您的 IP: 未明 · 您的狀態: 受到保護未受保護未明

什麼是 DDoS 攻擊?

DDoS 攻擊是利用分散多處的眾多電腦或設備發送大量封包,藉此消耗受害者的網路頻寬與系統資源,導致網路癱瘓,無法提供正常服務。此類攻擊的邏輯可以用一個比喻來解釋,如果有 1000 位不付錢的客戶進入您的商店並堵住入口,不讓正常客戶入內消費,導致商店無法做生意。這種攻擊方式相當常見且不易防範,本文將介紹 DDoS 攻擊的相關資訊。

Eugene Michaels

Eugene Michaels

Feb 21, 2021 · 1 分鐘閱讀

什麼是 DDoS 攻擊?

DDoS 攻擊是什麼?

當駭客使用網路上兩個或以上被攻陷的電腦作為「殭屍」向特定的目標發動「阻斷服務」式攻擊時,稱為分散式阻斷服務攻擊(distributed denial-of-service attack,簡稱 DDoS 攻擊)。根據 2014 年的統計,大規模 DDoS 的攻擊已達平均每小時 28 次。攻擊者通常針對銀行、政府機關等重要服務和網站進行DDoS攻擊,使得 DDoS 攻擊成為主要的網路攻擊形式

因為使用許多台電腦或設備進行攻擊,使得 DDoS 攻擊的效果非常强大。駭客透過感染各種設備,將其轉化為自動化程序,並建立起一個殭屍網路,遠端操控向特定的 IP 地址發動攻擊。導致伺服器的網路資源或系統資源耗盡,使其暫時中斷連線或停止服務,以無法對正常使用者提供服務。

DDoS 攻擊可持續 24 小時以上,而且難以追跡。您的電腦可能是僵屍網路大軍的一員,秘密執行惡意命令,您甚至不會察覺,這很難發現,因為唯一的徵兆可能是設備效能略有下降或設備過熱。轟炸目標的流量來自受到感染的合法設備。這使得區分真實流量和惡意流量變得更加困難。

DDoS 攻擊可以針對網路連線的特定組件進行攻擊。透過網際網路建立的每個連接都要經過 OSI 網路架構。大多數 DDoS 攻擊發生在以下三個層級:

  • 網路層(第 3 層)。此層級的攻擊包括藍精靈攻擊(Smurf 攻擊)、ICMP 洪水攻擊和 IP/ICMP 碎片攻擊。
  • 傳輸層(第 4 層)。這些攻擊包括 SYN 洪水、UDP 洪水和 TCP 連接耗盡。
  • 應用程式層(第 7 層)。主要是 HTTP 加密攻擊。

DDoS 攻擊的類型

#1 TCP 連線攻擊

TCP 連線攻擊,也稱為 SYN 洪水攻擊(SYN flood attacks),利用主機和伺服器之間的 TCP 連線交握程序進行工作。在這種攻擊中,交握程序被啟動,但是攻擊者會傳送大量封包到目標伺服器,迫使伺服器打開新的連接埠以接收回應。當攻擊者不斷用更多的封包來淹沒伺服器,伺服器便無法接受任何其他請求,最終導致服務崩潰。

#2 巨流量攻擊(Volumetric Attack)

巨流量攻擊是最常見的 DDoS 攻擊類型,也是最早出現的 DDoS 攻擊方式。這種攻擊主要是透過使用僵屍網路,針對特定目標發送大量封包,以大量佔用目標和網際網路之間的所有頻寬。

巨流量攻擊的一個例子是 DNS 洪水攻擊,這種攻擊會送出大量 DNS 請求到 DNS 伺服器上,企圖耗盡目標伺服器的網域名稱解析並癱瘓 DNS 查詢,讓使用者無法透過網域名稱找到目標伺服器。

#3 碎片攻擊(Fragmentation Attack)

碎片攻擊又稱為淚滴攻擊(Teardrop Attack),是經由網路發送的流量被切割成的資料封包。攻擊者根據使用的是 TCP 或 UDP 傳輸協定,以不同的方式傳輸和重組封包,進而發送虛假的資料封包,讓資料流程失真,以便讓伺服器崩潰。

#4 應用程式層攻擊

應用程式層攻擊的目標,顧名思義就是 OSI 網路架構中的應用程式層:伺服器產生網頁並回應 HTTP 請求的層級。在伺服器看來,這種攻擊就像有人多次在相同網頁上重繪一樣。它看起來像合法的流量,直到伺服器難以負荷,為時已晚。與其他網路層的 DDoS 攻擊相比,這些攻擊成本較低,較難檢測。

DDoS 放大攻擊(DDoS Amplification)

