深度解密 DDoS 攻击


深度解密 DDoS 攻击

分布式拒绝服务(DDoS)攻击是一种恶意尝试,目的是通过大量Internet流量淹没目标或其周围基础结构,从而破坏目标服务器,服务或网络的正常流量。DDoS攻击通过利用多个受损的计算机系统作为攻击流量的来源来实现有效性。被利用的机器可以包括计算机和其他联网资源,例如IoT设备。从较高的角度来看,DDoS攻击就像是交通拥堵,高速公路阻塞,阻止了正常的交通到达其期望的目的地。

什么是 DDoS 攻击?

DDoS 攻击如何运作?

DDoS 攻击要求攻击者控制在线机器网络以便发动攻击。计算机及其他机器(例如 IoT 设备)感染恶意软件,每台计算机和机器都将变成机器人(或僵尸)。而后,攻击者将可远程控制这群被称为僵尸网络的机器人。

一旦建立僵尸网络,攻击者将可通过远程控制方法向每个机器人发送更新指令,从而指导机器发动攻击。当僵尸网络确定受害者的 IP 地址后,每个机器人都将做出响应,同时向目标发送请求,这可能导致目标服务器或网络溢出容量,导致对正常流量的拒绝服务。由于每台机器人均为合法的 Internet 设备,因而可能很难区分攻击流量与正常流量。

常见的 DDoS 攻击有哪几类?

不同的 DDoS 攻击手段针对不同的网络连接组件。为了解不同 DDoS 攻击的工作原理,必需掌握建立网络连接的方式。Internet 网络连接由许多不同的组件或“层”构成。就像打地基盖房子一样,模型中的每一步都有不同的目的。OSI 模型(如下图所示)是一个概念框架,用于描述 7 个不同层级的网络连接。

什么是 DDoS 僵尸网络?

僵尸网络是指一组受到恶意软件感染并遭到恶意用户控制的计算机。术语“僵尸网络”由“机器人”和“网络”两个词混合构成,每台受感染设备均称为机器人。僵尸网络可用于完成非法或恶意任务,包括发送垃圾邮件、窃取数据、勒索软件、欺诈性点击广告或分布式拒绝服务 (DDoS) 攻击。

虽然某些恶意软件(如勒索软件)会对设备所有者产生直接影响,但 DDoS 僵尸网络恶意软件的可见性可能各不相同;一些恶意软件用于完全控制设备,另一些恶意软件则以后台进程的形式默默运行,同时静静等待攻击者或“僵尸牧人”发出指令。

自我传播僵尸网络可通过各种不同渠道招募其他机器人。感染途径包括利用网站漏洞、传播特洛伊木马恶意软件及破解弱身份验证以进行远程访问。 获得访问权限后,所有这些感染方法都将在目标设备上安装恶意软件,以便僵尸网络操控者进行远程控制。一旦设备受到感染,可能会面向周边网络招募其他硬件设备,尝试自我传播僵尸网络恶意软件。

虽然无法确定特定僵尸网络中机器人的确切数量,但可以估算复杂僵尸网络的机器人总数,估算范围从数千一直延伸到百万以上。

为什么创建僵尸网络?

使用僵尸网络的原因多种多样,包括激进主义和国家赞助的破坏活动,许多攻击纯粹是为了牟利。在线招募僵尸网络服务费用相对较低;特别是,对比可能造成的损失,价格优势尤为显著。另外,创建僵尸网络的门槛也足够低,因而成为某些软件开发人员的牟利手段,在监管和执法力度有限的地区应用尤其广泛。综合以上优势,提供招募攻击的在线服务迅速风靡全球。

常见 DDoS 攻击

DDoS 攻击工具

常用词汇

历史 DDoS 攻击事件

参考


Author: Kyle Liu
Reprint policy: All articles in this blog are used except for special statements CC BY 4.0 reprint polocy. If reproduced, please indicate source Kyle Liu !
  TOC