在安全圈里,DDoS可谓家喻户晓。从DDoS诞生开始,无数网络安全工程师就对它深恶痛绝,像Google、亚马逊等技术实力强劲的巨头公司,也无法避免遭受DDoS攻击。
可以这么说,DDoS是目前最强大、最难防御的攻击之一,属于世界级难题,没有解决办法,只能缓解。
我们不禁好奇,为什么DDoS攻击是无解的?是技术水平不够,还是其他什么原因?
无解的DDoS
DDoS的原理其实不复杂,就是利用大量肉鸡,仿照真实用户行为,使目标服务器资源消耗殆尽,最终无法为用户提供服务。
就好像一家火锅店来了一群地痞流氓,光占座不叫餐,导致正常顾客没座位,点不了餐,火锅店无法正常开店。
我们举一个例子,就可以了解为什么DDoS无法解决。
CC攻击是DDoS的一种类型,攻击者会借助代理服务器生成受害主机的合法请求。
相信大家都有过这样的经历,当某一个网站或者app在做秒杀、限时活动、抢购活动时,访问量突增,导致页面打开速度变慢,如果人数超出服务器负载,页面可能就完全打不开了。
攻击者发动CC攻击的结果,与上面的例子一模一样。对于防御方来说,很难分辨谁是真实用户,谁是攻击者的肉鸡,敌人是谁都不知道,更别说发起进攻了。
成本是硬伤
虽然无法解决DDoS攻击,但可以采用一些技术手段,来缓解或者提高攻击的门槛。
防御方的成本主要来自购买DDoS云清洗、高防CDN等云防护产品、采用的技术手段支出的人工成本、购买硬件设备的成本等等。
同样,攻击者发动DDoS攻击,也需要付出相应的成本,比如时间成本、购买肉鸡的成本、购买0day及其他漏洞的成本、编写或购买DDoS程序的成本、甚至还可能是委托第三方发动DDoS所需要的费用等等。
防御者的防御做的越完善,所付出的成本也越高。同理,攻击者想发动更大规模的攻击,成本也越高。
如果攻击者想发动攻击的成本,高于攻击带来的收益,那么DDoS就不会发。反之,如果成本合适,那么攻击者就会发动攻击,享受攻击带来的收益。
缓解DDoS
DDoS攻击虽然无解,但却可以采用多种手段缓解和预防,或打消攻击者发动DDoS的意图,或使攻击者的预计收益下降“入不敷出。”
常用的手段有以下几种:
(1) 使用高性能网络设备
确保路由器、交换机、硬件防火墙等网络设备的性能,当DDoS发生时,有足够的性能、容量去对抗它。
(2) 定期排查服务器系统漏洞
采用最新的系统,及时打上安全补丁,并在删除未使用的服务,关闭未使用的端口,降低黑客利用漏洞发动DDoS的风险。
(3) 充足的网络带宽保证
网络带宽的大小,直接决定了抗受DDoS的能力,不过一般来说,其他技术手段和方式,比增加带宽更有效,成本也更低。
(4) 部署CDN
CDN可以将网站的内容分发到多个服务器上,用户就近访问,不仅可以改善用户体验,而且还可以作为防御DDoS的一种补充手段。
(5) 使用专业的安全防护产品
专业的抗D产品,可以帮助网站过滤异常流量,即便DDoS正在进行中,公司的业务也可以正常开展不受影响。
后记
还是成本问题,DDoS并不一样会发生,如果黑客有更好的手段达成瘫痪目标手段的话,就会使用更好的方式。
- 很多网站可能存在性能bug,几个简单的请求数据库系统就会瘫痪;
- 很多系统会有网络规划、配置bug,可能几个简单的数据包就可以瘫痪整个网络;
- 甚至是机房防范措施不严,或者存在漏洞,攻击者直接溜进机房关闭电源,也会瘫痪公司整体业务。
能盛多少水,不取决于木桶最高的那块板,而取决于最低的那块板。网站、app是否安全,也是如此,我们除了要采用一些手段防御DDoS攻击外,也应该关注其他方面的安全,做到全面防御。