DDoS攻擊原理解析！如何防禦DDoS攻擊

在數位化時代，網站的穩定即是企業重要的營運標準，而DDoS攻擊，則是一種常見且具破壞力的網路攻擊，企業若未妥善防禦DDoS，可能導致重大損失！

DDoS攻擊原理是駭客發起大量的請求和連線，對目標網站伺服器灌入大量的異常流量與壓力，使目標網站伺服器失去正常的負荷與處理能力，造成資源耗盡，同時使網站及線上服務中斷。

DDoS是什麼？

DDoS 分散式阻斷服務攻擊 (Distributed Denial-Of-Service) 是一種惡意的網路攻擊方式，是由早期的網路攻擊 DoS 阻斷服務攻擊 (Denial-Of-Service) 變化而來。

早期的 DoS阻斷服務攻擊的異常流量，通常是來自單一源頭，是系統對系統的一對一攻擊。

而DDoS則是有兩個或以上的異常流量來源，攻擊者會操控多台設備發動DDoS攻擊，讓伺服器被來自多個源頭的惡意的異常流量入侵，DDoS攻擊速度非常快，導致正常使用者無法順利連線進入網站。

▲DDoS攻擊網站伺服器示意圖

 

DDoS攻擊原理：DDoS如何癱瘓網站

DDoS的攻擊原理，是利用「大量異常流量」同時發送請求至特定的網站或伺服器，讓目標網站的頻寬與處理資源被快速耗盡，DDoS造成網路塞車、消耗資源或癱瘓網路，導致目標網站的線上服務速度下降，甚至無法運作。

DDoS的大量異常惡意流量，會阻止使用者與網站和伺服器連線，也讓網站擁有者和商家無法提供線上服務給顧客。DDoS攻擊的情境，就像演唱會購票網站突然湧入大量人潮搶票，網站無法負荷龐大流量，導致許多人無法進入使用服務。

這些大量的DDoS惡意流量，是來自遍布全世界的殭屍網路(Botnet)，而這些殭屍網路，則來自一群被駭客控制的裝置，如受感染電腦、IoT裝置或伺服器。其中，以金融業、加密貨幣、遊戲業、電信業和網路通訊業...等產業，都是經常被駭客DDoS攻擊盯上的對象。

 

DDoS攻擊常見手法

DDoS攻擊手法，大多是以送出大量無效請求，對網站及伺服器進行大量的資源消耗，DDoS使網站無法正常提供服務、營運中斷，使用者也無法正常使用網站！某些駭客還會利用DDoS攻擊進行勒索，要求企業支付贖金才會停止攻擊。

 

