一、什么是 DDoS 攻擊？

當多臺機器一起攻擊一個目標，通過大量互聯網流量淹沒目標或其周圍基礎設施，從而破壞目標服務器、服務或網絡的正常流量時，就會發生分布式拒絕服務(DDoS)攻擊。

DDoS允許向目標發送指數級更多的請求，從而增加攻擊能力。 它還增加了歸因的難度，因為攻擊的真正來源更難識別。

DDoS攻擊可能會對在線業務造成毀滅性打擊，因此了解它們的工作原理以及如何快速緩解它們至關重要。

執行DDoS攻擊的動機差異很大，執行DDoS攻擊的個人和組織的類型也各不相同。有些攻擊是由心懷不滿的個人和黑客活動分子發起的，他們想要摧毀公司的服務器，只是為了發表聲明、利用Bug取樂或表達自己在某方面的不滿。

其他分布式拒絕服務攻擊是出于經濟動機，例如競爭對手擾亂或關閉另一企業的在線運營，以竊取業務。另一些則涉及敲詐勒索，犯罪者攻擊一家公司并在其服務器上安裝勒索軟件，然后迫使他們支付大筆資金才能挽回損失。

二、DDoS攻擊如何運作？

DDoS攻擊旨在通過虛假互聯網流量淹沒目標目標的設備、服務和網絡，使合法用戶無法訪問或無用。

雖然簡單的拒絕服務攻擊涉及一臺“攻擊”計算機和一個受害者，但DDoS依賴于一群能夠同時執行任務的受感染計算機或“機器人”計算機。這些僵尸網絡是一組被劫持的互聯網連接設備，能夠執行大規模攻擊。 攻擊者利用安全漏洞或設備弱點，使用命令和控制軟件控制大量設備。一旦獲得控制權，攻擊者就可以命令其僵尸網絡對目標進行DDoS。在這種情況下，受感染的設備也是攻擊的受害者。

由受感染設備組成的僵尸網絡也可能被出租給其他潛在的攻擊者。通常，僵尸網絡可用于“雇傭攻擊”服務，允許不熟練的用戶發起DDoS攻擊。

在DDoS攻擊中，網絡犯罪分子利用網絡設備和服務器之間發生的正常行為，通常針對建立與互聯網連接的網絡設備。因此攻擊者關注的是邊緣網絡設備（例如路由器、交換機），而不是單個服務器。DDoS攻擊會淹沒網絡管道（帶寬）或提供該帶寬的設備。

三、如何識別DDoS攻擊？

檢測和識別DDoS攻擊的最佳方法是通過網絡流量監控和分析。網絡流量可以通過防火墻或入侵檢測系統進行監控。管理員甚至可以設置規則，在檢測到異常流量負載時創建警報并識別流量源或丟棄滿足特定標準的網絡數據包。

DoS 攻擊的癥狀可能類似于非惡意可用性問題，例如特定網絡或系統管理員執行維護的技術問題。但以下癥狀可能表明存在DoS或DDoS攻擊：

網絡性能異常緩慢

特定網絡服務和/或網站不可用

無法訪問任何網站

IP 地址在有限的時間內發出異常大量的請求

由于服務中斷，服務器響應404錯誤

日志分析表明網絡流量出現大幅增長

奇怪的流量模式，例如一天中的奇怪時段出現峰值或出現異常的模式

四、DDoS 攻擊的主要類型

DDoS和網絡層攻擊既復雜又多樣。由于在線市場不斷增長，攻擊者現在可以在對網絡和網絡攻擊知之甚少甚至一無所知的情況下執行DDoS攻擊。攻擊工具和服務很容易訪問，使得可能的攻擊池比以往任何時候都更大。

以下是目前針對組織的四種最常見、最復雜的 DDoS 攻擊。

應用程序、第7層DDoS攻擊

應用程序DDoS攻擊通過使用眾所周知的超文本傳輸協議 (HTTP) 以及 HTTPS、SMTP、FTP、VOIP 和其他具有可利用弱點的應用程序協議來攻擊資源耗盡，從而允許DDoS 攻擊。與針對網絡資源的攻擊非常相似，針對應用程序資源的攻擊也有多種形式，包括洪水攻擊和“低速且緩慢”的攻擊。

容量攻擊或基于容量的攻擊

容量攻擊和反射/放大攻擊利用了某些技術協議中請求和響應比率的差異。攻擊者將數據包發送到反射器服務器，其源IP地址被欺騙為受害者的IP，從而間接地用響應數據包淹沒受害者,常見的例子是反射DNS放大攻擊。

SSL/TLS和加密攻擊

攻擊者使用SSL/TLS協議來掩蓋網絡和應用程序級威脅中的攻擊流量并使其進一步復雜化。許多安全解決方案使用被動引擎進行SSL/TLS 攻擊防護，這意味著它們無法有效區分加密攻擊流量和加密合法流量，而只能限制請求速率。阻止此類攻擊需要DDoS緩解，將基于機器學習的自動化檢測和緩解功能與對任何基礎設施（本地、私有云和公共云）的全面保護相結合。

