一、什么是 DDoS 攻擊？

當(dāng)多臺機(jī)器一起攻擊一個(gè)目標(biāo)，通過大量互聯(lián)網(wǎng)流量淹沒目標(biāo)或其周圍基礎(chǔ)設(shè)施，從而破壞目標(biāo)服務(wù)器、服務(wù)或網(wǎng)絡(luò)的正常流量時(shí)，就會發(fā)生分布式拒絕服務(wù)(DDoS)攻擊。

DDoS允許向目標(biāo)發(fā)送指數(shù)級更多的請求，從而增加攻擊能力。 它還增加了歸因的難度，因?yàn)楣舻恼嬲齺碓锤y識別。

DDoS攻擊可能會對在線業(yè)務(wù)造成毀滅性打擊，因此了解它們的工作原理以及如何快速緩解它們至關(guān)重要。

執(zhí)行DDoS攻擊的動機(jī)差異很大，執(zhí)行DDoS攻擊的個(gè)人和組織的類型也各不相同。有些攻擊是由心懷不滿的個(gè)人和黑客活動分子發(fā)起的，他們想要摧毀公司的服務(wù)器，只是為了發(fā)表聲明、利用Bug取樂或表達(dá)自己在某方面的不滿。

其他分布式拒絕服務(wù)攻擊是出于經(jīng)濟(jì)動機(jī)，例如競爭對手?jǐn)_亂或關(guān)閉另一企業(yè)的在線運(yùn)營，以竊取業(yè)務(wù)。另一些則涉及敲詐勒索，犯罪者攻擊一家公司并在其服務(wù)器上安裝勒索軟件，然后迫使他們支付大筆資金才能挽回?fù)p失。

二、DDoS攻擊如何運(yùn)作？

DDoS攻擊旨在通過虛假互聯(lián)網(wǎng)流量淹沒目標(biāo)目標(biāo)的設(shè)備、服務(wù)和網(wǎng)絡(luò)，使合法用戶無法訪問或無用。

雖然簡單的拒絕服務(wù)攻擊涉及一臺“攻擊”計(jì)算機(jī)和一個(gè)受害者，但DDoS依賴于一群能夠同時(shí)執(zhí)行任務(wù)的受感染計(jì)算機(jī)或“機(jī)器人”計(jì)算機(jī)。這些僵尸網(wǎng)絡(luò)是一組被劫持的互聯(lián)網(wǎng)連接設(shè)備，能夠執(zhí)行大規(guī)模攻擊。 攻擊者利用安全漏洞或設(shè)備弱點(diǎn)，使用命令和控制軟件控制大量設(shè)備。一旦獲得控制權(quán)，攻擊者就可以命令其僵尸網(wǎng)絡(luò)對目標(biāo)進(jìn)行DDoS。在這種情況下，受感染的設(shè)備也是攻擊的受害者。

由受感染設(shè)備組成的僵尸網(wǎng)絡(luò)也可能被出租給其他潛在的攻擊者。通常，僵尸網(wǎng)絡(luò)可用于“雇傭攻擊”服務(wù)，允許不熟練的用戶發(fā)起DDoS攻擊。

在DDoS攻擊中，網(wǎng)絡(luò)犯罪分子利用網(wǎng)絡(luò)設(shè)備和服務(wù)器之間發(fā)生的正常行為，通常針對建立與互聯(lián)網(wǎng)連接的網(wǎng)絡(luò)設(shè)備。因此攻擊者關(guān)注的是邊緣網(wǎng)絡(luò)設(shè)備（例如路由器、交換機(jī)），而不是單個(gè)服務(wù)器。DDoS攻擊會淹沒網(wǎng)絡(luò)管道（帶寬）或提供該帶寬的設(shè)備。

三、如何識別DDoS攻擊？

檢測和識別DDoS攻擊的最佳方法是通過網(wǎng)絡(luò)流量監(jiān)控和分析。網(wǎng)絡(luò)流量可以通過防火墻或入侵檢測系統(tǒng)進(jìn)行監(jiān)控。管理員甚至可以設(shè)置規(guī)則，在檢測到異常流量負(fù)載時(shí)創(chuàng)建警報(bào)并識別流量源或丟棄滿足特定標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)包。

DoS 攻擊的癥狀可能類似于非惡意可用性問題，例如特定網(wǎng)絡(luò)或系統(tǒng)管理員執(zhí)行維護(hù)的技術(shù)問題。但以下癥狀可能表明存在DoS或DDoS攻擊：

