DDoS 攻擊是什麼?含義、類型和偵測
DDoS 攻擊會破壞組織的正常運作,導致使用者無法使用其網站和線上服務。此種惡意網路犯罪是當今主要的網路安全問題之一。請繼續閱讀,瞭解 DDoS 攻擊是什麼、其運作方式以及要如何保護自己。
內容
DDoS 攻擊是什麼?
分散式阻斷服務(DDoS)攻擊是一種網路犯罪,此種形式的網路攻擊涉及駭客使用虛假請求淹沒伺服器、服務或網路,進而破壞目標伺服器、服務或網路的正常流量,阻斷使用者存取網站和使用服務。
DDoS 攻擊會破壞目標伺服器或網站的正常運行。其會耗盡目標的運算資源,使網站或服務變得緩慢、沒有回應,甚至完全無法向合法使用者提供服務。但 DDoS 攻擊的運作方式到底為何?
DDoS 攻擊如何運作?
DDoS 攻擊的效果之所以非常強大,是因為其使用多台電腦或裝置進行攻擊。駭客透過感染各種裝置,將其轉化為機器人,並建立起一個殭屍網路,遠端操控向特定的 IP 地址發動攻擊。導致伺服器的網路資源或系統資源耗盡,使其暫時中斷連線或停止服務,以無法對正常使用者提供服務。
DDoS 攻擊可持續 24 小時以上,而且難以追跡。您的電腦可能是僵屍網路大軍的一員,秘密執行惡意命令,您甚至不會察覺,這很難發現,因為唯一的徵兆可能是裝置效能略有下降或裝置過熱。轟炸目標的流量來自受到感染的合法裝置。這使得區分真實流量和惡意流量變得更加困難。
DDoS 攻擊可以針對網路連線的特定組件進行攻擊。透過網際網路建立的每個連接都要經過 OSI 網路架構。大多數 DDoS 攻擊發生在以下三個層級:
- 網路層(第 3 層)。此層級的攻擊包括藍精靈攻擊(Smurf 攻擊)、ICMP 洪水攻擊和 IP/ICMP 碎片攻擊。
- 傳輸層(第 4 層)。這些攻擊包括 SYN 洪水、UDP 洪水和 TCP 連接耗盡。
- 應用程式層(第 7 層)。主要是 HTTP 加密攻擊。
如何偵測 DDoS 攻擊?
越早發現 DDoS 攻擊,就越有可能阻止它。以下是可能發生 DDoS 攻擊的常見跡象:
- 運行緩慢或無法使用服務。這通常是 DDoS 攻擊發生的第一個跡象。出現 502 Bad Gateway 錯誤可能就是有 DDoS 攻擊。但是,許多其他問題也會導致效能緩慢,因此在偵測 DDoS 攻擊時不能僅靠這一因素。
- 出現來自單一 IP 位址的大量流量。您可以使用流量分析工具檢驗流量。
- 在一天中的任意時段,使用者的流量突然異常激增。
- 某個網頁或端點突然出現大量不明原因的請求。
最常見的 DDoS 攻擊類型
DDoS 攻擊有多種類型,其複雜程度、持續時間和精密程度各不相同。以下是最常見的幾種類型:
1. TCP 連線攻擊
TCP 連線攻擊,也稱為 SYN 洪水攻擊(SYN flood attacks),當主機和伺服器之間的 TCP 三次握手並未完成時就會發生。在這種攻擊中,握手程序被啟動,但是攻擊者會傳送大量封包到目標伺服器,迫使伺服器打開新的連接埠以接收回應。當攻擊者不斷用更多的封包來淹沒伺服器,伺服器便無法接受任何其他請求,最終導致服務崩潰。
2. 巨流量攻擊(Volumetric Attack)
巨流量攻擊是最常見的 DDoS 攻擊類型,也是最早出現的 DDoS 攻擊方式。這種攻擊主要是透過使用僵屍網路,針對特定目標發送大量封包,以大量佔用目標和網際網路之間的所有頻寬。
