DDOS百科：什么是 DDoS 攻击及如何防护DDOS攻击

一、什么是 DDoS 攻击？

当多台机器一起攻击一个目标，通过大量互联网流量淹没目标或其周围基础设施，从而破坏目标服务器、服务或网络的正常流量时，就会发生分布式拒绝服务(DDoS)攻击。

DDoS允许向目标发送指数级更多的请求，从而增加攻击能力。 它还增加了归因的难度，因为攻击的真正来源更难识别。

DDoS攻击可能会对在线业务造成毁灭性打击，因此了解它们的工作原理以及如何快速缓解它们至关重要。

执行DDoS攻击的动机差异很大，执行DDoS攻击的个人和组织的类型也各不相同。有些攻击是由心怀不满的个人和黑客活动分子发起的，他们想要摧毁公司的服务器，只是为了发表声明、利用Bug取乐或表达自己在某方面的不满。

其他分布式拒绝服务攻击是出于经济动机，例如竞争对手扰乱或关闭另一企业的在线运营，以窃取业务。另一些则涉及敲诈勒索，犯罪者攻击一家公司并在其服务器上安装勒索软件，然后迫使他们支付大笔资金才能挽回损失。

二、DDoS攻击如何运作？

DDoS攻击旨在通过虚假互联网流量淹没目标目标的设备、服务和网络，使合法用户无法访问或无用。

虽然简单的拒绝服务攻击涉及一台“攻击”计算机和一个受害者，但DDoS依赖于一群能够同时执行任务的受感染计算机或“机器人”计算机。这些僵尸网络是一组被劫持的互联网连接设备，能够执行大规模攻击。 攻击者利用安全漏洞或设备弱点，使用命令和控制软件控制大量设备。一旦获得控制权，攻击者就可以命令其僵尸网络对目标进行DDoS。在这种情况下，受感染的设备也是攻击的受害者。

由受感染设备组成的僵尸网络也可能被出租给其他潜在的攻击者。通常，僵尸网络可用于“雇佣攻击”服务，允许不熟练的用户发起DDoS攻击。

在DDoS攻击中，网络犯罪分子利用网络设备和服务器之间发生的正常行为，通常针对建立与互联网连接的网络设备。因此攻击者关注的是边缘网络设备（例如路由器、交换机），而不是单个服务器。DDoS攻击会淹没网络管道（带宽）或提供该带宽的设备。

三、如何识别DDoS攻击？

检测和识别DDoS攻击的最佳方法是通过网络流量监控和分析。网络流量可以通过防火墙或入侵检测系统进行监控。管理员甚至可以设置规则，在检测到异常流量负载时创建警报并识别流量源或丢弃满足特定标准的网络数据包。

DoS 攻击的症状可能类似于非恶意可用性问题，例如特定网络或系统管理员执行维护的技术问题。但以下症状可能表明存在DoS或DDoS攻击：

网络性能异常缓慢

特定网络服务和/或网站不可用

无法访问任何网站

IP 地址在有限的时间内发出异常大量的请求

由于服务中断，服务器响应404错误

日志分析表明网络流量出现大幅增长

奇怪的流量模式，例如一天中的奇怪时段出现峰值或出现异常的模式

四、DDoS 攻击的主要类型

DDoS和网络层攻击既复杂又多样。由于在线市场不断增长，攻击者现在可以在对网络和网络攻击知之甚少甚至一无所知的情况下执行DDoS攻击。攻击工具和服务很容易访问，使得可能的攻击池比以往任何时候都更大。

以下是目前针对组织的四种最常见、最复杂的 DDoS 攻击。

应用程序、第7层DDoS攻击

应用程序DDoS攻击通过使用众所周知的超文本传输协议 (HTTP) 以及 HTTPS、SMTP、FTP、VOIP 和其他具有可利用弱点的应用程序协议来攻击资源耗尽，从而允许DDoS 攻击。与针对网络资源的攻击非常相似，针对应用程序资源的攻击也有多种形式，包括洪水攻击和“低速且缓慢”的攻击。

容量攻击或基于容量的攻击

容量攻击和反射/放大攻击利用了某些技术协议中请求和响应比率的差异。攻击者将数据包发送到反射器服务器，其源IP地址被欺骗为受害者的IP，从而间接地用响应数据包淹没受害者,常见的例子是反射DNS放大攻击。

SSL/TLS和加密攻击

攻击者使用SSL/TLS协议来掩盖网络和应用程序级威胁中的攻击流量并使其进一步复杂化。许多安全解决方案使用被动引擎进行SSL/TLS 攻击防护，这意味着它们无法有效区分加密攻击流量和加密合法流量，而只能限制请求速率。阻止此类攻击需要DDoS缓解，将基于机器学习的自动化检测和缓解功能与对任何基础设施（本地、私有云和公共云）的全面保护相结合。

