DDOS功擊是最常見的一種網絡安全威脅,主要就是靠大量虛假流量功擊目標,耗盡網絡帶寬和服務器資源,導致正常用戶無法使用。DDOS功擊是利用TCP協議“三次握手”的漏洞進行的,所有目前還沒有能夠徹底解決的方法。所以對於任何一個企業或者組織而言,DDOS功擊都是一個無法忽視的網絡安全威脅。
根據墨者安全相關數據顯示,2018年上半年與2017年下半年相比,無論是功擊規模還是影響,DDOS功擊都出現大規模上漲。尤其是物聯網“肉雞”數量大幅度增加,導致DDOS功擊規模越來越大。通過數據分析發現,在2018年上半年裏,絕大部分DDoS功擊都是TCP SYN功擊,Satori和Anarchy這兩個專門利用0 day漏洞發動功擊的殭屍網絡是導致近期DDoS功擊數量猛增的罪魁禍首。功擊者可以通過增加單獨數據包的大小來控制DDoS功擊的規模和影響度,其中數據包的大小大約在887到936個字節區間。
DDoS功擊向量
基於UDP的功擊是目前主要的DDoS功擊向量,現在有很多功擊者都在利用這種無連接和無會話的網絡協議來發動高效的功擊,因爲他們在這個過程中不需要進行初始化握手連接,而且數據流也不會受到發送速率的限制。
UDP(3,407 attacks/31.56% of total attacks)
一般來說,ping數據包主要是用來測試網絡連通性的,而功擊者可以通過自制的工具並使用ping數據包來讓目標網絡出現過載的情況。
ICMP(1,006 attacks/9.32% of total attacks)
在基於SYN的功擊活動中,功擊者可以使用大量SYN數據包(ACK)來對目標網絡執行DDoS功擊,這種方式同樣會讓目標服務器出現拒絕服務的情況(過載)。
TCPSYN (1,997 attacks/18.50% of total attacks)
在TCP協議三次握手的過程中,功擊者僞造大量的虛假ip,向服務器發送SYN包,服務器在接收到SYN包後,會返回響應,並進入SYN_RECV狀態,等待客戶端的確認,但是僞造的ip肯定不會給予響應,於是服務器以爲數據包丟失,不斷重發。這些僞造的SYN包將長時間佔用未連接隊列,導致正常的SYN請求因爲隊列滿而被丟棄,從而引起網絡堵塞甚至系統癱瘓。
同時,墨者安全還發現在很多其他的DDoS功擊活動中,還會涉及到包括ICMP、CLDAP、TCP SYN、NTP放大和UDP在內的功擊向量,這些大約佔47.97%。而在大規模DDoS功擊活動中,主要採用的都是TCP SYN和UDP多向量融合的方式,尤其是那些功擊流量超100Gbps的DDoS功擊活動。
絕大部分的DDoS功擊(55.28%)持續時間都不會超過90分鐘,40.1%的功擊持續時間會在90分鐘至1200分鐘之間,僅有4.62%的功擊會持續超過1200分鐘。從流量方面來看,64.13%的功擊活動流量小於10Gbps,35.87%的功擊活動流量高於10Gbps。美國和中國是目前DDoS功擊的主要來源地區,緊隨其後的分別是法國、德國和俄羅斯。
在如今這個互聯網環境下,企業必須重視自身的網絡安全問題,根據自身情況部署相應的網絡防護措施。當我們發現網站被功擊的時候不要過度驚慌失措,先查看一下網站服務器是不是被黑了,開啓IP禁PING,可以防止被掃描,關閉不需要的端口,接入墨者安全高防,保障企業網絡安全。