網(wǎng)絡(luò)性能異常緩慢

特定網(wǎng)絡(luò)服務(wù)和/或網(wǎng)站不可用

無法訪問任何網(wǎng)站

IP 地址在有限的時(shí)間內(nèi)發(fā)出異常大量的請求

由于服務(wù)中斷，服務(wù)器響應(yīng)404錯(cuò)誤

日志分析表明網(wǎng)絡(luò)流量出現(xiàn)大幅增長

奇怪的流量模式，例如一天中的奇怪時(shí)段出現(xiàn)峰值或出現(xiàn)異常的模式

四、DDoS 攻擊的主要類型

DDoS和網(wǎng)絡(luò)層攻擊既復(fù)雜又多樣。由于在線市場不斷增長，攻擊者現(xiàn)在可以在對網(wǎng)絡(luò)和網(wǎng)絡(luò)攻擊知之甚少甚至一無所知的情況下執(zhí)行DDoS攻擊。攻擊工具和服務(wù)很容易訪問，使得可能的攻擊池比以往任何時(shí)候都更大。

以下是目前針對組織的四種最常見、最復(fù)雜的 DDoS 攻擊。

應(yīng)用程序、第7層DDoS攻擊

應(yīng)用程序DDoS攻擊通過使用眾所周知的超文本傳輸協(xié)議 (HTTP) 以及 HTTPS、SMTP、FTP、VOIP 和其他具有可利用弱點(diǎn)的應(yīng)用程序協(xié)議來攻擊資源耗盡，從而允許DDoS 攻擊。與針對網(wǎng)絡(luò)資源的攻擊非常相似，針對應(yīng)用程序資源的攻擊也有多種形式，包括洪水攻擊和“低速且緩慢”的攻擊。

容量攻擊或基于容量的攻擊

容量攻擊和反射/放大攻擊利用了某些技術(shù)協(xié)議中請求和響應(yīng)比率的差異。攻擊者將數(shù)據(jù)包發(fā)送到反射器服務(wù)器，其源IP地址被欺騙為受害者的IP，從而間接地用響應(yīng)數(shù)據(jù)包淹沒受害者,常見的例子是反射DNS放大攻擊。

SSL/TLS和加密攻擊

攻擊者使用SSL/TLS協(xié)議來掩蓋網(wǎng)絡(luò)和應(yīng)用程序級威脅中的攻擊流量并使其進(jìn)一步復(fù)雜化。許多安全解決方案使用被動引擎進(jìn)行SSL/TLS 攻擊防護(hù)，這意味著它們無法有效區(qū)分加密攻擊流量和加密合法流量，而只能限制請求速率。阻止此類攻擊需要DDoS緩解，將基于機(jī)器學(xué)習(xí)的自動化檢測和緩解功能與對任何基礎(chǔ)設(shè)施（本地、私有云和公共云）的全面保護(hù)相結(jié)合。

Web DDoS 海嘯攻擊

Web DDoS海嘯攻擊結(jié)合了應(yīng)用程序?qū)庸粝蛄?，利用新工具?chuàng)建復(fù)雜的攻擊，而傳統(tǒng)方法更難以檢測和緩解這些攻擊。

五、如何防止DDoS攻擊

為了防止DDoS攻擊，組織應(yīng)考慮多種關(guān)鍵功能來減輕DDoS攻擊、確保服務(wù)可用性并最大程度地減少誤報(bào)。利用基于行為的技術(shù)、了解不同DDoS部署選項(xiàng)的優(yōu)缺點(diǎn)以及能夠緩解一系列DDoS攻擊向量對于預(yù)防DDoS攻擊至關(guān)重要。

以下功能對于防止DDoS攻擊至關(guān)重要：

自動化

對于當(dāng)今動態(tài)和自動化的DDoS攻擊，組織不想依賴手動保護(hù)。該服務(wù)不需要任何客戶干預(yù)，具有完全自動化的攻擊生命周期（數(shù)據(jù)收集、攻擊檢測、流量轉(zhuǎn)移和攻擊緩解），可確保更好的質(zhì)量保護(hù)。

基于行為的保護(hù)

在不影響合法流量的情況下阻止攻擊的DDoS緩解解決方案是關(guān)鍵，利用機(jī)器學(xué)習(xí)和基于行為的算法來了解合法行為的構(gòu)成并自動阻止惡意攻擊的解決方案至關(guān)重要，這提高了保護(hù)準(zhǔn)確性并最大限度地減少誤報(bào)。

清洗能力和全球網(wǎng)絡(luò)

DDoS攻擊的數(shù)量、嚴(yán)重性、復(fù)雜性和持續(xù)性都在增加。如果面臨大量或同時(shí)發(fā)生的攻擊，云DDoS服務(wù)應(yīng)提供強(qiáng)大的全球安全網(wǎng)絡(luò)，該網(wǎng)絡(luò)可擴(kuò)展為Tbps級別的緩解能力，并具有專用的清理中心，將干凈的流量與DDoS攻擊流量隔離開來。

多種部署選項(xiàng)

部署模型的靈活性至關(guān)重要，因此組織可以定制其DDoS 緩解服務(wù)以滿足其需求、預(yù)算、網(wǎng)絡(luò)拓?fù)浜屯{概況。適當(dāng)?shù)牟渴鹉Ｐ停ɑ旌?、按需或始終在線的云保護(hù)）將根據(jù)網(wǎng)絡(luò)拓?fù)洹?yīng)用程序托管環(huán)境以及對延遲和等待時(shí)間的敏感度而有所不同。

