而早期因為電腦不如今日發達,只要攻擊方電腦性能高於被攻擊方,一對一的Dos攻擊就容易達到目的,不過如今電腦科技的進步,單純的Dos攻擊大多能被成功防禦與破解,所以多對一的DDos便成為了現今駭客愛用的攻擊手法。
DDoS攻擊手法有哪些呢?
DDos攻擊手法都是以大量的無效請求進行網頁的資源消耗,可略分為:
藉由傳送大量無效、或惡意放大流量的數據請求,堵塞被攻擊的伺服器頻寬,使其達到飽和狀態,讓正常用戶無法進入,甚至造成網頁當機癱瘓的DDos攻擊。
像是常見的UDP Flood、ICMP Flood ,給予伺服器大量無效的數據內容,又稱洪水攻擊;捏造資料切割位移資訊,導致系統發生重組問題,佔用網頁寬頻,達到DDos攻擊效果的TearDrop(淚滴攻擊);與能生成超過IP協定能容忍的數據長度,導致系統當機的Ping of Death,皆屬此類。
有別於寬頻消耗型的DDos攻擊,資源消耗型攻擊是讓被攻擊方的伺服器不斷進行反覆的無效運作,導致網頁資源被耗盡,無法再回覆正常用戶的請求與提供需求。
這類型的DDos攻擊手法如SYN Flood,即對伺服器提出建立TCP連線需求,卻蓄意阻斷TCP的三次交握,讓伺服器持續發出請求並等待回覆,進而導致資源消耗,使一般用戶無法使用;若將 SYN Flood 攻擊中提出請求的IP來源,設定為被攻擊方的位址,就會讓系統不斷的自我答覆,直到資源耗盡,即為常見的 LAND 攻擊手法。除此之外,還有利用大量伺服器對被攻擊方提出模擬HTTP正常請求的CC攻擊、網路殭屍攻擊等,都是以耗盡伺服器資源為目標。
我們能採取什麼DDoS防禦措施?
DDos攻擊之所以難以防禦,是因為DDos的「攻擊」會用看似正常的「需求」包裝,加上難以追蹤來源,也是DDos攻擊棘手的主因,不過仍能利用下述3個面向,加強系統的DDos防禦:
藉由高性能的防火牆設置,限制異常IP位址發出的請求,降低大量無效數據佔用頻寬或損耗資源的可能性,加強篩選機制、阻斷DDos攻擊的效果。
提升設備的性能,讓其遭受DDos攻擊時可爭取多一點的緩衝時間,在不讓網頁癱瘓的狀況下,即時針對攻擊模式採取應對的DDos防禦措施,將傷害減至最低。
像是DDos流量清洗機制,會將流量導入清洗系統中,把異常的流量來源過濾、剔除,又或是系統本身具備防禦一定數目的無效數據包、以及設定合理的同時連線數量等,讓DDos攻擊無功而返。
