DDOS攻擊

語言: CN / TW / HK

100792546_p0_master1200.jpg

最近網上爆火的一款遊戲 Goose Goose Duck (鵝鴨殺) 遊戲官方在近日釋出了一則公告,宣佈由於伺服器屢次遭受黑客攻擊,該遊戲伺服器將暫時關服三天進行維護 遭到了DDOS攻擊,背後原因,我們不做討論,只討論DDOS。

image.png

什麼是DDOS 攻擊

全稱為 分散式拒絕服務攻擊 Distributed denial of service attack

在這場攻擊中一般有三個角色,使用者服務商(App,網站,遊戲等)攻擊者(黑客),黑客通常會使用被控制的肉雞(通常也叫傀儡機),對服務商進行攻擊,由於服務商無法分辨哪些是真正的使用者,哪些是黑客的攻擊,在巨大的流量攻擊下,導致網站無法訪問。

image.png

舉個栗子,例如你有一家超市,最大容納100人,正常的使用者都會買完東西離開,而DDOS,他們會瘋狂湧入你的超市,而且拒絕購買商品,並且不會離開,還會招呼親戚朋友一起來,導致你的超市流量爆滿無法服務,且真正的使用者進不來,長時間的DDOS會讓你的超市丟失使用者,導致破產。

攻擊方式

攻擊方式多種多樣,有手動發起的,也有半自動的,隨著技術的發展現在有全自動的。

1. Synflood

該攻擊以多個隨機的源主機地址向目的主機發送SYN包,而在收到目的主機的SYN ACK後並不迴應,這樣,目的主機就為這些源主機建立了大量的連線佇列,而且由於沒有收到ACK一直維護著這些佇列,造成了資源的大量消耗,最終導致拒絕服務。

2. Ping of Death

根據TCP/IP的規範,一個包的長度最大為65536位元組。儘管一個包的長度不能超過65536位元組,但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大於65536位元組的包時,就是受到了Ping of Death攻擊,該攻擊會造成主機的宕機。

3. Land-based

攻擊者將一個包的源地址和目的地址都設定為目標主機的地址,然後將該包通過IP欺騙的方式傳送給被攻擊主機,這種包可以造成被攻擊主機因試圖與自己建立連線而陷入死迴圈,從而很大程度地降低了系統性能。

以上列舉幾種方式

如何解決

DDOS攻擊令人非常頭疼,你沒有好的辦法去區分哪些是使用者,哪些是攻擊者,而且花樣很多,讓人防不勝防,目前解決方式主流的還是使用高防IP。

高防IP 會隱藏真正的IP地址,在我們訪問一個網站的時候例如www.xxx.com他會通過DNS服務去尋找對應的IP進行解析,然後把網頁返回給使用者,在加入高防IP之後會隱藏你真正的IP地址,返回的是高防IP,從而隱藏你的地址,缺點就是高防IP費用昂貴,小型網站一般都承受不起。

舉個栗子,高防IP就相當於一個迷宮,迷宮的入口會有管理員,正確的引導使用者通過迷宮進入你的超市,而那些非使用者的的人,管理員就會帶著他在迷宮兜圈子,然後踢出去,進行記錄,在下次攻擊,通過AI演算法能夠及時識別。

其他方式,只能緩解,關閉不必要的埠號,增加頻寬,增加伺服器容量等方式。