某知名在线教育平台“EduLearn”在 2023 年 9 月突然遭遇大规模服务中断,导致数百万用户无法访问平台。平台的技术团队迅速展开调查,发现以下情况: 平台的服务器在短时间内接收到远超正常水平的请求,峰值流量达到平时的 50 倍。 大部分请求来自分布在全球各地的 IP 地址,且请求内容高度相似,均为对平台首页的访问请求。 服务器的 CPU 和内存使用率迅速达到 100%,导致正常用户的请求无法被处理。 攻击持续了约 2 小时,之后流量逐渐恢复正常。 事后分析发现,攻击者使用了多个僵尸网络(Botnet)来发起此次攻击。
Question
什么是僵尸网络,僵尸网络有什么作用,僵尸网络有什么特点?
僵尸网络是指通过恶意软件感染并控制大量计算机、服务器或者物联网设备,形成由攻击者远程操控的分布式网络。
僵尸网络可以实现分布式拒绝服务攻击,大范围投放垃圾邮件等恶意信息,利用计算能力进行挖矿或者网络扫描
僵尸网络的特点:
- 分布式控制
- 一对多的控制
- 隐蔽
- 自我传播
Question
根据上述描述,你认为此次攻击属于哪种类型的拒绝服务攻击?请解释你的判断依据。
这次的攻击可能属于 DDoS 中的 HTTP Flood 攻击
- 流量来自全球 IP,可以大概判断是僵尸网络产生的攻击
- 攻击目标是首页,手段是直接的访问,结果是服务器的计算资源被耗尽,可以判断是属于应用层的 DDoS 攻击
Question
攻击者可能出于哪些目的发起此次攻击?
- 商业竞争:可能通过瘫痪对手服务,抢夺用户
- 敲诈勒索:攻击后向平台索要赎金
- 报复行为:对平台不满而发起的报复
- 测试攻击能力:黑客组织炫耀能力或者展示僵尸网络能力,从中获利
Question
如果你是 EduLearn 的技术负责人,你会采取哪些措施来防止类似攻击再次发生?
- 实时流量保护:部署流量清洗中心,识别异常流量并过滤其请求。可以使用 CDN 分发内容减少服务器压力
- 强化基础设施防护:部署 Web 应用防火墙(WAF)拦截恶意请求,配置负载均衡服务器
- 应急响应与演练:制定 DDoS 应急响应预案,包括流量切换、服务器扩容等