在安全圈里,DDoS可谓家喻户晓。从DDoS诞生开始,无数网络安全工程师就对它深恶痛绝,像Google、亚马逊等技术实力强劲的巨头公司,也无法避免遭受DDoS攻击。
可以这么说,DDoS是目前最强大、最难防御的攻击之一,属于世界级难题,没有解决办法,只能缓解。
我们不禁好奇,为什么DDoS攻击是无解的?是技术水平不够,还是其他什么原因?
无解的DDoS
DDoS的原理其实不复杂,就是利用大量肉鸡,仿照真实用户行为,使目标服务器资源消耗殆尽,最终无法为用户提供服务。
就好像一家火锅店来了一群地痞流氓,光占座不叫餐,导致正常顾客没座位,点不了餐,火锅店无法正常开店。
我们举一个例子,就可以了解为什么DDoS无法解决。
CC攻击是DDoS的一种类型,攻击者会借助代理服务器生成受害主机的合法请求。
相信大家都有过这样的经历,当某一个网站或者app在做秒杀、限时活动、抢购活动时,访问量突增,导致页面打开速度变慢,如果人数超出服务器负载,页面可能就完全打不开了。
攻击者发动CC攻击的结果,与上面的例子一模一样。对于防御方来说,很难分辨谁是真实用户,谁是攻击者的肉鸡,敌人是谁都不知道,更别说发起进攻了。
成本是硬伤
虽然无法解决DDoS攻击,但可以采用一些技术手段,来缓解或者提高攻击的门槛。
防御方的成本主要来自购买游戏盾、高防IP等云防护产品、采用的技术手段支出的人工成本、购买硬件设备的成本等等。
同样,攻击者发动DDoS攻击,也需要付出相应的成本,比如时间成本、购买肉鸡的成本、购买0day及其他漏洞的成本、编写或购买DDoS程序的成本、甚至还可能是委托第三方发动DDoS所需要的费用等等。
防御者的防御做的越完善,所付出的成本也越高。同理,攻击者想发动更大规模的攻击,成本也越高。
如果攻击者想发动攻击的成本,高于攻击带来的收益,那么DDoS就不会发。反之,如果成本合适,那么攻击者就会发动攻击,享受攻击带来的收益。
缓解DDoS
DDoS攻击虽然无解,但却可以采用多种手段缓解和预防,或打消攻击者发动DDoS的意图,或使攻击者的预计收益下降“入不敷出。