Skip to content Skip to navigation Skip to footer

DoS 與 DDoS攻擊:有什麼區別

阻斷服務 (DoS) 攻擊會讓伺服器塞滿流量,讓網站或應用程式無法使用。分散式阻斷服務 (DDoS) 攻擊是使用多部電腦或機器進行的 DoS 攻擊,藉此試圖癱瘓目標。這兩種攻擊類型都會讓伺服器或網站應用程式過載,進而達成中斷服務的目標。 

當伺服器被超過負荷量的傳輸控制通訊協定/使用者資料封包通訊協定 (TCP/UDP) 灌滿時,可能會發生伺服器當機、資料毀損、資源錯置或資源耗盡,直到系統完全癱瘓。

DoS 和 DDoS 攻擊有何不同?

DoS 和 DDoS 的不同之處在於,前者是系統對系統的攻擊,後者是多個系統集體攻擊單一系統。還有其他本質上或偵測方式上的差別,包括:

  1. 偵測/排解難易度: 由於 DoS 是來自單一位置,因此更容易偵測其來源並切斷連接。事實上,技術完熟的防火牆就可以做到這一點。另一方面,DDoS 攻擊則來自多個遠端位置,得以掩飾真正來源。
  2. 攻擊速度: 由於 DDoS 攻擊來自多個位置,因此部署速度比來自單一位置的 DoS 攻擊要快得多。攻擊速度加快讓偵測變得更加困難,代表造成的傷害更大,甚至導致災難般的後果。 
  3. 流量: DDoS 攻擊利用多部遠端機器(殭屍電腦或機器人),代表它可以同時傳送更多來自不同位置的流量,以阻止偵測的方式快速過載伺服器。
  4. 執行機制: DDoS 攻擊會協調遭惡意軟體(機器人)感染的多個主機,建立由命令控制 (C&C) 伺服器管理的殭屍網路。相較之下,DoS 攻擊通常會使用指令碼或工具,從單一電腦進行攻擊。
  5. 來源追蹤: DDoS 攻擊使用殭屍網路,代表要追蹤真正來源會比追蹤 DoS 攻擊來源複雜得多了。

DoS 和 DDoS 攻擊

DoS 和 DDoS 攻擊有許多不同的形式和方法。這些攻擊能讓企業失去生意、癱瘓競爭者、掩護其他攻擊、或單純為了惹事、表達立場。以下是這類攻擊常見的幾種形式。

淚滴攻擊 (Teardrop Attack)

淚滴攻擊是一種 DoS 攻擊,會將無數的網際網路通訊協定 (IP) 資料片段發送至網路。當網路試圖將片段重新編譯成其原始封包時,會發現無法這麼做。 

舉例來說,攻擊者可能會使用非常大的資料封包,並將封包分成多個片段,讓目標系統重新組裝。不過,攻擊者改變封包的拆解方式,使目標系統產生混亂,然後無法將片段重新組裝到原始封包中。

洪水攻擊 (Flooding Attack)

洪水攻擊是一種 DoS 攻擊,會將多個連接請求發送至伺服器,但不會回應,導致交握無法完成。 

舉例來說,攻擊者可能會發送各種進行客戶端連接的要求,但當伺服器試圖連回驗證連接時,攻擊者會拒收回應。在不斷重複此程序後,伺服器只能處在等待回應的狀態,致使真正的客戶端無法連接,而伺服器變成「忙碌」或甚至當機。

IP 片段攻擊

IP 片段攻擊是一種 DoS 攻擊,發送遭竄改的網路封包,使接收網路無法重組封包。網路因大量未重組封包而陷入僵局,耗盡所有資源。

巨流量攻擊 (Volumetric Attack)

巨流量攻擊是一種 DDoS 攻擊,用來針對頻寬資源。例如,攻擊者透過殭屍網路向特定網路發送大量的請求封包,利用網際網路控制訊息通訊協定 (ICMP) 回應請求讓頻寬超載。這會導致服務變慢,甚至完全停止。

通訊協定攻擊

通訊協定攻擊是一種利用  OSI 模型第 3 層和第 4 層弱點的 DDoS 攻擊。例如,攻擊者可利用 TCP 連接序列發送請求,但不進行應有回應,或利用捏造來源 IP 位址回應另一個請求。未回應的請求會耗盡網路資源,直到完全無法使用。

應用程式型攻擊

應用程式型攻擊是一種針對 OSI 模型第 7 層的 DDoS 攻擊。其中一個範例是 Slowloris 攻擊,攻擊者會發送部分超文字傳輸通訊協定 (HTTP) 請求,但不會完成請求。每個請求都會定期發送 HTTP 標頭,最終導致網路資源停擺。 

攻擊者持續不斷攻擊,直到伺服器無法產生新的連線。這種攻擊非常難以偵測,因為與傳送損壞封包相比,它只傳送部分封包,而且幾乎不占頻寬。

如何提高 DoS 和 DDoS 攻擊防護

以下是 DoS 和 DDoS 保護的一些高階最佳實務作法: 

1.         持續監控網路: 這有助於分辨正常的流量模式,對早期偵測和防護至關重要。

2.         執行測試來模擬 DoS 攻擊: 這將有助於評估風險、揭露弱點,提供員工在網路安全領域的訓練。

3.         建立保護計畫: 建立檢查清單、組成應變小組、界定回應參數並部署防護措施。

4.         分辨關鍵系統與通常流量模式: 前者有助於規劃防護措施,後者則有助於早期偵測威脅。

5.         備載額外頻寬: 它也許無法阻止攻擊,但有助於處理網路流量暴增情形,並減少任何攻擊的影響。

DDoS 攻擊不斷發展,越來越複雜,也越來越具威力,因此,企業需要一套全面的策略來同時監控無數的威脅參數,像是進階報告工具和分析。為了保護組織免受已知攻擊,並為潛在的 零時差攻擊進行準備,組織需要多層式 DDoS 保護,例如 FortiDDoS。 

FortiDDoS 包括 Fortinet DDoS 攻擊排解裝置,可為第 3、4 和 7 層提供持續威脅評估和安全保護。