连续6年不跑路的安全速度最适合国人VPN
简而言之:什么是 DDoS 攻击以及 DDoS 攻击如何运作?
DDoS 攻击是借助僵尸网络发起的。僵尸网络会同时对指定网站或服务器进行攻击,导致网站或服务器速度变慢甚至完全下线。
一些最常见的 DDoS 攻击包括:
- Ping 洪水
- DNS 查询洪水
- HTTP 洪水
- UDP 洪水攻击
- SYN洪水
- NTP扩增
- 死亡之平
黑客发起这些攻击可能是出于报复,为了金钱利益,甚至只是为了展示自己的实力和寻求乐趣。
由于这些攻击的规模和性质,网站几乎不可能完全保护自己。
个人可能因为其他原因而成为攻击目标:在线游戏锦标赛的竞争对手可能会攻击其他玩家以阻碍他们的成功。幸运的是,您可以使用优质的 VPN(如 NordVPN)保护自己免受此类个人攻击。
NordVPN
想要了解更多有关 DDoS 攻击的信息?在下面的文章中,我们详细介绍了上述攻击。我们还将告诉您一些最常见的 DDoS 攻击迹象。
DDoS 攻击到底是什么 ?DDoS 攻击(分布式拒绝服务)涉及用互联网流量淹没网站或实时服务的网络。DDoS 攻击可能导致公司或组织的服务不可用,因为高负载会导致服务器不堪重负。
要组织 DDoS 攻击,攻击者需要僵尸网络。这是一个由受恶意软件感染的设备(计算机、笔记本电脑等)组成的大型网络,这些设备可由所谓的“僵尸网络牧民”控制,即控制僵尸网络的人。这些设备的所有者通常不知道他们的机器被僵尸网络利用。
黑客可以使用僵尸网络进行 DDoS 攻击。有时,他们会创建僵尸网络并将其出售给他人。这只是暗网上发生的众多欺诈交易的一部分,暗网是互联网的肮脏角落,一般公众不会去那里。
DDoS 攻击是如何发生的?
在发生 DDoS 攻击之前,攻击者需要访问并控制僵尸网络。他们可以在暗网上购买一个,也可以自己创建一个。
通常,创建僵尸网络的最快方法是用恶意软件感染由许多联网设备组成的网络。由于这些机器都通过一个公共连接连接在一起,恶意软件可以在整个网络中快速传播。反过来,这种恶意软件使黑客能够远程访问受感染的设备。这些设备已成为更广泛的僵尸网络中的机器人(本质上是机器人)。
从这里开始,黑客可以自由地发起多种 DDoS 或其他攻击。DDoS 攻击有多种类型,但大多数都是通过对网络或服务器进行暴力攻击来实现的。通常,该过程如下:
- 通过远程命令,获取的僵尸网络被指示向目标服务器发送大量请求:同时发出数百或数千个请求。
- 接收服务器无法处理与合法用户一起访问该页面的大量数据。
- 由于不堪重负,服务器速度严重减慢,甚至崩溃(下线)。
- 该网站(暂时)无法供真实用户访问,直到托管该网站的公司或组织纠正此情况为止。
一些公司选择使用具有某些措施来防御 DDoS 攻击的托管公司。我们在文章的后面部分对此进行了解释。但是,即使是这些专业的公司也无法完全阻止攻击。
DoS 与 DDoS:主要区别
DDoS 攻击本质上是一种大规模 DoS 攻击,涉及多个设备或机器人。DoS(拒绝服务)攻击与 DDoS 的工作原理相同,但规模较小。在 DoS 攻击中,使用单台计算机向服务器发送大量 UDP 和 TCP 数据包,而不是整个系统。
就黑客可以采取的行动而言,DoS 攻击和 DDoS 攻击之间存在以下关键区别:
- DoS 攻击更容易被发现。由于它们是从单个设备和位置发起的,因此追踪 DoS 攻击的来源并阻止连接相对简单。另一方面,DDoS 攻击来自多个 IP 地址,并且IP 可以被伪造,这使得这些攻击更难处理。
- DDoS 攻击的流量更大。由于僵尸网络内使用多个机器人,DDoS 攻击的流量比 DoS 攻击更高。由于涉及数百或数千个连接,这会使 DDoS 攻击更加危险且更难检测和解决。