DDoS 放大攻擊是攻擊者專門針對網域名稱系統(DNS)伺服器中的安全性漏洞進行的攻擊。它們會將小請求轉換成大規模請求,耗盡受害者的頻寬,並癱瘓目標伺服器的連線。這種「放大流量」的 DDoS 攻擊,又稱為分散式反射阻斷服務攻擊(DRDoS)。放大攻擊有兩種類型:DNS 反射攻擊和 CharGEN 反射攻擊。

DNS 反射攻擊(DNS reflection attack)

DNS 伺服器的任務是將您在瀏覽器網址欄中輸入的網域名稱轉換為 IP 地址。DNS 反射攻擊是攻擊者不斷發送受害者的網域名稱查詢請求,並同時傳送給多台 DNS 伺服器進行遞迴查詢。透過遞迴查詢,這種攻擊的頻寬可被放大 100 倍左右,而將目標主機的頻寬耗盡,以癱瘓受害者的服務。

CharGEN 反射攻擊(CharGEN reflection attack)

CharGEN(字元符號產生協訂)是一種建立於1983年的老舊協定,主要用於除錯或測試。不過,許多連網的印表機或影印機仍然使用這種協定,讓攻擊者有機會利用 CharGEN 的陳年漏洞。攻擊者會利用 UDP 連線方式,透過 CharGEN 協定向伺服器發送偽造來源 IP 地址的封包。讓提供此服務的伺服器向目標主機不斷發送含有亂數字元的封包來癱瘓目標主機,導致其重新啟動或完全中斷。

DDoS 攻擊的規模

隨著科技的進步,資安系統演進得越來越複雜,用來破解資安系統的工具也越來越複雜。如果我們將 1990 年代的 DDoS 攻擊規模與今天的標準進行比較,差別相當驚人。

在 1990 年代的 DDoS 攻擊中,平均請求數僅超過每秒 150 次。相較之下,2020 年 2 月亞馬遜上的 DDoS 攻擊防護服務 AWS Shield 遭遇到史上最大規模的 DDoS 攻擊,該次攻擊中 AWS Shield 服務成功攔截每秒 2.3 TB 的流量。

DDoS 攻擊造成的損失

DDoS 攻擊在短時間內對企業造成的金錢損失,足以證明企業有理由採取措施加以防範,不能讓這種情況再次發生。2018 年 Corero Network Security 的一份報告指出,DDoS 攻擊造成的收入損失、員工生產力的中斷以及防禦攻擊的實際安全成本,每次攻擊造成的企業損失可能高達5萬美元。但是雇用一個網路罪犯及其殭屍網路大軍要花多少錢呢?

與多數網路犯罪活動一樣,必須深入到暗網去尋找 DDoS 攻擊服務的價目表。此項服務的價格因 DDoS 攻擊所需長度而異,基本價格從 300 秒到 10800 秒(3 小時)不等。顯然,攻擊時間越短,價格就越低。

有趣的是,許多提供這些服務的攻擊者也提供了訂閱服務。例如,支付每月 60 歐元的費用,就能獲得一次持續 3 小時的攻擊。

DDoS 合法嗎?

DDoS 攻擊在許多國家被認為是非法的。例如在美國,DDoS 被視為聯邦犯罪,可能導致罰款和監禁。在多數歐洲國家,DDoS 攻擊可能會被逮捕,而在英國,可能被判處 10 年監禁。

可以追蹤 DDoS 攻擊嗎?

DDoS 攻擊使用分佈在網路上數以萬計的不同設備進行攻擊,因此難以追蹤。此外,攻擊者通常會努力隱藏身份而不被發現。

使用某些網路安全工具分析流量,可以在 DDoS 攻擊發生初期時加以識別。不過當發現 DDoS 攻擊時,封鎖攻擊通常為時已晚。唯一能做的事,就是分析數據並強化現有的網路架構及安全性,以在未來攻擊事件發生時減少受損情況。

VPN 能幫助避免 DDoS 攻擊嗎?

DDoS 攻擊主要用於勒索企業,或損害某人或某服務的聲譽或銷售。但個別用戶也會受到影響。這通常發生在線上遊戲玩家身上。您的對手可能會試圖用 DDoS 攻擊來破壞您的遊戲進度,儘管這本身不是安全風險,但確實會讓身為玩家的您感到沮喪。

使用 VPN 無法防止對遊戲伺服器的攻擊。然而,在 P2P 遊戲中,當您直接與其他玩家連線時,攻擊者可以找到您的 IP 位址,並使用 DDoS 來攻擊您。您可以使用 VPN 隱藏真實 IP 位址來防止這種情況。如果駭客不知道您的真實 IP,就無法對您進行 DDoS 攻擊。

NordVPN 能幫助您避免 DDoS 和其他攻擊。嘗試我们的 30 天試用。