DDoS攻擊是什麼?台灣Anti-DDoS(高防) 5大廠商推薦!

What_is_DDoS_Attack

DDoS攻擊是什麼?

說到資訊安全你會想到什麼?沒錯,就是駭客入侵或是網路攻擊!
現今網路攻擊手法層出不窮,在21世紀的網路世界,有個核彈級的攻擊手法正深深影響著我們,那就是DDoS!

在介紹DDoS之前,你必須先知道DoS攻擊(denial-of-service attack
)
是什麼?全名是「阻斷服務攻擊」,DoS是一種嘗試對終端使用者(end user)進行惡意攻擊,以影響其目標系統 (例如網站或應用程式) 可用性的行為。
DoS攻擊者會產生大量的網路封包或請求,進而使得目標伺服器或其周圍的基礎設施無法負荷,最終阻斷目標伺服器、服務或網路的正常流量。

那如果是分散式拒絕服務 (DDoS) 攻擊呢?DDoS是DoS攻擊的進階版,它會利用多個能夠連上網路的系統作為攻擊流量的來源,從而達到攻擊的有效性,被利用的機器可能包括電腦、手機、智慧型電器、串流裝置(例如 IoT 設備)。

DDoS攻擊的原理與目的

DDoS 是通過連接 Internet 的機器進行攻擊的,主要可分為三大目的,
第一:佔滿頻寬的體積型攻擊、第二:佔滿系統資源的協定攻擊,以及第三:使伺服器崩潰的佔滿負載。

舉例來說:DDoS攻擊就像是造成交通阻塞的原因,當國定假日車流突然大增時,導致大量的汽車上不了高速公路,造成佔滿頻寬的阻礙,且在交流道沒有進行完好分流的情況下,或是出入口數量分配過少,導致沒有多餘道路承接龐大的車輛,造成佔滿系統資源,這時如果原本正行駛在高速公路的車流就會被阻擋在出入口,進而造成交通癱瘓,也就是佔滿負載


【佔滿頻寬】體積型攻擊(Volumetric attacks)

體積型攻擊,即容量耗盡攻擊,是最常見的 DDoS 攻擊類型。
採用大量的 「殭屍網路」 [註1] 流量(有時超過 100 Gbps)來淹沒您的網路頻寬,攻擊手法有ICMP flood attack(ICMP洪泛攻擊)、UDP flood attack(UDP洪泛攻擊)以及Amplification attack(放大攻擊)等等。攻擊者以各種方式為被害系統端製造大量流量,使其頻寬飽和,導致正常用戶封包無法到達或無法傳送離開,這種攻擊的幅度以位元/秒 (bits per second, bps) 為單位。

【佔滿系統資源】協定攻擊(Protocol attacks)

與體積型攻擊不同,協定攻擊旨在耗盡伺服器資源而不是頻寬。常見的攻擊包括 SYN 洪水、碎片資料包攻擊Ping of DeathSmurf DDoS 等,它利用第 3 層和第 4 層協定堆疊中的弱點,透過發出虛假的協定請求來消耗伺服器、防火牆和負載均衡器等網路基礎結構資源的所有處理能力,從而導致服務中斷。協定攻擊的強度以封包數/秒(packets per second, bps) 為單位計算。

【佔滿負載】應用層攻擊(Application-layer Attacks)

應用程式層攻擊是最複雜和最嚴重的攻擊類型。
通常,它們需要的資源比體積型攻擊和協定攻擊少,且專注於利用第 7 層協定中的弱點,常見攻擊手法有HTTP flood attack(HTTP洪泛攻擊)、Slow attacks(慢速攻擊)、CC attack(CC攻擊)等等。攻擊者針對各種應用程式或協定的弱點及漏洞進行攻擊,目的是使Web伺服器崩潰,應用程式層攻擊相對較難解決,幅度以請求數/秒(requests per second, bps)為單位計算。

儘管最常見的 DDoS 攻擊大致分為這三類,但某些攻擊可以是組合的。駭客可能會發起協定攻擊以造成干擾,然後再啟動應用程式層攻擊,因為他們需要獲取更多時間才能在應用程式層中查詢漏洞,進而造成範圍更廣更嚴重的災害,這是一種稱為 「混合攻擊」 的新趨勢。


Botnet

[註1]:

殭屍網路(Botnet)是什麼?最棘手的DDoS攻擊手法

當主機和網路設備(例如IoT)被惡意感染後,它們可以被攻擊者遠端控制,這些單獨的設備被稱為機器人或殭屍,而一組機器人被稱為殭屍網路(Botnet),殭屍網路根據網路通訊協定的不同分為IRC、HTTP或P2P類等。

一旦建立了殭屍網路,攻擊者就可以通過向每個機器人發送遠端指令來引導攻擊。當受害者的伺服器成為殭屍網路的目標時,每個殭屍程式都會向目標的IP 位置發送HTTP/S請求並交付網頁,可能導致服務器或網路不堪重負,從而導致對正常流量的拒絕服務,且因為每個機器人都是合法的網路設備,所以很難將攻擊流量與正常流量分開。


常見的DDoS類型介紹

上述提到許多攻擊手法,今天就要來一一介紹它們是怎麼進行攻擊的?

