DDoS
DDoS 是什麼?
DDoS (Distributed Denial of Service,分散式阻斷服務) 簡稱 DDoS 攻擊,又稱洪水攻擊,DDoS 攻擊為駭客控制多個已被惡意軟體感染的電腦或 IoT 等其他設備 (成為常聽到的"殭屍電腦") 作為攻擊流量的來源,向特定的目標 (IP) 發動「阻斷服務」式攻擊,以大量網路流量入侵的方式,使該伺服器或網路不堪負重,導致主機暫時中斷或停止服務。
DOS 是什麼? 跟 DDoS 的差別在哪?
DDos 是由 Dos 演變而來。Dos (Denial of Service,阻斷服務攻擊),常見的 Dos 攻擊為駭客使用較強大的單一電腦去攻擊目標 IP,屬於一對一的攻擊方式 (DDos 為多對一的攻擊),Dos 以訊息洪泛 (Message Flood) 的方式,向目標 IP 送出大量且無意義的網路訊息,耗盡系統或網路資源,使服務無法正常運作。
DDoS 攻擊原理與如何保護網站?
DDoS 攻擊目標常為網站和伺服器,目的是為了阻斷其網路服務,因此防禦 DDoS 除了要選擇有能力處理 DDoS 攻擊的主機商之外,自己的網站也須做好資安防護! 透過以下影片您可以更了解 DDoS 攻擊原理與防禦方式,您也可在本篇文章中得知影片內容的詳細資訊。
DDoS 攻擊如何辨識?
DDoS 為何難以預測? 因為 DDos 的攻擊手法是操控大量的電腦同時向伺服器要求正常的連線,使得防火牆無法辨別 DDos 攻擊。常見的 DDos 攻擊症狀包括:
- 網站反應時間過長
- DDos 攻擊瞬間的網路(封包)流量非常高
- 來自單個 IP 或 IP 周圍的可疑流量
- 不自然的流量爆增 (例如每 10 分鐘流量就會爆增)
- 大量流量來自擁有單一特徵 (例如:地理位置、設備類型、瀏覽器版本) 的用戶
DDoS 攻擊的常見類型有哪些?
| 攻擊種類 | 攻擊手法 | 防禦方式 |
|---|---|---|
| 流量洪水攻擊 | 發送大量的請求來癱瘓目標伺服器,使其無法回應,導致資源耗盡或系統癱瘓 | DDoS 防禦 |
| 資源耗盡攻擊 | 使用各種手段消耗目標伺服器的資源,使其無法正常運行 | DDoS 防禦 |
| 應用程式層攻擊 | 發送特定的請求使應用程序無法正常運行,可能導致服務中斷 | WAF 應用防火牆 DDoS 防禦 |
DDOS 攻擊手法(一)網路層 — 流量洪水攻擊
- UDP 洪水:發送大量的 UDP 封包到目標伺服器的隨機端口,伺服器被迫不斷處理這些無效請求,導致耗盡資源,無法正常提供服務。
- ICMP 洪水:發送大量的 ICMP Echo 請求(ping),讓伺服器無法處理正常流量,最終癱瘓。
- SYN 洪水:攻擊者發送大量的 SYN 請求,建立大量未完成的連接,耗盡伺服器資源,無法處理新的連接請求。
DDOS 攻擊手法(二)應用層 — 資源耗盡攻擊
- DNS 及 NTP 放大攻擊:攻擊者利用開放的 DNS / NTP 伺服器,發送偽造的 DNS / NTP 請求,放大流量攻擊目標伺服器,使伺服器無法應對。
DDOS 攻擊手法(三)傳輸層 — 應用程式層攻擊
- HTTP 洪水:透過發送大量的 HTTP 請求,模擬合法用戶的訪問,使目標網站的伺服器過載,無法處理其它正常用戶的請求。
- Slowloris:攻擊者發送慢速的 HTTP 請求,保持連接打開狀態,佔用伺服器的資源,最終使伺服器無法處理其他請求。
如何防禦 DDoS 攻擊? 遠振 4 大 DDoS 攻擊防護介紹
遠振資訊已事先為防禦 DDoS 做好以下規劃,以及具備 24x7 的工程團隊監控,能在第一時間處理與解決 DDoS 攻擊,即時緩解 DDoS 影響。
DDoS 防護(一)多層式防護機制
一般而言,可透過受攻擊的開放式系統互連模型 (OSI) 層來隔離 DDoS 攻擊,DDoS 攻擊在網路層 (Layer 3)、傳輸層 (Layer 4)、展示層 (Layer 6) 和應用程式層 (Layer 7) 最常見。系統可依照 DDoS 的攻擊類型,將不同的攻擊分配給三種防護系統做清洗,能在第一時間阻斷各式各樣的 DDoS 攻擊!
DDoS 防護(二)DDoS 流量清洗
將所有流量導入具有清洗能力及 SOC 監控的網路架構中,隨時對流量及封包進行監控。當發現無效封包、異常或符合攻擊特徵的連線行為時,便會啟動清洗機制,對於異常來源進行阻擋及封包過濾等防護措施,讓 DDoS 攻擊無功而返,正常的流量則回注於客戶網站。
DDoS 防護(三)雲端清洗中心
採用雲端區域聯防,將不同國家的攻擊流量送至最近的清洗中心,可加快清洗速度並有效避免單一清洗中心失效。
DDoS 防護(四)7x24 全年無休的防禦監控
工程師採 24 小時監控您的主機,若發現有 DDoS 攻擊立即通報,並將流量導入清洗中心。
遠振資安服務,讓您避免成為 DDoS 攻擊中的殭屍
定期資安檢測
駭客常以暴力破解、漏洞、木馬來取得攻擊流量,因此 DDoS 攻擊的防禦方式通常為入侵檢測、流量過濾和多重驗證等,運用多種的資安檢測工具或測試方案,例如: 網站與應用程式弱點掃描、網頁掛馬 入侵偵測掃描等,可提供專業的檢測結果、資安改善方向與建議、定期進行資安掃描,大幅降低資安風險。
加強防火牆的通行規則
調整防火牆通行規則,加強篩選機制、限制並阻絕異常 IP 位址或異常的請求封包,例如使用 WAF 網站應用程式防火牆,以降低大量無效流量佔用頻寬或損耗資源的可能性,進而達到阻斷 DoS 攻擊的效果。
增加頻寬或設備效能
DDos 攻擊所引起的流量湧升,導致伺服器或網路不堪負重,因此需要提升系統的設備性能與規格,不過此方式僅是將 DDoS 攻擊的門檻提高,還是需要搭配上述提到的解決辦法才能有效防禦 DDoS 攻擊。
