什么是分布式拒绝服务 (DDoS) 攻击？意图、普遍性和严重性-快易CDN

分布式拒绝服务 (DDoS) 攻击是一种网络攻击，利用多个受感染的系统来攻击单个系统，通常目的是压倒其资源并使其无法供用户使用。DDoS 攻击可以从世界任何地方使用任何类型的可能受感染的设备发起，包括笔记本电脑、台式机、路由器、智能手机，甚至是联网设备。

DDoS 攻击的意图、普遍性和严重性

DDoS 攻击者可以是单独行动的个人、有组织的犯罪集团，甚至是外国政府。DDoS 攻击的意图各不相同，但通常包括对目标组织造成经济损失或仅仅造成破坏和混乱。

近年来，DDoS 攻击越来越常见，许多知名网站和在线服务都成为攻击的受害者。例如，2016 年，安全记者 Brian Krebs 的网站遭受了当时有记录以来最大规模的 DDoS 攻击，流量峰值估计达到665 千兆位每秒(Gbps)。

最近的攻击规模要大得多。例如，2020 年 2 月，亚马逊挫败了一次峰值为每秒 2.3 兆兆位的 DDoS 攻击。2021 年末，俄罗斯的 Yandex 也遭受了 DDoS 攻击，数百万个网页请求以每秒 2180 万个请求的速度涌入其网站，还有其他创纪录的攻击。

在过去的一年里，DDoS 攻击都是出于政治动机，其中许多与俄乌冲突有关。据卡巴斯基称，2022 年上半年大规模 DDoS 攻击的目标组织包括北约、以色列机场管理局、英国伦敦港务局、土耳其国防部、捷克政府和公共交通网站、乌克兰政府网站，甚至美国主要机场。

DDoS 攻击的严重程度各不相同，但对目标组织来说，后果可能非常严重。除了可能的收入损失和声誉受损外，如果受害者因攻击而无法履行义务，还可能面临罚款或处罚。根据Ponemon 的数据，平均 DDoS 攻击每分钟的成本为 22,000 美元，典型攻击持续不到一小时，平均成本超过 100 万美元。损失会因公司规模而有很大差异。

分布式拒绝服务攻击如何工作？

DDoS 攻击利用受感染的计算机和设备网络（称为僵尸网络）向目标系统注入大量流量。通过从多个来源同时发送多个请求，攻击者可以使目标资源超载并阻止合法用户访问它。

攻击者如何创建僵尸网络？

恶意软件感染设备，从而获得隐藏的控制权。一旦他们控制了足够多的设备，他们就可以指示它们同时向同一目标发送流量，从而发起 DDoS 攻击。

然而，DDoS 攻击的商品化使其变得更加普遍，破坏性也更强。现在有服务允许任何人发起 DDoS 攻击，而无需创建自己的僵尸网络。这些服务被称为 DDoS 租赁或 DDoS 即服务，使攻击者无需任何技术专业知识即可发起强大的 DDoS 攻击。

例如，伊利诺伊州一名 33 岁男子最近因运行基于订阅的 DDoS 攻击服务而被判处两年监禁。

DDoS 攻击的类别和类型

主要有三种类型：容量攻击、协议攻击和应用程序攻击。

体积

容量攻击是最常见的 DDoS 攻击类型。它们的工作原理是向目标发送大量流量，直到目标无法再处理大量传入请求并变得不堪重负。容量攻击有多种，包括 UDP 洪水攻击、CharGEN 洪水攻击、ICMP (Ping) 洪水攻击、ICMP 碎片洪水攻击和滥用应用程序攻击。

协议

协议攻击利用协议本身的漏洞来引发 DoS 情况。最常见的协议攻击类型是 SYN 洪水攻击。其他协议攻击包括 TCP 洪水攻击、会话攻击、slowloris、死亡 ping、smurf 攻击、fraggle 攻击、低轨道离子炮 (LOIC) 和高轨道离子炮 (HOIC)。

应用

应用程序攻击针对服务器上运行的特定应用程序或服务中的漏洞。最常见的应用程序攻击类型是 HTTP Flood 攻击。

其他类型的 DDoS 攻击

其他类型的 DDoS 攻击并不完全属于这三个主要类别之一。这些包括：

正则表达式 DoS (ReDoS)： ReDoS 攻击针对特定应用程序用于处理数据的正则表达式。通过发送应用程序的正则表达式需要很长时间才能处理的特制输入，攻击者可以使服务器过载并崩溃或显著降低其速度。
高级持续性 DoS (APDoS)： APDoS 攻击与 DDoS 攻击类似，但持续时间更长，性质更复杂。攻击者会发起相对较小的攻击来获取目标的资源，然后利用该立足点持续发起攻击，并在很长一段时间内耗尽目标的资源。
多向量攻击：多向量攻击同时使用多种类型的攻击，例如容量攻击和协议攻击，从多个角度压倒目标的资源。
零日 DDoS 攻击：这些攻击利用系统或应用程序中以前未知的漏洞，因此特别难以防御。