巨流量攻擊的一個例子是駭客欺騙受害者的 IP,這種攻擊會送出大量 DNS 請求到 DNS 伺服器上,企圖耗盡目標伺服器的網域名稱解析並癱瘓 DNS 查詢,讓使用者無法透過網域名稱找到目標伺服器。
3. 碎片攻擊(Fragmentation Attack
碎片攻擊又稱為淚滴攻擊(Teardrop Attack),是經由網路發送的流量被切割成的資料封包。攻擊者根據使用的是 TCP 或 UDP 傳輸協定,以不同的方式傳輸和重組封包,進而發送虛假的資料封包,讓資料流程失真,以便讓伺服器崩潰。
「過多資料封包」漏洞就是碎片攻擊的一個例子。其會向網路傳送過多不完整的碎片資料封包。
4. 應用程式層攻擊
應用程式層攻擊的目標,顧名思義就是 OSI 網路架構中的應用程式層:伺服器產生網頁並回應 HTTP 請求的層級。在伺服器看來,這種攻擊就像有人多次在相同網頁上重新刷新。它看起來像合法的流量,直到伺服器難以負荷,為時已晚。與其他網路層的 DDoS 攻擊相比,這種攻擊成本較低,也較難偵測。
DDoS 攻擊造成的損失
DDoS 攻擊在短時間內對企業造成的金錢損失,足以證明企業有理由採取措施加以防範,不能讓這種情況再次發生。2018 年 Corero Network Security 的一份報告指出,DDoS 攻擊造成的收入損失、員工生產力的中斷以及防禦攻擊的實際安全成本,每次攻擊造成的企業損失可能高達 5 萬美元。
另外,根據 Fortinet 的數據,台灣於 2023 上半年遭受網路攻擊的數量高達 2,248 億次,表示每秒就有近 1.5 萬次攻擊發生,位居亞太之冠,而其中駭客最常使用的手法就是 DDoS 攻擊。
是否可以追蹤 DDoS 攻擊?
DDoS 攻擊使用分佈在網路上數以萬計的不同裝置進行攻擊,因此難以追蹤。此外,攻擊者通常會努力隱藏身份而不被發現。
使用某些網路安全工具分析流量,可以在 DDoS 攻擊發生初期時加以辨識。不過當發現 DDoS 攻擊時,封鎖攻擊通常為時已晚。唯一能做的事,就是分析數據並強化現有的網路架構及安全性,才能在未來攻擊事件發生時減少受損情況。
如何防範和保護自己免於 DDoS 攻擊
防範和抵御 DDoS 攻擊需要綜合採取各種主動措施:
- 使用第三方 DDoS 防範工具。各種第三方服務可以協助您降低 DDoS 風險。請確保使用安全可靠的工具。不過,請記住,沒有一款工具能夠保證完全安全。
- 作為一個組織,您可以與網際網路服務供應商一同制定 DDoS 防護策略;換句話說,與網際網路服務供應商合作,來取得未受污染的頻寬。網際網路服務供應商通常可以在惡意資料封包到達裝置之前偵測到它們,進而降低風險。
- 使用流量監測工具監測流量,檢查是否出現異常模式。
- 定期進行安全檢查。定期評估網路的安全性,並考慮使用專門的 DDoS 攻擊工具對系統進行測試並查找漏洞。
- 使用虛擬私人網路(VPN)。除了企業之外,DDoS 攻擊也會用來針對個人使用者(如線上遊戲玩家),對手可能會使用 DDoS 攻擊來破壞遊戲。雖然 VPN 無法防範對伺服器的 DDoS 攻擊,但其可以通過隱藏 IP 位址來保護個人玩家,防止對手直接攻擊他們。此外,VPN 伺服器還具有防範 DDoS 的安全措施,可減輕攻擊。而 NordVPN 更配備了威脅防護 Pro 進階安全解決方案,可以保護您遠離惡意軟體和追蹤程式的侵擾。