作為一個(gè)世界級(jí)難題,DDoS攻擊為什么是無(wú)解的?防御成本是硬傷
在安全圈里,DDoS可謂家喻戶曉。從DDoS誕生開始,無(wú)數(shù)網(wǎng)絡(luò)安全工程師就對(duì)它深惡痛絕,像Google、亞馬遜等技術(shù)實(shí)力強(qiáng)勁的巨頭公司,也無(wú)法避免遭受DDoS攻擊。
可以這么說(shuō),DDoS是目前最強(qiáng)大、最難防御的攻擊之一,屬于世界級(jí)難題,沒(méi)有解決辦法,只能緩解。
我們不禁好奇,為什么DDoS攻擊是無(wú)解的?是技術(shù)水平不夠,還是其他什么原因?
無(wú)解的DDoS
DDoS的原理其實(shí)不復(fù)雜,就是利用大量肉雞,仿照真實(shí)用戶行為,使目標(biāo)服務(wù)器資源消耗殆盡,最終無(wú)法為用戶提供服務(wù)。
就好像一家火鍋店來(lái)了一群地痞流氓,光占座不叫餐,導(dǎo)致正常顧客沒(méi)座位,點(diǎn)不了餐,火鍋店無(wú)法正常開店。
我們舉一個(gè)例子,就可以了解為什么DDoS無(wú)法解決。
CC攻擊是DDoS的一種類型,攻擊者會(huì)借助代理服務(wù)器生成受害主機(jī)的合法請(qǐng)求。
相信大家都有過(guò)這樣的經(jīng)歷,當(dāng)某一個(gè)網(wǎng)站或者app在做秒殺、限時(shí)活動(dòng)、搶購(gòu)活動(dòng)時(shí),訪問(wèn)量突增,導(dǎo)致頁(yè)面打開速度變慢,如果人數(shù)超出服務(wù)器負(fù)載,頁(yè)面可能就完全打不開了。
攻擊者發(fā)動(dòng)CC攻擊的結(jié)果,與上面的例子一模一樣。對(duì)于防御方來(lái)說(shuō),很難分辨誰(shuí)是真實(shí)用戶,誰(shuí)是攻擊者的肉雞,敵人是誰(shuí)都不知道,更別說(shuō)發(fā)起進(jìn)攻了。
成本是硬傷
雖然無(wú)法解決DDoS攻擊,但可以采用一些技術(shù)手段,來(lái)緩解或者提高攻擊的門檻。
防御方的成本主要來(lái)自購(gòu)買DDoS云清洗、高防CDN等云防護(hù)產(chǎn)品、采用的技術(shù)手段支出的人工成本、購(gòu)買硬件設(shè)備的成本等等。
同樣,攻擊者發(fā)動(dòng)DDoS攻擊,也需要付出相應(yīng)的成本,比如時(shí)間成本、購(gòu)買肉雞的成本、購(gòu)買0day及其他漏洞的成本、編寫或購(gòu)買DDoS程序的成本、甚至還可能是委托第三方發(fā)動(dòng)DDoS所需要的費(fèi)用等等。
防御者的防御做的越完善,所付出的成本也越高。同理,攻擊者想發(fā)動(dòng)更大規(guī)模的攻擊,成本也越高。
如果攻擊者想發(fā)動(dòng)攻擊的成本,高于攻擊帶來(lái)的收益,那么DDoS就不會(huì)發(fā)。反之,如果成本合適,那么攻擊者就會(huì)發(fā)動(dòng)攻擊,享受攻擊帶來(lái)的收益。
緩解DDoS
DDoS攻擊雖然無(wú)解,但卻可以采用多種手段緩解和預(yù)防,或打消攻擊者發(fā)動(dòng)DDoS的意圖,或使攻擊者的預(yù)計(jì)收益下降“入不敷出。”
常用的手段有以下幾種:
(1) 使用高性能網(wǎng)絡(luò)設(shè)備
確保路由器、交換機(jī)、硬件防火墻等網(wǎng)絡(luò)設(shè)備的性能,當(dāng)DDoS發(fā)生時(shí),有足夠的性能、容量去對(duì)抗它。
(2) 定期排查服務(wù)器系統(tǒng)漏洞
采用最新的系統(tǒng),及時(shí)打上安全補(bǔ)丁,并在刪除未使用的服務(wù),關(guān)閉未使用的端口,降低黑客利用漏洞發(fā)動(dòng)DDoS的風(fēng)險(xiǎn)。
(3) 充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬的大小,直接決定了抗受DDoS的能力,不過(guò)一般來(lái)說(shuō),其他技術(shù)手段和方式,比增加帶寬更有效,成本也更低。
(4) 部署CDN
CDN可以將網(wǎng)站的內(nèi)容分發(fā)到多個(gè)服務(wù)器上,用戶就近訪問(wèn),不僅可以改善用戶體驗(yàn),而且還可以作為防御DDoS的一種補(bǔ)充手段。
(5) 使用專業(yè)的安全防護(hù)產(chǎn)品
專業(yè)的抗D產(chǎn)品,可以幫助網(wǎng)站過(guò)濾異常流量,即便DDoS正在進(jìn)行中,公司的業(yè)務(wù)也可以正常開展不受影響。
后記
還是成本問(wèn)題,DDoS并不一樣會(huì)發(fā)生,如果黑客有更好的手段達(dá)成癱瘓目標(biāo)手段的話,就會(huì)使用更好的方式。
- 很多網(wǎng)站可能存在性能bug,幾個(gè)簡(jiǎn)單的請(qǐng)求數(shù)據(jù)庫(kù)系統(tǒng)就會(huì)癱瘓;
- 很多系統(tǒng)會(huì)有網(wǎng)絡(luò)規(guī)劃、配置bug,可能幾個(gè)簡(jiǎn)單的數(shù)據(jù)包就可以癱瘓整個(gè)網(wǎng)絡(luò);
- 甚至是機(jī)房防范措施不嚴(yán),或者存在漏洞,攻擊者直接溜進(jìn)機(jī)房關(guān)閉電源,也會(huì)癱瘓公司整體業(yè)務(wù)。
能盛多少水,不取決于木桶最高的那塊板,而取決于最低的那塊板。網(wǎng)站、app是否安全,也是如此,我們除了要采用一些手段防御DDoS攻擊外,也應(yīng)該關(guān)注其他方面的安全,做到全面防御。