【常見的DDoS攻擊方式有哪些？】

SYN 洪水攻擊（SYN Flood Attack）

  • 攻擊原理：

    攻擊者在TCP三次握手過程中發送大量SYN（同步）封包，卻不完成最後一步握手，導致伺服器資源耗盡。

  • 攻擊目的：

    使伺服器的半開放連接表達到上限，阻止正常用戶建立新的連接。

ACK洪水攻擊（ACK Flood Attack）

  • 攻擊原理：

    攻擊者偽造大量ACK（確認）封包，並持續發送至目標伺服器。

  • 攻擊目的：

    佔用伺服器資源，降低其處理正常請求的能力。

RST洪水攻擊（RST Flood Attack）

  • 攻擊原理：

    透過發送大量RST封包，中斷伺服器與用戶間的TCP連接。

  • 攻擊目的：

    干擾伺服器的正常數據傳輸，破壞用戶體驗。

Push+Ack攻擊（Push+Ack Attack）

  • 攻擊原理：

    攻擊者持續向目標伺服器發送帶有PUSH和ACK標誌的封包。

  • 攻擊目的：

    耗盡伺服器資源，導致其運作效率大幅下降。

TCP連接耗盡攻擊（TCP Connection Exhaustion Attack）

  • 攻擊原理：

    攻擊者完成正常的TCP三次握手，但保持這些連接空閒而不進行數據傳輸。

  • 攻擊目的：

    佔滿伺服器的同時連接數，妨礙新用戶的連線請求。

慢速攻擊（Slowloris Attack）

  • 攻擊原理：

    攻擊者建立多個TCP連接，並以極慢的速度持續發送HTTP請求，保持連線狀態。

  • 攻擊目的：

    長時間佔用伺服器資源，使其他用戶無法正常連接或提交請求。

零日攻擊（Zero-Day Exploits）

  • 攻擊原理：

    利用伺服器TCP協定中的未知安全漏洞進行攻擊。

  • 攻擊目的：

    繞過現有安全防護，對伺服器造成直接損害。

淚滴攻擊（Teardrop Attack）

  • 攻擊原理：

    利用 TCP 協定會將資料排列整齊的特性，將封包排序打亂、重疊，造成封包損壞。

  • 攻擊目的：

    系統在接收毀損的封包時，就會因為重組封包發生錯誤，導致系統癱瘓。

UDP 洪水攻擊（User Datagram Protocol Flood Attack）

  • 攻擊原理：

    利用協定中的漏洞，製造出大量的 UDP 封包。

  • 攻擊目的：

    產生佔據系統頻寬的 DDoS 攻擊，讓使用者無法接收到或傳送有需要的 UDP 封包。

ICMP 洪水攻擊（Internet Control Message Protocol Flood Attack）/ Ping 洪水攻擊

  • 攻擊原理：

    偽造大量的 ICMP 訊息來佔領網路頻寬或伺服器資源。

  • 攻擊目的：

    攻擊者發送大量 ICMP 訊息時，就會導致網路流量暴增，導致使用者無法連線或傳輸速度緩慢。

DNS 放大攻擊（巨流量攻擊）

  • 攻擊原理：

    偽造受害者 IP 向查詢 DNS 的伺服器傳送大量請求，讓伺服器解析這些請求後，把回應傳送到受害者的裝置上。

  • 攻擊目的：

    受害者的系統或裝置被大量回應佔據頻寬與資源，導致癱瘓。

CC 攻擊（Challenge Collapsar Attack）

  • 攻擊原理：

    大量向伺服器發送回應請求，通常發生在網路應用程式(APP)上，如網路銀行、電子信箱、電商平台等。

  • 攻擊目的：

    伺服器來不及給予回應，耗盡主機 CPU 資源，服務停擺。

分散式 HTTP 洪水攻擊（HTTP flood DDoS attack）

  • 攻擊原理：

    大量向伺服器發送回應請求，通常發生在網站上，透過建立大量連線或提交大量網站表單來癱瘓網站。

  • 攻擊目的：

    伺服器來不及給予回應，耗盡主機 CPU 資源，服務停擺。

低速緩慢攻擊（Slow Attack）

  • 攻擊原理：

    與伺服器建立起許多速度相當緩慢的連線。

  • 攻擊目的：

    當所有緩慢連線同時向伺服器傳輸資料或發送請求時，就會讓伺服器的回應時間變長，最終用盡伺服器所有資源。

 

延伸閱讀：什麼是TCP、UDP協議？從網路效能到網路安全看TCP、UDP協議

 

如何防禦DDoS攻擊

DDoS攻擊往往瞬間爆發，短時間DDoS內即能癱瘓目標系統，使正常使用者無法使用企業的網路線上服務！那麼要如何防禦DDoS攻擊呢？

想要防禦DDoS攻擊，不是單靠一種工具或技術就可以輕鬆防禦DDoS攻擊，而是要透過多層次的防禦架構來降低風險與損失。

 

【建立流量異常監控機制】

企業網站可以主動監控進入網站的流量，提早發現DDoS攻擊。

我們也可以透過安裝異常流量與連線監控工具，監視伺服器流量和連線狀態，當偵測到DDoS異常流量或連線時，系統會對企業或系統管理員發出警報。

部分監控工具甚至提供主動防禦措施，當遇到 DDoS 攻擊時會主動開啟分流、清洗流量機制，縮短人工反應、處理及防護的時間，提供更即時、全面性的安全保護。

 

【使用CDN節點分流】

網站可以利用CDN內容傳遞網路，將網站的快取放置全球多個CDN節點，使用者的請求會被導向離他最近的CDN節點，減少對原伺服器的壓力，因此當DDoS攻擊來襲時，CDN可以吸收大部分流量，讓原伺服器和網站維持穩定服務。

 

【部屬防火牆】

WAF防火牆 Website Application Firewall 網站應用程式防火牆，可以監控網站傳輸的HTTP流量，將惡意且可疑的流量(包括DDoS、bot、爬蟲、重複請求...等)擋在門外，保護網站不被攻擊。

 

【備用額外頻寬與伺服器】

當伺服器遭到DDoS攻擊時，因短暫衝入的大量流量，容易導致企業網站的伺服器癱瘓且服務中斷，建議企業可事先準備備用頻寬與伺服器資源，當遭受DDoS攻擊時，則可自由調度資源，維持服務正常。

 

【過濾異常流量、建置流量清洗中心】

企業網站可以建置流量清洗中心，以過濾異常流量，當企業遇到DDoS攻擊時，可切換伺服器連線的路由方向，將疑似攻擊的流量導入清洗中心進行分析，過濾來路不明的來源和異常流量，最終在將剩下的安全流量倒回伺服器中。

 

【使用DDoS防護服務供應商】

如：Cloudflare、AWS Shield、騰雲運算...等，可過濾Tbps級(兆位元每秒)的攻擊流量，對抗複雜攻擊尤為關鍵。

 

【限制流量Rate Limiting】

為了避免資源被少數惡意使用者耗盡，因此建議限制每個使用者能夠使用的資源量，進行限流(Rate Limiting)，這可使惡意使用者無法再發請求給伺服器，減少伺服器的資源消耗，防禦DoS攻擊。

 

總結

DDoS攻擊是當今網路最常見且破壞力最快速、強大的網路攻擊方式，無論是企業網站還是個人網站，都有可能成為駭客的DDoS攻擊目標。

了解DDoS的攻擊原理與常見手法，再搭配適當的多層防禦策略與雲端資源，如此便可將低DDoS攻擊風險、保障網站與線上服務的穩定。