- DDoS 攻击可以更快地造成破坏。由于流量更大,涉及的设备更多,DDoS 攻击的速度更快。这意味着黑客可以在攻击被发现之前造成大量破坏。来自庞大僵尸网络的 DDoS 攻击可能会在几分钟或更短的时间内使服务器瘫痪。
DDoS 攻击的类型
DDoS 攻击有很多种,但大多数攻击都遵循相同的原理:用网络流量淹没目标 Web 服务器或服务,以期使其下线。这些攻击被称为容量耗尽攻击。下面,我们将介绍一些最常见的 DDoS 攻击类型及其工作原理。
1. Ping Flood 攻击
Ping 是一种实用程序,可用于检查互联网上 IP 地址的可用性和响应时间。将一个小数据包发送到目标 IP 地址或计算机,并测量该数据包发回所需的时间。通过 ping 洪水攻击,网络犯罪分子会向受害者的机器发送大量 ping 数据包。这些被称为 ICMP 回显请求。
收到这些请求后,目标设备会用自己的ICMP 回显回复数据包来响应每个 ICMP 数据包。现在,想象一下攻击者用这些请求淹没受害者的机器。当设备尝试处理每个单独的 ICMP 回显请求并发送回复时,它将消耗大量的处理能力并导致系统速度变慢。
2. DNS查询洪水攻击(应用层攻击)
将DNS 服务器视为互联网的联系人列表。计算机可以使用它们来确定在何处查找特定 Web 内容。DNS 洪水攻击会淹没目标 IP 的 DNS 服务器。这允许黑客中断域查找 Web 内容的能力,从而导致网站或 Web 应用程序不可用。
DNS 洪水攻击是最难检测和防范的 DDoS 攻击之一,因为伪造的 DNS 请求看起来与合法请求完全相同。接收服务器无法区分攻击流量和正常用户流量。
3.HTTP洪水攻击
这种 DDoS 攻击可分为 HTTP GET 攻击和 HTTP POST 攻击。每种攻击都涉及特定的网络命令:“GET”和“POST”可用于在网络上检索或发送信息。
通过GET 攻击,僵尸网络会收到指令,向服务器发送大量媒体、文件或其他数据请求,从而降低系统速度并拒绝合法请求。例如,这可用于破坏网站。
在POST 攻击中,僵尸网络通过发送大量数据(例如通过 Web 表单)来攻击服务器。将信息从网站发送到数据库所涉及的底层后台进程占用大量资源。因此,攻击者可以通过 POST 请求快速使目标服务器过载。
总结来说,HTTP 洪水攻击会以两种方式之一向目标服务器发送大量 HTTP 请求,导致目标服务器无法处理新的互联网流量。这就是2022 年 6 月发生在 Cloudflare 身上的事情。
4. UDP 洪水攻击(网络层)
UDP,即用户数据报协议,是一种更快速的网络通信方式。这是因为 UDP 可以在两个服务器端点之间正确建立连接之前允许数据传输。虽然这对于视频或语音数据传输等目的很有用,但它也有缺点。首先,数据包在到达目的地之前可能会丢失。此外,UDP允许通过 UDP 洪水攻击进行利用。
在 UDP 洪水攻击中,受害者网络上的多个随机端口会被数据报淹没。黑客还可能在用于发起攻击的 UDP 数据包中指定服务器的 IP 地址和端口号。
收到数据报时,接收方设备会检查是否有任何应用程序支持它们。如果未找到任何应用程序,主机设备将返回“目标无法访问”数据包。至关重要的是,由于 UDP 流量不需要接收服务器的许可,因此黑客可以通过大量发送 UDP 请求来迅速压垮它。
5. SYN洪水攻击
SYN 数据包是从一台机器发送到服务器的连接请求。服务器通常会用 SYN/ACK 数据包进行响应,确认该请求。此时,服务器会打开一个端口以允许连接。通常,请求连接的设备会用自己的 ACK 数据包进行响应,确认来自服务器的响应。
然而,在 SYN 洪水攻击中,攻击者不允许其设备确认响应。因此,服务器的端口保持打开状态。攻击者反而会反复向服务器发送连接请求,从而导致越来越多的端口被利用。最终,服务器将耗尽端口,无法接受新连接。
6. NTP 扩增