UDP洪水攻擊(User Datagram Protocol floods)

UDP主要功能是可以提供快速、輕便及較不可靠的資料傳送,傳送時不需要建立複雜的連線,攻擊者因此能夠製造大量UDP的封包以佔滿受害系統端網路頻寬,導致正常用戶封包無法到達,影響用戶服務體驗。當受害系統端伺服器收到UDP封包時,會先確認該封包要連的port號是否有服務運行中,如有服務運行,則依該服務內容處理封包請求,如無服務運行,則伺服器會回應UDP目標不可送達封包。

比如:當遇到外送糾紛,客戶想透過外送app聯繫客服,系統會為你轉接給閒置的客服人員,但在轉接前,系統需先確認您的訴求是什麼類型及哪些客服人員可以處理相對應的狀況,如果所有客服人員都在線上,系統則會告知客戶目前都在忙線中,而如果是同時間有大量來電,系統即無法負荷。


ICMP洪泛攻擊(ICMP flood attack)

ICMP flood attack原理與UDP相似,最常見的形式為攻擊者製造大量ICMP Echo Request封包以佔滿受害系統端網路頻寬,導致正常用戶封包無法到達,影響用戶服務體驗。

比如:國定假日前一天,高速公路突然湧現車潮導致塞車,因此民眾需要花比平常更多的時間才能到達目的地。


放大攻擊(Amplification attack)

最常見的放大攻擊為DNS amplification attack(DNS放大攻擊)或NTP amplification attack(NTP放大攻擊),攻擊者製造大量目標受害系統端IP(偽造的來源IP)的封包向多個DNS或NTP伺服器發送請求封包(小封包),DNS或NTP伺服器處理完請求後會產生大量的響應,發送回應封包(大封包)至受害目標,造成目標接收攻擊者初始流量的放大結果,其網路被虛假流量堵塞,導致阻斷服務。

比如:疫情擴大時,人們接收到可能會面臨物資不足的資訊,紛紛到超市搶購過量的生活用品,造成服務壅塞,導致真正需要物資的人們買不到所需的產品。


SYN洪泛攻擊(SYN flood attack)

SYN洪泛攻擊為攻擊者利用TCP三項交握的特性(三次握手),偽造用戶端發送SYN(synchronize)請求,而當伺服器回應SYN/ACK請求後,該攻擊者就不對其再確認並回覆,導致伺服器TCP連線一直處於掛機狀態直到超時,也就是呈現半連線的狀況,這種TCP連線會無止盡地消耗CPU和記憶體,進而佔滿伺服器資源無法使用。有時攻擊者也會使用SYN flood attack當體積型攻擊,造成受害系統端頻寬飽和,因為一般情況下,各家廠商阻擋SYN封包機率較低。

比如:撥打客服中心電話時,聽到所有服務人員均在忙線中,即為所有客戶人員都被佔線,無法再處理新的來電。


HTTP洪泛攻擊(HTTP flood attack)

HTTP洪泛攻擊通常稱為第7層攻擊,也就是應用層攻擊。
攻擊者製造大量HTTP請求傳送到受害端伺服器,通常為HTTP GET或HTTP POST封包。GET請求用於檢索標準的靜態內容,例如圖像、文字,而POST請求用於訪問動態生成的資源。當殭屍網路不斷地增加HTTP請求量,伺服器為了處理這些請求,會消耗大量的系統資源,並且回應大量的程式密集型請求給用戶,導致頻寬使用量驟升,也是體積型攻擊的一種。

慢速攻擊(Slow attack)

攻擊者利用通訊協定中的漏洞,對受害端伺服器建立多條較緩慢的網路連線,並且刻意將回應時間拉長讓伺服器無法完成網頁的需求,長時間佔用伺服器的連線,以佔滿耗盡受害端的系統資源。

CC攻擊(Challenge Collapsar attack, CC attack)