Web DDoS 海啸攻击

Web DDoS海啸攻击结合了应用程序层攻击向量，利用新工具创建复杂的攻击，而传统方法更难以检测和缓解这些攻击。

五、如何防止DDoS攻击

为了防止DDoS攻击，组织应考虑多种关键功能来减轻DDoS攻击、确保服务可用性并最大程度地减少误报。利用基于行为的技术、了解不同DDoS部署选项的优缺点以及能够缓解一系列DDoS攻击向量对于预防DDoS攻击至关重要。

以下功能对于防止DDoS攻击至关重要：

自动化

对于当今动态和自动化的DDoS攻击，组织不想依赖手动保护。该服务不需要任何客户干预，具有完全自动化的攻击生命周期（数据收集、攻击检测、流量转移和攻击缓解），可确保更好的质量保护。

基于行为的保护

在不影响合法流量的情况下阻止攻击的DDoS缓解解决方案是关键，利用机器学习和基于行为的算法来了解合法行为的构成并自动阻止恶意攻击的解决方案至关重要，这提高了保护准确性并最大限度地减少误报。

清洗能力和全球网络

DDoS攻击的数量、严重性、复杂性和持续性都在增加。如果面临大量或同时发生的攻击，云DDoS服务应提供强大的全球安全网络，该网络可扩展为Tbps级别的缓解能力，并具有专用的清理中心，将干净的流量与DDoS攻击流量隔离开来。

多种部署选项

部署模型的灵活性至关重要，因此组织可以定制其DDoS 缓解服务以满足其需求、预算、网络拓扑和威胁概况。适当的部署模型（混合、按需或始终在线的云保护）将根据网络拓扑、应用程序托管环境以及对延迟和等待时间的敏感度而有所不同。

全面防御一系列攻击媒介

威胁形势在不断变化，提供最广泛保护的DDoS缓解解决方案不仅限于网络层攻击防护，还包括针对上述攻击媒介的防护。

六、如何缓解 DDoS 攻击

组织可以遵循几个重要的步骤和措施来减轻DDoS攻击。这包括与内部利益相关者和第三提供商的及时沟通、攻击分析、激活基本对策（例如速率限制）以及更先进的DDoS缓解保护和分析。

以下是减轻DDoS攻击需要遵循的五个步骤。

第1步：提醒主要利益相关者

向组织内的主要利益相关者通报攻击以及正在采取的缓解攻击的步骤。

主要利益相关者的示例包括CISO、安全运营中心 (SoC)、IT 总监、运营经理、受影响服务的业务经理等。

关键信息应包括：

哪些资产（应用程序、服务、服务器等）受到影响

对用户和客户的影响

正在采取哪些措施来减轻攻击

第2步：通知您的安全供应商

您还需要提醒您的安全提供商并启动他们的措施以帮助减轻攻击。

您的安全提供商可能是您的互联网服务提供商 (ISP)、网络托管提供商或专用安全服务提供商。每种供应商类型都有不同的能力和服务范围。您的ISP可能会帮助您最大限度地减少到达您网络的恶意网络流量，而您的网络托管提供商可能会帮助您最大限度地减少应用程序影响并相应地扩展您的服务。同样，安全服务通常会有专门的工具来处理DDoS 攻击。

第3步：启动对策

如果您已经采取了反 DDoS 对策，请激活它们。

一种方法是实施基于IP的访问控制列表(aCl) 以阻止来自攻击源的所有流量。 这是在网络路由器级别完成的，通常可以由您的网络团队或ISP来完成。如果攻击来自单一来源或少量攻击源，则这是一种有用的方法。但如果攻击来自大量IP地址，则此方法可能没有帮助。

如果攻击目标是基于应用程序或基于Web的服务，您可以限制并发应用程序连接的数量。这种方法称为速率限制，通常是网络托管提供商和CDN青睐的方法。请注意这种方法容易出现误报，因为它无法区分恶意和合法用户流量。

专用的DDoS防护工具将为您提供最广泛的DDoS攻击覆盖范围。DDoS防护措施可以部署为数据中心的设备、基于云的清理服务，或者作为结合硬件设备和云服务的混合解决方案。

第4步：监控攻击进展

在整个攻击过程中，监视攻击的进展以了解其发展情况。

这应该包括：

它是什么类型的DDoS攻击？是网络级洪水还是应用层攻击？

其攻击特点是什么？从每秒比特数和每秒数据包数来看，攻击有多大？

攻击来自单个IP源还是多个源？能不能识别他们？

攻击模式是什么样的？是单次持续的洪水还是爆发性的攻击？它涉及单一协议还是涉及多个攻击媒介？

攻击的目标是否保持不变，或者攻击者是否随着时间的推移而改变目标？

跟踪攻击进展还可以帮助您调整防御措施来阻止攻击。

第5步：评估防御性能

最后，随着攻击的发展和对策的启动，评估其有效性。您的安全供应商应提供承诺其服务义务的服务级别协议文档。确保他们满足SLA以及是否对您的运营产生影响。

审核编辑 黄宇