Web DDoS 海嘯攻擊

Web DDoS海嘯攻擊結合了應用程序層攻擊向量，利用新工具創建復雜的攻擊，而傳統方法更難以檢測和緩解這些攻擊。

五、如何防止DDoS攻擊

為了防止DDoS攻擊，組織應考慮多種關鍵功能來減輕DDoS攻擊、確保服務可用性并最大程度地減少誤報。利用基于行為的技術、了解不同DDoS部署選項的優缺點以及能夠緩解一系列DDoS攻擊向量對于預防DDoS攻擊至關重要。

以下功能對于防止DDoS攻擊至關重要：

自動化

對于當今動態和自動化的DDoS攻擊，組織不想依賴手動保護。該服務不需要任何客戶干預，具有完全自動化的攻擊生命周期（數據收集、攻擊檢測、流量轉移和攻擊緩解），可確保更好的質量保護。

基于行為的保護

在不影響合法流量的情況下阻止攻擊的DDoS緩解解決方案是關鍵，利用機器學習和基于行為的算法來了解合法行為的構成并自動阻止惡意攻擊的解決方案至關重要，這提高了保護準確性并最大限度地減少誤報。

清洗能力和全球網絡

DDoS攻擊的數量、嚴重性、復雜性和持續性都在增加。如果面臨大量或同時發生的攻擊，云DDoS服務應提供強大的全球安全網絡，該網絡可擴展為Tbps級別的緩解能力，并具有專用的清理中心，將干凈的流量與DDoS攻擊流量隔離開來。

多種部署選項

部署模型的靈活性至關重要，因此組織可以定制其DDoS 緩解服務以滿足其需求、預算、網絡拓撲和威脅概況。適當的部署模型（混合、按需或始終在線的云保護）將根據網絡拓撲、應用程序托管環境以及對延遲和等待時間的敏感度而有所不同。

全面防御一系列攻擊媒介

威脅形勢在不斷變化，提供最廣泛保護的DDoS緩解解決方案不僅限于網絡層攻擊防護，還包括針對上述攻擊媒介的防護。

六、如何緩解 DDoS 攻擊

組織可以遵循幾個重要的步驟和措施來減輕DDoS攻擊。這包括與內部利益相關者和第三提供商的及時溝通、攻擊分析、激活基本對策（例如速率限制）以及更先進的DDoS緩解保護和分析。

以下是減輕DDoS攻擊需要遵循的五個步驟。

第1步：提醒主要利益相關者

向組織內的主要利益相關者通報攻擊以及正在采取的緩解攻擊的步驟。

主要利益相關者的示例包括CISO、安全運營中心 (SoC)、IT 總監、運營經理、受影響服務的業務經理等。

關鍵信息應包括：

哪些資產（應用程序、服務、服務器等）受到影響

對用戶和客戶的影響

正在采取哪些措施來減輕攻擊

第2步：通知您的安全供應商

您還需要提醒您的安全提供商并啟動他們的措施以幫助減輕攻擊。

您的安全提供商可能是您的互聯網服務提供商 (ISP)、網絡托管提供商或專用安全服務提供商。每種供應商類型都有不同的能力和服務范圍。您的ISP可能會幫助您最大限度地減少到達您網絡的惡意網絡流量，而您的網絡托管提供商可能會幫助您最大限度地減少應用程序影響并相應地擴展您的服務。同樣，安全服務通常會有專門的工具來處理DDoS 攻擊。

第3步：啟動對策

如果您已經采取了反 DDoS 對策，請激活它們。

一種方法是實施基于IP的訪問控制列表(aCl) 以阻止來自攻擊源的所有流量。 這是在網絡路由器級別完成的，通常可以由您的網絡團隊或ISP來完成。如果攻擊來自單一來源或少量攻擊源，則這是一種有用的方法。但如果攻擊來自大量IP地址，則此方法可能沒有幫助。

如果攻擊目標是基于應用程序或基于Web的服務，您可以限制并發應用程序連接的數量。這種方法稱為速率限制，通常是網絡托管提供商和CDN青睞的方法。請注意這種方法容易出現誤報，因為它無法區分惡意和合法用戶流量。

專用的DDoS防護工具將為您提供最廣泛的DDoS攻擊覆蓋范圍。DDoS防護措施可以部署為數據中心的設備、基于云的清理服務，或者作為結合硬件設備和云服務的混合解決方案。

第4步：監控攻擊進展

在整個攻擊過程中，監視攻擊的進展以了解其發展情況。

這應該包括：

它是什么類型的DDoS攻擊？是網絡級洪水還是應用層攻擊？

其攻擊特點是什么？從每秒比特數和每秒數據包數來看，攻擊有多大？

攻擊來自單個IP源還是多個源？能不能識別他們？

攻擊模式是什么樣的？是單次持續的洪水還是爆發性的攻擊？它涉及單一協議還是涉及多個攻擊媒介？

攻擊的目標是否保持不變，或者攻擊者是否隨著時間的推移而改變目標？

跟蹤攻擊進展還可以幫助您調整防御措施來阻止攻擊。

第5步：評估防御性能

最后，隨著攻擊的發展和對策的啟動，評估其有效性。您的安全供應商應提供承諾其服務義務的服務級別協議文檔。確保他們滿足SLA以及是否對您的運營產生影響。

審核編輯 黃宇