DDoS 攻擊的效果之所以非常強大,是因為其使用多台電腦或裝置進行攻擊。駭客透過感染各種裝置,將其轉化為機器人,並建立起一個殭屍網路,遠端操控向特定的 IP 地址發動攻擊。導致伺服器的網路資源或系統資源耗盡,使其暫時中斷連線或停止服務,以無法對正常使用者提供服務。DDoS 攻擊可持續 24 小時以上,而且難以追跡。您的電腦可能是僵屍網路大軍的一員,秘密執行惡意命令,您甚至不會察覺,這很難發現,因為唯一的徵兆可能是裝置效能略有下降或裝置過熱。轟炸目標的流量來自受到感染的合法裝置。這使得區分真實流量和惡意流量變得更加困難。DDoS 攻擊可以針對網路連線的特定組件進行攻擊。透過網際網路建立的每個連接都要經過 OSI 網路架構。大多數 DDoS 攻擊發生在以下三個層級:網路層(第 3 層)。此層級的攻擊包括藍精靈攻擊(Smurf 攻擊)、ICMP 洪水攻擊和 IP/ICMP 碎片攻擊。傳輸層(第 4 層)。這些攻擊包括 SYN 洪水、UDP 洪水和 TCP 連接耗盡。應用程式層(第 7 層)。主要是 HTTP 加密攻擊。
如何偵測 DDoS 攻擊?
越早發現 DDoS 攻擊,就越有可能阻止它。以下是可能發生 DDoS 攻擊的常見跡象:運行緩慢或無法使用服務。這通常是 DDoS 攻擊發生的第一個跡象。出現 502 Bad Gateway 錯誤可能就是有 DDoS 攻擊。但是,許多其他問題也會導致效能緩慢,因此在偵測 DDoS 攻擊時不能僅靠這一因素。出現來自單一 IP 位址的大量流量。您可以使用流量分析工具檢驗流量。在一天中的任意時段,使用者的流量突然異常激增。某個網頁或端點突然出現大量不明原因的請求。
最常見的 DDoS 攻擊類型
DDoS 攻擊有多種類型,其複雜程度、持續時間和精密程度各不相同。以下是最常見的幾種類型:
1. TCP 連線攻擊
TCP 連線攻擊,也稱為 SYN 洪水攻擊(SYN flood attacks),當主機和伺服器之間的 TCP 三次握手並未完成時就會發生。在這種攻擊中,握手程序被啟動,但是攻擊者會傳送大量封包到目標伺服器,迫使伺服器打開新的連接埠以接收回應。當攻擊者不斷用更多的封包來淹沒伺服器,伺服器便無法接受任何其他請求,最終導致服務崩潰。
2. 巨流量攻擊(Volumetric Attack)
巨流量攻擊是最常見的 DDoS 攻擊類型,也是最早出現的 DDoS 攻擊方式。這種攻擊主要是透過使用僵屍網路,針對特定目標發送大量封包,以大量佔用目標和網際網路之間的所有頻寬。巨流量攻擊的一個例子是駭客欺騙受害者的 IP,這種攻擊會送出大量 DNS 請求到 DNS 伺服器上,企圖耗盡目標伺服器的網域名稱解析並癱瘓 DNS 查詢,讓使用者無法透過網域名稱找到目標伺服器。