NTP 代表网络时间协议,它是使用最古老的网络协议之一。计算机使用它来同步时钟。在某些情况下,管理员可以使用 NTP 检查 NTP 服务器上的流量。使用特定命令,服务器可以告诉管理员最近建立的600 个连接。
在 NTP 放大攻击中,恶意行为者可以向 NTP 服务器发送此请求。同时,他们会伪造选定受害者服务器的 IP 地址,使攻击看起来像是来自目标设备。被查询的 NTP 服务器将通过向伪造的 IP 发送连接列表来响应请求,这会减慢受害者的网络速度。
7. 死亡之平
在死亡 ping (POD) 攻击中,设备会收到大量 ping,类似于 ping 洪水攻击。但是,在死亡 ping 攻击中,攻击者通常会操纵这些数据包,使其大于允许的最大长度。
如果遵循正确的协议,ping 数据包通常只有很小的 56 字节,但 IPv4 数据包可能达到 65,535 字节。攻击者可能会故意发送大于此大小的 ping 数据包,作为死亡 ping 攻击的一部分。
由于 IPv4 ping 数据包的最大允许大小,网络会将其拆分为碎片:不完整的数据包。当目标服务器接收并尝试重建这些数据包时,它会占用网络资源,因为服务器无法验证收到的数据包。这会导致网络速度变慢直至停止。
DDoS 攻击背后的常见原因
DDoS 攻击有多种不同的原因。有时,很难找出公司或组织成为攻击目标的原因。攻击者通常保持匿名,无法透露他们发起攻击的原因。但是,有一些常见的动机。下面,我们列出了 DDoS 攻击的一些常见原因:
- 勒索:黑客可能会攻击大型机构(例如银行),以威胁该机构如果不以比特币或其他加密货币支付赎金,随后将发动更大规模的攻击。这样做的动机是金钱,而且由于加密货币提供的匿名性,资金更难追踪,甚至不可能追踪。
- 报复:攻击者可能会因为服务质量差或其他个人原因而对某家公司心怀怨恨,并选择使用僵尸网络攻击他们。其他报复性 DDoS 攻击的例子涉及游戏社区。有许多例子表明,心怀不满的玩家因某种原因感到沮丧后关闭了某家公司的游戏服务。
- 权力游戏:黑客可能想展示自己的能力,通过破坏大型公司的网站和服务来说明这一点。此外,DDoS 攻击可能被用来表明:在现实世界中,掌权者没有能力控制整个互联网。
- 乐趣:一些黑客只是为了好玩而进行 DDoS 攻击。2018 年,荷兰税务局和多家荷兰银行遭受了 DDoS 攻击。这次攻击是由一名 18 岁的男孩实施的,他后来指出,他只是为了好玩而发起了这次攻击。
DDoS 攻击的迹象
识别 DDoS 攻击并不难。但是,一旦成为受害者,迅速采取行动很重要。一定要了解DDoS 攻击的迹象,其中一些仅在网络级别可见:
- 无法访问通常可以访问的网站。
- 无法解释的互联网连接丢失,可能会影响众多设备。
- 服务用户或客户报告服务中断的投诉增加。
- 来自单个 IP 地址或 IP 地址范围的可疑大量请求或数据流量。
- 对网络中单个端口或 IP 地址的请求突然、无故增加。
- 来自具有共同特征(例如设备类型或地理位置)的多个用户的大量流量。
如果您怀疑您的系统是 DDoS 攻击的目标,您需要立即采取行动以将后果降至最低。
DDoS 攻击的后果
尽管 DDoS 攻击相对简单,但对成熟的公司和组织来说却可能造成严重后果。如今,网上发生了很多事情,消费者已经习惯了快速加载网站的奢侈,因此您无法承受离线的后果。
DDoS 攻击持续时间越长,造成的后果就越严重。攻击可能导致以下结果之一:
- 网站访问者或服务用户意识到您的系统已崩溃并继续前进,这可能会 损害您的声誉。
- 您可能会 因客户无法交易而损失潜在收入。
- 员工或授权的系统用户可能 无法访问他们的工作区。
- 您可能会面临 日益增加的高昂成本来纠正问题 并恢复正常服务。
这就是为什么尽早识别和缓解 DDoS 攻击以及建立应对外部攻击的流程如此重要。
DDoS 攻击是否违法?