全面防御一系列攻擊媒介

威脅形勢在不斷變化，提供最廣泛保護(hù)的DDoS緩解解決方案不僅限于網(wǎng)絡(luò)層攻擊防護(hù)，還包括針對上述攻擊媒介的防護(hù)。

六、如何緩解 DDoS 攻擊

組織可以遵循幾個(gè)重要的步驟和措施來減輕DDoS攻擊。這包括與內(nèi)部利益相關(guān)者和第三提供商的及時(shí)溝通、攻擊分析、激活基本對策（例如速率限制）以及更先進(jìn)的DDoS緩解保護(hù)和分析。

以下是減輕DDoS攻擊需要遵循的五個(gè)步驟。

第1步：提醒主要利益相關(guān)者

向組織內(nèi)的主要利益相關(guān)者通報(bào)攻擊以及正在采取的緩解攻擊的步驟。

主要利益相關(guān)者的示例包括CISO、安全運(yùn)營中心 (SoC)、IT 總監(jiān)、運(yùn)營經(jīng)理、受影響服務(wù)的業(yè)務(wù)經(jīng)理等。

關(guān)鍵信息應(yīng)包括：

哪些資產(chǎn)（應(yīng)用程序、服務(wù)、服務(wù)器等）受到影響

對用戶和客戶的影響

正在采取哪些措施來減輕攻擊

第2步：通知您的安全供應(yīng)商

您還需要提醒您的安全提供商并啟動他們的措施以幫助減輕攻擊。

您的安全提供商可能是您的互聯(lián)網(wǎng)服務(wù)提供商 (ISP)、網(wǎng)絡(luò)托管提供商或?qū)Ｓ冒踩?wù)提供商。每種供應(yīng)商類型都有不同的能力和服務(wù)范圍。您的ISP可能會幫助您最大限度地減少到達(dá)您網(wǎng)絡(luò)的惡意網(wǎng)絡(luò)流量，而您的網(wǎng)絡(luò)托管提供商可能會幫助您最大限度地減少應(yīng)用程序影響并相應(yīng)地?cái)U(kuò)展您的服務(wù)。同樣，安全服務(wù)通常會有專門的工具來處理DDoS 攻擊。

第3步：啟動對策

如果您已經(jīng)采取了反 DDoS 對策，請激活它們。

一種方法是實(shí)施基于IP的訪問控制列表(aCl) 以阻止來自攻擊源的所有流量。 這是在網(wǎng)絡(luò)路由器級別完成的，通常可以由您的網(wǎng)絡(luò)團(tuán)隊(duì)或ISP來完成。如果攻擊來自單一來源或少量攻擊源，則這是一種有用的方法。但如果攻擊來自大量IP地址，則此方法可能沒有幫助。

如果攻擊目標(biāo)是基于應(yīng)用程序或基于Web的服務(wù)，您可以限制并發(fā)應(yīng)用程序連接的數(shù)量。這種方法稱為速率限制，通常是網(wǎng)絡(luò)托管提供商和CDN青睞的方法。請注意這種方法容易出現(xiàn)誤報(bào)，因?yàn)樗鼰o法區(qū)分惡意和合法用戶流量。

專用的DDoS防護(hù)工具將為您提供最廣泛的DDoS攻擊覆蓋范圍。DDoS防護(hù)措施可以部署為數(shù)據(jù)中心的設(shè)備、基于云的清理服務(wù)，或者作為結(jié)合硬件設(shè)備和云服務(wù)的混合解決方案。

第4步：監(jiān)控攻擊進(jìn)展

在整個(gè)攻擊過程中，監(jiān)視攻擊的進(jìn)展以了解其發(fā)展情況。

這應(yīng)該包括：

它是什么類型的DDoS攻擊？是網(wǎng)絡(luò)級洪水還是應(yīng)用層攻擊？

其攻擊特點(diǎn)是什么？從每秒比特?cái)?shù)和每秒數(shù)據(jù)包數(shù)來看，攻擊有多大？

攻擊來自單個(gè)IP源還是多個(gè)源？能不能識別他們？

攻擊模式是什么樣的？是單次持續(xù)的洪水還是爆發(fā)性的攻擊？它涉及單一協(xié)議還是涉及多個(gè)攻擊媒介？

攻擊的目標(biāo)是否保持不變，或者攻擊者是否隨著時(shí)間的推移而改變目標(biāo)？

跟蹤攻擊進(jìn)展還可以幫助您調(diào)整防御措施來阻止攻擊。

第5步：評估防御性能

最后，隨著攻擊的發(fā)展和對策的啟動，評估其有效性。您的安全供應(yīng)商應(yīng)提供承諾其服務(wù)義務(wù)的服務(wù)級別協(xié)議文檔。確保他們滿足SLA以及是否對您的運(yùn)營產(chǎn)生影響。

審核編輯 黃宇