您可能沒有聽說過 DDoS 攻擊,但它的威脅從未離開過我們。每個位互聯網使用者都或多或少間接或直接受到過它的影響。不僅大公司成為目標,DDoS 還可以攻擊個人網站。在本文中,我們將介紹您需要瞭解的有關 DDoS 的所有資訊以及如何阻止 DDoS 攻擊。
全球每天都會發生 2000 多次 DDoS 攻擊。網路犯罪分子只需 150 美元就可以購買可以持續一周的 DDoS 服務,一次較小的攻擊可能只花費 10 美元。而對於受害者而言,DDoS 攻擊的成本可能高達數千和數百萬美元。
在當今的技術環境中,DDoS 攻擊正迅速變得更加強大、強大和普遍。阻止 DDoS 攻擊變為一個非常複雜的過程。網站管理員已經有很多活動要做,因此 DDoS 攻擊已成為全世界的挑戰。
什麼是 DDoS 攻擊?
DDoS (Distributed Denial of Service)攻擊,也稱為分散式拒絕服務,即處於不同位置的多個攻擊者同時向一個或數個目標發動攻擊,或者一個攻擊者控制了位於不同位置的多台機器並利用這些機器對受害者同時實施攻擊。由於攻擊的發出點是分佈在不同地方的,所以這類攻擊稱為分散式拒絕服務攻擊,其中的攻擊者可以有多個。它會破壞網站、Web 伺服器或 Web 應用程式的功能或正常流量流入,是難以阻止的一種網路攻擊。總體而言,DDoS 攻擊好比高速公路發生交通堵塞,妨礙常規車輛抵達預定目的地。
由於每個機器都是合法的互聯網設備,因而可能很難區分攻擊流量與正常流量。成功的 DDoS 攻擊可能是極具破壞性的。它甚至可能導致您的網站從網路上消失,如果您決定將網站離線,那您的客戶將無法與您互動,導致網站失信和聲譽受損。
許多知名組織都遭受了 DDoS 攻擊。PlayStation、亞馬遜、穀歌、GitHub、Pinterest 等組織都是 2018 年 DDoS 攻擊的受害者,因此不要輕視 DDoS 攻擊的威脅。
DDoS 攻擊的類型
雖然幾乎所有 DDoS 攻擊都涉及用流量淹沒目標設備或網路,但攻擊可以分為三類。攻擊者可能利用一種或多種不同的攻擊手段,也可能根據目標採取的防範措施迴圈使用多種攻擊手段。這裡是三個最常見的:
1.協議攻擊
協定攻擊也稱為狀態耗盡攻擊,這類攻擊會過度消耗伺服器資源和/或防火牆和負載平衡器之類的網路設備資源,從而導致服務中斷。
犯罪分子使用它向目標伺服器發送資料包進行處理/組裝。目標伺服器會無休止地等待來自原始 IP 地址的確認,但它永遠不會到來。在等待期間,僵屍網路會在沒有確認的情況下繼續發送更多資料包,這最終會導致資源過度使用和停機。DDoS 協議攻擊也可用於針對防火牆,這就是為什麼單獨部署防火牆無法阻止 DDoS 攻擊的原因。
2. 容量攻擊
容量攻擊是另一種常見的拒絕服務攻擊類型。此類攻擊試圖透過消耗目標與互聯網之間的所有可用頻寬來造成擁塞。
攻擊運用某種放大攻擊或其他生成大量流量的手段(如僵屍網路請求),向目標發送大量資料消耗伺服器的頻寬,從而導致目標下線。最常見的容量攻擊類型是ICMP(互聯網控制消息協定)和 UDP(使用者資料包通訊協定)。UDP 是一種資料在不檢查其完整性的情況下傳輸的現象,而 ICMP 是一種網路設備相互通信的現象。
3. 應用程式層攻擊
此類攻擊有時稱為第 7 層 DDoS 攻擊(指 OSI 模型第 7 層),其目標是耗盡目標資源。此類攻擊很難防禦,因為難以區分惡意流量和合法流量。
攻擊目標是生成網頁並傳輸網頁回應 HTTP 請求的伺服器層。在用戶端執行一項 HTTP 請求的計算成本比較低,但目標伺服器做出回應卻可能非常昂貴,因為伺服器通常必須載入多個檔並運行資料庫查詢才能創建網頁。
在某些情況下,攻擊時使用單台機器進行攻擊,目標伺服器很容易被欺騙相信攻擊是合法流量。它將流量發送到網站或 Web 伺服器,就好像它是嘗試訪問該服務的普通人一樣。但它會逐漸增加流量並最終壓倒頻寬。應用層攻擊是最簡單的拒絕服務攻擊形式,也是最常用的。
如何防護 DDoS 攻擊?