CC攻擊主要針對Web應用程式,攻擊者製造大量偽裝的訪問請求,消耗目標系統資源,當一個網站同時湧入一堆連線,即會使網頁開啟速度變慢甚至網站掛掉。


OSI模型分類的DDoS攻擊

OSI分層 定義 常見協定 DDoS攻擊
七:應用層 應用程式 HTTP/S、DNS DNS放大攻擊
CC攻擊
HTTP洪泛攻擊
六:呈現層 資料呈現及加密 NO NO
五:工作階段層 建立、維護連線 NO NO
四:傳輸層 資料傳輸的
流量管制及錯誤控制
TCP
UDP
SYN洪泛攻擊
UDP洪泛攻擊
三:網路層 路徑判定與選擇 IP
ICMP
ICMP洪泛攻擊
二:資料連結層 實體定址 IEEE 802.11
Ethernet
NO
一:實體層 網路卡
訊號
NO NO

Anti-DDoS(高防IP)是如何防範DDoS攻擊?

DDoS攻擊種類繁多又複雜,想要百分之百防範其實是不可能的,但是我們可以緩解 DDoS 攻擊,首選技術就是將可能受攻擊的區域降到最低,以限制攻擊者的選擇,讓您能夠在單一位置建立保護,並且我們要確保應用程式或資源不會公開至不應收到任何通訊的連接埠、協定或應用程式,從而大幅減少可能的攻擊點。

Anti-DDos的主要功能是藉由隱藏客戶網站的IP位址,對於終端使用者的網站請求就地處理,直接吸收,有效降低客戶網站被攻擊的可能性,使客戶的網站能安全且穩定運作。

Anti-DDoS解決方案是什麼?特色、優勢、原理全解析!

Anti-DDoS針對廣泛性的分散式阻斷攻擊(DDoS),有一套安全機制,我們能夠將防禦設備建置在骨幹網路或是CDN的邊緣節點中,透過「流量監控」、「流量清洗」的功能,分析及阻擋惡意流量,並隱藏客戶端的源伺服器IP位置。

同時,可以搭配CDN的流量分流的特性,將受感染的流量傳送至具有Anti-DDoS的設備進行清洗,最後讓乾淨的流量進到客戶端伺服器。
(延伸閱讀:CDN是什麼?它是如何運作?


HiCloud_AntiDDoS_advantage


HiCloud Anti-DDoS的優勢

  • 隱藏源伺服器,由CDN阻擋DDoS攻擊

預設阻擋各種DDoS攻擊封包 (如SYN FIood、ICMP FIood、UDP Flood…等)
當客戶將DNS解析設置到HiCloud CDN後,網路流量只會流向HiCloud CDN節點上,即可從網路上隱藏源伺服器,將由HiCloud CDN在前方阻擋DDoS攻擊,源伺服器將不會受到影響。

  • Anti-DDoS簡易部署,可以指定兩種緩解DDoS攻擊方式

  1. 協助客戶進行DNS網域解析,將IP位置指向具有DDoS流量清洗功能的IP位置
  2. 將CNAME地址直接進行引流至Anti-DDoS
  • 降低被DDoS攻擊可能性,30秒內切換到Tb級清洗中心

所有來自公有網路的訪問流量都將優先經過Anti-DDoS的伺服器,讓惡意流量盡可能地分流到清洗中心進行過濾,而在將乾淨的流量通過轉換協定的方式返回給原始佔點,從而保障客戶的伺服器資源。

  • AI防護機制,自動化分析惡意流量

在流量清洗技術方面,分別針對體積型攻擊、協定型攻擊、應用層攻擊,通過自動優化防護的演算法和深度機器學習業務流量的曲線,達到精準識別攻擊IP並自動過濾。

  • 穩定且高可用

  1. 通過自定義過濾頻率和全自動檢測、監控,提供即時防護來提升提防護率和成功率,同時也大大降低了安全維運人員的工作難度
  2. 即時對流量清洗中心中的所有入流量、伺服器CPU和記憶體進行監控,保障Anti-DDoS的可用性
  3. 針對回原始站點的路徑進行可用性監控,一旦發現不穩定,可以自動切換至備用路徑,保障路徑的可用性
  4. 針對原始站點進行健康檢查,一但發現異常,自動切換,並針對原始站點的HTTP流量進行監控,發現異常後會自動引流自Anti-DDoS清洗中心。
  • 具備流量調度能力

Anti-DDoS服務可分析近期雲端產品的安全事件,通過DNS解析進行流量調度,實現在其他雲端產品尚未遭受到DDoS攻擊時不使用DDoS防護功能
用戶可根據自己的業務場景自定義調度模板,自動化調度DDoS的防護能力