识别 DDoS 攻击

区分合法用户流量突然激增和 DDoS 攻击可能很困难。不过，还是有一些危险信号值得注意。

来自单一来源或 IP 地址的流量异常高
在异常时间或模式下来自多个来源的流量
请求似乎不合适或格式不正确
网络性能突然下降
特定服务或应用程序运行缓慢或无响应
无法访问某些网站或服务

如果是真正的流量怎么办？

这可能是人气突然飙升或病毒式营销活动。在这些情况下，拥有适当的网络监控和扩展功能至关重要，以确保您的基础设施能够处理增加的流量而不会影响性能。

如何减轻 DDoS 攻击？

预防 DDoS 攻击取决于 IT 安全团队采用基本的准备、反应和恢复原则。

准备应对 DDoS 攻击

安全团队可以采取各种行动和最佳实践来准备和预防 DDoS 攻击。这些包括：

部署防火墙和入侵检测系统 (IDS)：下一代防火墙可以阻止异常或可疑流量，而入侵检测和预防系统可以识别并警告潜在攻击。
使用安全协议：安全外壳 (SSH) 和传输层安全性 (TLS) 等安全协议可以帮助防止协议攻击。
保持软件和系统为最新版本：定期修补和更新软件和操作系统有助于减轻攻击者可能利用的漏洞。
网络分段：对网络进行分段可以限制成功攻击的影响，并更容易隔离和减轻攻击。
限制访问：仅允许授权用户访问某些服务和应用程序可以限制潜在的攻击面，这是零信任架构的原则。
使用负载均衡器：负载均衡器可以将流量均匀地分配到多台服务器，并防止单台服务器因攻击而无法承受。
考虑基础设施过度配置：拥有额外的带宽和资源可以帮助在发生 DDoS 攻击时保持性能。
考虑基础设施强化：通过调整设置的配置方式，删除任何不必要的功能并添加增强安全性的可选功能，服务器、网关、防火墙和其他 IT 基础设施可以更加安全地抵御攻击。
启用反 DDoS 功能：许多网络设备和服务提供反 DDoS 功能，例如速率限制和过滤，这有助于减轻攻击。
购买额外的 DDoS 保护：一些服务提供商提供 DDoS 保护作为附加服务。如果您正在寻找针对 DDoS 攻击的保护，各种供应商都提供可以提供帮助的软件和硬件解决方案和服务。
创建 DDoS 行动手册：制定事件响应计划，确定发生 DDoS 攻击时应采取的措施，有助于确保快速有效地做出响应。这包括确定关键个人和角色、建立沟通渠道、记录缓解程序以及进行定期测试和演练。
持续 DDoS 监控：定期监控网络性能、流量和日志有助于在早期阶段识别潜在攻击并做出更快的响应。

应对 DDoS 攻击

如果发生 DDoS 攻击，重要的是快速识别和确认攻击、收集有关其影响和严重程度的信息以及遏制和缓解攻击。您可以采取的一些具体响应包括：

通知您的 ISP 或第三方 DDoS 缓解服务：您的互联网服务提供商 (ISP) 或第三方 DDoS 缓解服务可能能够帮助重定向和过滤恶意流量。
攻击特征：收集有关攻击的信息，包括攻击类型以及攻击针对的系统或服务，有助于指导缓解措施。
攻击追溯：追踪攻击源头有助于识别攻击者并收集可能采取法律行动的证据。
攻击容忍和缓解：采取措施缓解攻击，如速率限制或过滤，可以帮助最大限度地减少其影响并恢复服务。

从 DDoS 攻击中恢复

一旦 DDoS 攻击得到缓解，必须回顾发生了什么以及将来可以采取哪些不同措施来防止或更好地处理类似的攻击。

这可能包括实施任何必要的安全更新、调整网络和基础设施配置、重新审视您的 DDoS 策略以及进行员工培训。监控任何挥之不去的影响并继续监控未来的攻击也很重要。

DDoS 软件解决方案和服务

有各种旨在防范 DDoS 攻击的软件解决方案和服务。这些包括具有反 DDoS 功能的网络设备、防火墙和入侵防御系统以及专门的 DDoS 防护软件和服务。仔细研究并考虑哪种解决方案最好非常重要。

在购买 DDoS 解决方案时，我们建议潜在的解决方案包括以下功能：

过滤并监控传入的网络流量。
处理大量恶意流量。
调节交通流量或设定交通的最低/最高水平。
提供报告和分析。
易于设置和配置。
配备交通管理仪表板。
拥有可保证正常运行时间和支持的服务水平协议 (SLA)。
提供与基础设施即代码 (IaS) 软件和其他应用程序编程接口 (API) 的集成。
提供持续更新和技术支持。

一些领先的DDoS 软件和服务供应商包括：

Akamai
Imperva
Radware
Cloudflare
Neustar
NetScout
Ribbon
Amazon Web Services

DDoS 攻击的普遍性和严重性不断增长，因此个人和组织必须了解什么是 DDoS 攻击以及如何防范此类攻击。虽然没有一劳永逸的解决方案，但实施预防措施和响应计划的组合可以帮助抵御这些破坏性攻击。