在現代互聯網中,DDoS 攻擊以多種形式出現。流量來源可能有所不同,從非欺騙性單源攻擊到複雜的自我調整多方位攻擊無所不有。同時攻擊還可能進行修改調整以規避緩解措施。若要緩解 DDoS 攻擊,關鍵在於區分攻擊流量與正常流量。
多方位 DDoS 攻擊採用多種攻擊手段,以期透過不同的方式擊垮目標,很可能分散各個層級的緩解工作注意力。為防護多方位 DDoS 攻擊,採用分層解決方案效果最理想,即部署多項不同策略,從而緩解不同層級的攻擊。一般而言,攻擊越複雜,越難以區分攻擊流量與正常流量 —— 攻擊者的目標是盡可能混入正常流量,從而儘量減弱緩解措施成效。
如果緩解措施是不加選擇地丟棄或限制流量,很可能將正常流量與攻擊流量一起丟棄,例如,如果因發佈某款產品導致公司網站湧現大批熱情客戶,那麼全面切斷流量是錯誤之舉。
您無法阻止 DDoS 攻擊。但是,您可以自行採取一些預防措施:
- 監控您的流量以查找異常情況,包括無法解釋的流量高峰以及來自可疑 IP 位址和地理位置的訪問。所有這些都可能是攻擊者在進行全面攻擊之前進行“試運行”以測試您的防禦的跡象。察覺此類異常可以幫助你為接下來的衝擊做好準備。
- 密切關注社交媒體(尤其是 Twitter)和公共垃圾箱(例如 Pastebin.com),瞭解可能暗示即將到來的攻擊的。
- 考慮使用協力廠商 DDoS 測試(即滲透測試)來模擬對您的 IT 基礎設施的攻擊,以便在攻擊到來時做好準備。當您進行此操作時,請嘗試各種攻擊進行測試,而不僅僅是您熟悉的攻擊。
- 制定回應計畫和快速回應團隊,即專門指定一組人員將攻擊的影響降至最低。
- 要真正抵禦現代 DDoS 攻擊,您應該使用 DDoS 緩解解決方案。解決方案可以在本地部署,但更常見的是由協力廠商提供商作為服務提供。
- 如果能提前在您的設備上設置 VPN,就可以有效阻止攻擊。VPN 的一個主要優點是它隱藏了 IP 位址。使用隱藏的 IP 位址,DDoS 攻擊無法定位您的網路,從而更難針對您。此外,VPN 會加密網路流量,在您的電腦和網路之間創建隧道,從而隱藏您的互聯網活動。
VPN 如何保護您免受 DDoS 攻擊?
如果有人想對你進行 DoS/DDoS 攻擊,他們需要找到你的網路。為此,他們需要您的 IP 位址。
VPN 是一種線上服務,可以隱藏您的 IP 位址。下面是它的工作步驟及原理:
- 您使用設備上的 VPN 用戶端連接到 VPN 伺服器。
- 用戶端與伺服器之間會建立安全隧道,您進入萬維網的所有流量都將透過 VPN 伺服器。
- 因此,您訪問的所有網站都只會將伺服器的 IP 位址視為您的連接請求的來源。
- 同樣,任何試圖攻擊您的人都只會看到 VPN 伺服器的 IP 地址。
因此,理論上,VPN 應該能夠防止 DoS/DDoS 攻擊。如果駭客試圖以您為目標,他們只會對 VPN 提供商的伺服器進行 DoS/DDoS。不過,並非所有 VPN 都提供 DDoS 保護。
根據我們的經驗,PureVPN 是市場上最好的DDoS防護解決方案之一。他們在 73 個國家/地區擁有大約 40,000 個 IP 地址(並且還在增加)和 3000 多台伺服器。因此,無論您身在何處,都可以快速切換 IP 位址以躲避 DoS/DDoS 攻擊,而不會遭受任何嚴重的損失。
如果您想詳細瞭解使用 PureVPN 的好處,請查看 PureVPN評論。
前往PureVPN官網下載 <<<
VPN 是否可以 100% 地防止 DDoS 攻擊?
不完全是。如果 VPN 的 DDoS 保護實施不當,它就無法真正幫助您。此外,如果想要 DoS/DDoS 的人已經知道您的真實 IP 位址,那麼 VPN 無能為力,他們可以使用它來定位您的網路並繞過 VPN DDoS 保護。在這種情況下,只有您的 ISP 或員警可以提供幫助。
在這種情況下,您有3種選擇:
- 如果您的 ISP 使用動態 IP 位址,請重置您的路由器。這應該足以更改您的 IP 地址。
- 如果您的 ISP 不使用動態 IP,您必須與他們聯繫以更改您的地址。如果您需要經常這樣做,請考慮切換到提供動態 IP 的 ISP。
- DDoS 攻擊在大多數地方通常是非法的,如果您不斷受到 DoS/DDoS 攻擊的騷擾,請聯繫警方進行處理。
總結
目前而言,DDoS攻擊並沒有很好的解決辦法,做不到徹底防禦,只能採取各種手段在一定程度上減緩攻擊傷害。如果你是個人,透過本文中介紹的方式可以較好的防禦 DDoS 攻擊。如果你是網站所有者,儘量在平時伺服器的運維工作中做好基本的防護,必要時求助網路攻擊防護專家或警方,可以有效降低損失。