Anti-DDoS推薦供應商

【AWS(Amazon Web Services)】 - AWS Shield


AWS DNS放大攻擊 架構圖


詳細內容👉🏻AWS DNS放大攻擊 防禦原理


AWS Shield 是一種受管的分散式拒絕服務 (DDoS) 保護服務,可保護 AWS 上執行的應用程式不受攻擊。AWS Shield 不只提供永遠開啟的偵測服務,還提供自動的內嵌風險降低功能,可將應用程式停機與延遲時間縮到最短,因此您無須聯絡 AWS Support 也能輕鬆享受 DDoS 保護。AWS Shield 有兩種方案 – Standard 與 Advanced。

所有 AWS 客戶都能使用 AWS Shield Standard 提供的自動保護,無須額外付費。AWS Shield Standard 可保護您的網站或應用程式,免於常見且經常發生的網路與傳輸層 DDoS 攻擊。若將 AWS Shield Standard 與 Amazon CloudFront 和 Amazon Route 53 搭配使用,即可享有所有已知基礎設施 (Layer 3 和 4) 攻擊的全方位保護,確保可用性。

【CloudFlare】 - Anti-DDoS


Cloudflare DDoS防禦 OSI架構圖


詳細內容👉CloudFlare Anti-DDoS產品介紹


Cloudflare DDOS 防護可以保護網站、應用程式及整個網路,同時確保合法流量的效能不受影響,Cloudflare 的 142 Tbps 網路平均每天封鎖 1170 億個威脅,包括有史以來最大的多起 DDoS 攻擊事件。

近期於2022年6月緩解一起超高呼叫流量的DDoS攻擊,高達15.3M rps,這波攻擊來自一個大型的殭屍網路,主要針對一家發行加密貨幣計畫的Cloudflare 客戶,為流量每秒1,530萬次的呼叫且加密過的分散式阻斷服務 (DDoS)攻擊,同時,這次攻擊使用將近6,000個不同的殭屍機器人 ,並分布在全球112個國家,比例最高15%主要集中在印尼,其次為俄羅斯、巴西、印度、哥倫比亞、美國、德國等,雖然本次並非歷年最大 的DDoS攻擊事件,但這次是在 HTTPS / TLS 的加密連線中發生,因此無論是攻擊者發動的攻擊還是受害者緩解 ,成本都比以往還來得高!

【微軟】- Azure DDoS Protection


Azure DDoS保護 架構圖


詳細內容👉🏻Azure DDoS介紹


Azure DDoS保護通過自動調整到客戶預期流量的配置文件來幫助保護您的應用程式和資源,協助為客戶提供專用監控、日誌記錄、預測和警報的 Azure 全球網路,抵禦最複雜的攻擊。

Azure在攻擊期間最大限度地減少應用程序停機時間和延遲,通過將實際流量與 DDoS 策略中定義的閾值進行比較的自適應調整,每天監控您的應用流量模式。
Azure 能即時緩解 DDoS 攻擊,而不會影響對延遲高度敏感的應用程式的可用性或性能,在幾分鐘內設置多層保護。

防禦機制包含一整套OSI網路架構(第 3/4 層)攻擊,以及常見的應用層(第 7 層)攻擊,加上使用 Azure Web 應用程序防火牆 (WAF) 後,可以在任何新的或現有的虛擬網路上輕鬆啟用保護,並且無需用戶更改應用程序及資源配置,通過使用 Azure 負載平衡器部署的合作夥伴,提供內聯 DDoS 保護。

【阿里雲】- Anti-DDoS(高防IP)


阿里雲 Anti-DDoS 架構圖


詳細內容👉🏻阿里雲DDoS解析


全球DDoS 防護網,輕鬆應對各種DDoS攻擊,阿里雲每天平均防護DDoS攻擊超過2500次,並成功防護Tb級以上的攻擊,抵禦最大規模協定攻擊峰值超過500萬QPS。
阿里雲在全球建設DDoS清洗中心,防護網路總頻寬超過10Tbps。
阿里雲擁有AI防護機制,自動對抗各式DDoS攻擊(例如CC攻擊),根據攻擊的實際情況快速調整防護策略,降低安全維運的成本,保障業務穩定運行。


HiCloud DDoS防護專家!結合AWS、CloudFlare、Azure、阿里雲 四大廠商優勢!

HiCloud Anti-DDoS可抵擋各種DDoS攻擊(如SYN FIood、ICMP FIood、UDP Flood…等),包含防禦DDoS+CC,根據攻擊的實際情況快速自動化調整防護策略,有效防禦流量型+應用層攻擊,同時適用於各種場景,例如金融業務、電商、APP、遊戲…等。
更多解決方案請上👉🏻HiCloud官網

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×