您可能想知道 DDoS 攻击对肇事者会造成什么后果。在美国,发动 DDoS 攻击被视为网络犯罪。被判有罪的人可能面临最高 10 年的监禁。同样,在英国,根据国家犯罪局 (NCA) 的规定,DDoS 攻击属于 1990 年《计算机滥用法》的范畴。
欧洲的情况也不例外。2018 年和 2019 年,欧洲刑警组织发起了一项行动,关闭了一个 DDoS 攻击频发的网站。欧洲刑警组织与联合网络犯罪行动特别工作组 (J-Cat)、荷兰警方和英国 NCA 合作,获取了 151,000 名注册用户的信息。英国警方对涉案人员进行了家访,一名男子被判处三年监禁。
简而言之:DDoS 攻击在很多国家都是非法的,组织 DDoS 攻击的可能后果之一可能是监禁。
在线游戏期间的 DDoS 攻击
DDoS 攻击也可以针对单个 IP 地址发起。这种类型的 DDoS 攻击在竞技性在线游戏中最为常见。黑客会向对手发起攻击,以使他们因连接不良而失去比赛资格。这看似极端,但却经常发生。
在大多数游戏中,您通过官方服务器进行游戏,您的 IP 会自动隐藏。但是,对于一些支持第三方服务器的 PC 游戏,情况并非如此。这些第三方服务器不提供与官方游戏服务器相同的身份保护。
通过向您的 IP 地址发送大量请求,攻击者可以使您更难访问游戏服务器并玩游戏。他们所需要的只是您的 IP。
为了防止您的连接遭受 DDoS 攻击(例如在线游戏期间),您可以使用 VPN 来隐藏您的 IP 地址。我们将在下文中对此进行详细说明。
如何保护你的网络免受 DDoS 攻击
针对 DDoS 攻击的保护可以分为两类。首先,您可以获得针对特定网站的保护,通常由网站托管公司提供。其次,在某些情况下,保护个人设备免受 DDoS 攻击是明智之举。我们将在下面解释这两种情况。
网站 DDoS 防护
大多数托管服务都提供针对 DDoS 攻击的基本保护。例如,它们可能会将网站流量分散到多个服务器上,使任何单个服务器都难以崩溃。这些服务器也可能位于不同位置,这增加了黑客面临的挑战。此外,托管公司往往提供无限带宽,这是针对 DDoS 攻击的最佳保护措施之一。
然而,要完全保护网站免受 DDoS 攻击是不可能的。这是由于以下几个原因:
- 大型僵尸网络由许多不同的 IP 地址组成,托管服务无法阻止所有这些 IP。
- 僵尸网络的设备可能看起来像是向网站发出的正常请求。托管公司无法确定哪些是真实 IP 地址,哪些属于僵尸网络。
- 僵尸网络越来越庞大,网站越来越难以防范。
如果您拥有一个网站,您可以咨询您的托管服务提供商,了解他们针对 DDoS 攻击采取了哪些措施。
个人设备的 DDoS 保护
您还可以保护自己和个人设备免受 DDoS 攻击。这可以通过隐藏您的真实 IP 地址来实现。VPN(虚拟专用网络)会加密您的所有互联网流量并隐藏您的 IP 地址。使用 VPN,您的互联网连接将通过提供商的服务器进行路由。因此,您将获得这些服务器的 IP 地址。
要对您发起 DDoS 攻击,攻击者需要知道您的真实 IP 地址。因此,使用 VPN,没有人能够攻击您的个人设备。
如果您想获得 VPN 来保护自己,我们推荐NordVPN。这家提供商在安全方面享有盛誉,并且提供大量解锁互联网的额外选项。您可以点击下面的按钮查看 NordVPN 网站。
但是,请记住,如果攻击者已经知道您的真实 IP 地址,或者您的 VPN 使用了较差的加密,则 VPN 无法阻止 DDoS 攻击。 这就是我们推荐以高加密标准而闻名的 NordVPN 的原因。
最后,VPN 提供商的服务器也可能成为DDoS 攻击的目标,但大多数 VPN 都设有系统来确保这些攻击不会造成太大的破坏。
新型 DDoS 攻击不断增多
DDoS 攻击呈上升趋势,最近的 2020-2021 年全球威胁分析报告显示,DDoS 攻击年增长率为 37%。据 Radware 称,零售公司和游戏提供商是 DDoS 攻击最常见的目标。在许多情况下,随着越来越多的人在家工作,网络犯罪分子似乎将 VPN 作为攻击目标。2021 年前三个月,针对流行的 VPN 服务提供商 Fortinet 的攻击增加了近 2,000%。
最近,还出现了新型 DDoS 攻击。这些新型攻击滥用了以前从未使用过的协议。犯罪分子在攻击中使用内置网络协议,这些协议通常与公司自己使用的协议相同。这使得区分恶意流量和常规流量变得更加困难。而且,这些攻击的规模更大。通常,攻击针对以下协议:
- 受限应用协议 (CoAP)
- Web 服务动态发现 (WS-DD)
- Apple 远程管理服务 (ARMS)
- Jenkins 基于 Web 的自动化软件
这些协议对于公司使用的众多设备(例如物联网设备、智能手机和 Mac)而言必不可少。因此,它们并不总是被禁用以防止 DDoS 攻击,这为网络犯罪分子提供了轻松的入侵途径。预计这些协议将来会更频繁地用于 DDoS 攻击。
其他类型的网络犯罪和恶意软件
尽管 DDoS 攻击越来越普遍,但它们并不是唯一的网络威胁。想了解更多内容?以下是您可能想要防范的其他几种网络犯罪和恶意软件。
