的連接埠以接收封包,反覆的無效操作導致伺服器面臨崩潰,無法接受其他正常請求。其他類似的攻擊手法:LAND攻擊、CC攻擊和網路殭屍攻擊等,都是運用這個原理來破壞伺服器的運作。
2.流量消耗攻擊
不同於上述攻擊手法,此作法是透過傳送大量無效的數據內容,讓被攻擊的伺服器頻寬無法負荷,正常用戶無法進行訪問,進而使網頁癱瘓的攻擊模式。是最早也是最常出現的DDoS攻擊,類似的攻擊手法還有淚滴攻擊(Teardrop Attack),透過重組封包以不同傳輸方式發送虛假封包,讓伺服器崩潰。
3.應用程式層攻擊
攻擊者針對OSI 網路架構中的應用程式層送出超量的HTTP請求,或是從單一的不同IP位置對開放式DNS伺服器建構請求,讓DNS使用大量資源以回應目標,直至系統癱瘓。此攻擊手法成本最低但也最難破解,因為在正常情況下也可能有其他突發事件,導致許多人同一時間登入系統,發生系統無法負荷的狀況。
DDoS防禦怎麼做?3招遠離DDoS攻擊
1. 減少容易受攻擊的區域
DDoS攻擊會透過通訊協定和其他連接埠來影響網站的伺服器,因此可以將資源流量分散至內容分發網路CDN節點,讓網際網路流量無法直接流向主要伺服器,也就能夠減少被攻擊的風險,同時使用防火牆來管制流量。此方法可限制攻擊區域,讓攻擊者難以在短時間癱瘓整個系統。
2. 應用層DDoS防禦
許多針對應用層的DDoS攻擊皆利用網站的漏洞或是Web應用層的弱點,進行惡意訪問。因此除了持續修補弱點和升級硬體設備,在應用程式層建構全面防禦已是刻不容緩的行動。在尋找主機代管服務商時,要注意對方是否有提供足以抵抗冗餘網路流量的能力,並對所有資料進行全面篩檢,降低應用層DDoS攻擊發生的機率。
3. 基礎設施保護
主要為預防透過不同傳輸協定展開的網路層DDoS攻擊,例如SYN洪水攻擊等,避免伺服器反覆回應無效的資料內容,耗用大量網路資源,並擴大影響範圍。因此應注重網路基礎設施的容量和控管,以保護整個子網的正常運作,檢查所有傳入的通訊內容。
DDoS防禦夥伴戰國策|給您雙重保障
隨著網際網路逐漸發達,只針對一種DDoS攻擊進行防禦是非常不切實際的想法。DDoS攻擊永遠有辦法找到網站的漏洞,以進行鋪天蓋地的猛烈攻擊,造成巨大的損失,而多重防護措施和靈活應變的專業團隊才能有效預防狡猾的DDoS攻擊。
戰國策與知名DDoS攻擊防禦公司合作,針對DDoS防禦推出雲主機和專屬主機兩種客戶專屬的方案,提供豐富的抗DDoS攻擊服務。戰國策擁有3大優勢:Web應用程式防禦、基礎設施防護和DNS防護,能夠預防大多數的DDoS攻擊手法,且全面實時監控並擁有專業的專屬技術團隊,隨時給予網路安全防護建議和支援,讓您的網站維持高穩定性與可用性。
關於DDoS攻擊,您可能還會想知道: