DDoS 防禦

Distributed Denial-Of-Service Attack

隨著 Internet 時代的來臨,實體或虛擬的線路連接起全世界,在這之間互相產生的 Mail、訊息、資料傳送、瀏覽網站等行為,也被各式各樣的網際網路協議所規範;然而有了規範,就會有惡意人士利用漏洞來進行惡意攻擊,本文所介紹之 DDoS 即為網際網路時代常見的虛擬資訊攻擊。

DDoS 是什麼?

DDoS 全稱為 Distributed Denial of Service,中文名稱為分散式阻斷服務攻擊;為 DOS (Denial of Service) 的衍生攻擊手法。

其主要原理是以 OSI 模型中 Layer 3 (網路層)、Layer 4 (傳輸層) 與 Layer 7 (應用層) 的各種協議,通過偽造 IP(IP Spoofing)並控制殭屍電腦(Zombie Computer、BOT),將指定類型的封包或者 https/http 的 Request 封包傳輸至目標主機,導致目標主機的網路資源 (頻寬)、系統資源 (CPU、RAM) 耗盡,使目標主機無法提供服務給真正的連線者。

IP Spoofing (IP 欺騙)是什麼?

IP Spoofing 是透過修改網際網路協定(Internet Protocal)中封包的源 IP 位址,來偽裝攻擊者真正的 IP 位置,並且因轉發封包的路由器大多僅檢查目的地 IP,卻不檢查封包內的源 IP 標頭是否與來源相同;從而形成可用於攻擊之技術。

如何預防 DDoS?

IP Spoofing的防禦可通過設定防火牆或者網關,進行封包過濾(Packet Filtering),將可疑封包或者是封包內的源 IP 與實際 IP 地址不符者,則拒絕傳送。可分為外網至內網的入口過濾;與內網至外網的出口過濾。

注意此預防模式無法緩解來自真實IP(BOT)的攻擊。

  • Ingress and Egress Filtering [RFC2267]

如何辨別DDoS攻擊?

1. 從單一 IP 或者某一 IP 網段而來的可疑連線請求。
2. 端點設備的紀錄上顯示大量的陌生請求。
3. 具備相同連線特徵的連線請求,例如單一地區、單一時間。
4. 機器上 CPU 與 RAM 的使用率激增。
5. 服務突然中斷、或者服務存取速度驟降。
6. 以上狀況皆有可能是遭到 DDoS 攻擊,必須排查設備端的紀錄,若有安裝 MRTG (Multi Router Traffic Grapher) 等監控軟體,或是聯繫您的 ISP 業者,取得 MRTG 圖來確認流量或 CPU 等使用狀況。

DDoS 攻擊的類別

依照 OSI 7 層的協定來進行分類,DDoS 的攻擊種類族繁不及備載,因此僅介紹最常見的攻擊手法。

  • Layer 3 - IP Spoofing、IPSec、ICMP Attack、ARP Spoofing

IMCP [1] Flooding Attack

定義:最常見的是 DOS – Ping 洪水式攻擊,通過 BOT 來發送大量 Ping 的請求,若是由多台 BOT 來發送,則為 DDoS  Ping 攻擊。
應對方法:目前各家公有雲幾乎都提供了 Anycast IP Load Balance 服務,可借由雲端供應商的全球大量節點先進一步處理分散 ICMP 請求;同時也可禁用伺服器的 ICMP 功能,達到防護的效果。

  • Layer 4 - TCP

定義:

通過 TCP 握手協議 [2] 來進行攻擊,在一般正常的情況下:

第一步:A 伺服器會發出 SYN 封包來建立第一次的連線。

第二步:收到封包的 B 伺服器會回傳 SYN/ACK 封包來確認。

第三步:A 伺服器回傳 ACK 封包,確認建立連線。

三步驟後,連線即可建立。然而 SYN 洪水攻擊,則是使用多台 BOT,在第一步發送 SYN 後,讓目標伺服器回傳 SYN/ACK 封包後,卻不回傳 ACK 封包。

此舉是因為目標伺服器在收到 SYN 封包後,都會打開一個臨時端口來進行 Session 的維持,故可以耗盡目標伺服器的端口,達成癱瘓的目的。

應對方法:

1. 使用 Anti-DDoS 等雲端工具,將惡意流量導入清洗中心進行清洗或者導入黑洞過濾。
2. 建立 Proxy Server – 通常是防火牆,來代替原伺服器建立外部連線,確認建立連線後,才將流量導入原伺服器內。
3. 調整機器內的設定,當有新的 TCP 連線流入,則覆蓋最前面尚未建立連線的臨時埠。

  • Layer 4 - UDP

定義:

UDP 洪水攻擊是常見的UDP DDoS攻擊手法,由於UDP協議是一種非連線型的協議,因此攻擊者透過發送大量任意埠號且偽造IP的UDP封包給主機端,而主機收到此UDP封包,會消耗資源檢查該埠號是否有程式在接收封包;若無程序在接收該埠口的封包,則發送ICMP (Ping)給發送者。

透過這樣的機制,攻擊者使用大量殭屍機來發送UDP封包,進而造成頻寬負荷以及主機端疲於奔命。

 

應對方式:

在雲端平台上可透過Anycast IP來將流量導離主機端,且針對大量重複的UDP封包,各雲端節點將會進行第一層的防護措施,保障主機端的安全。

# POPULAR PLAN

我們的熱門方案

ECS 共享型 N4

適用於中小型網站搭建等應用

$2340

伺服器 / 1年

1 核 2G / 1年
1 - 5M 頻寬
20 - 40G SSD硬碟
立即申請

ECS 突發性能型 T6

開發者成長計劃!輕量低負載

$1999

伺服器 / 1年

2 核 2G / 1年
1 - 5M 頻寬
20 - 40G SSD硬碟
立即申請

ECS 共享型 S6

100% 性能基線,性能強勁

$1875

伺服器 / 1年

1 核 2G / 1年
1 - 5M 頻寬
20 - 100G 可選硬碟
立即申請

ECS 計算型 C5

適用 Web 服務器、廣告、遊戲企劃

$4650

伺服器 / 1年

2 核 4G / 1年
1 - 5M 頻寬
20 - 100G 可選硬碟
立即申請

雲端數據庫 MySQL

MySQL 全球最受歡迎的數據庫

$90

伺服器 / 1年

基礎版:1核 1G / 1年
單數據庫節點,節省成本
計算與儲存分離,高CP值
立即申請

雲端數據庫 Redis

提供高穩定高性能的服務環境

$90

伺服器 / 1年

社區版:256M 主從
低延遲高效線上應用環境
排行榜、計數、分佈式環境
立即申請

國內簡訊方案

支援驗證碼、簡訊通知、推廣

$165

伺服器 / 1年

1000 則簡訊
簡訊達到率高達99%
智能調度,高效能,免維護
立即申請

CDN 全站加速流量

適用於大多數的 CDN 和 DCDN

$200

伺服器 / 1年

500 GB
2800 + 全球節點
極速高質量內容分發
立即申請

我們的 聯絡資訊

以下是我們的聯絡資訊,有任何雲端相關的專業問題歡迎隨時與我們聯繫,我們非常樂意跟你聊聊

地址

臺北市內湖區瑞光路 76 巷 67 號 3 樓

電子郵件

service@kingzone.com.tw

電話

(02) 2796-5770

也可以透過線上表單諮詢

任何雲端上的相關需求,請留下您的聯絡資訊,我們會儘速與您聯繫