分布式拒绝服务 （DDOS） 攻击

什么是 DDoS 攻击？

DDoS 中文称分布式拒绝服务攻击，是一种网络攻击，它试图通过用虚假的互联网流量淹没服务器或网络来中断服务器或网络，阻止用户访问并中断操作。

为什么有人会进行 DDoS 攻击？

DDoS 攻击的动机有很多，从服务中断到间谍活动和网络战。一些常见的动机包括：

• 政治目的（黑客行动主义）
• 中断网络通信和基本服务
• 获得竞争优势
• 通过敲诈勒索、盗窃等方式获得经济利益。
• 造成品牌/声誉损害
• 窃取或破坏机密信息或知识产权
• 发起勒索软件攻击
• 发动网络战

DDoS 攻击如何工作？

DDoS 攻击是使用连接互联网的机器网络（PC、笔记本电脑、服务器、物联网设备）进行的，这些机器都由攻击者控制。这些设备可能在任何地方（因此被称为“分布式”），设备的所有者不太可能意识到它们的用途，因为它们很可能被黑客劫持。

网络犯罪分子控制机器的常见方式包括恶意软件攻击和使用产品发行的默认用户名和密码（如果设备有密码）来获取访问权限。

一旦攻击者破坏了设备，它就会成为僵尸网络的一部分——他们控制下的一组机器。僵尸网络可用于各种恶意活动，包括分发网络钓鱼电子邮件、恶意软件或勒索软件，或者在 DDoS 攻击的情况下，作为互联网流量泛滥的来源。

僵尸网络的规模可以从相对较少的僵尸设备到数百万个僵尸设备不等。无论哪种方式，僵尸网络的控制者都可以将生成的网络流量转向目标并进行 DDoS 攻击。

服务器、网络和在线服务旨在应对一定数量的互联网流量，但如果它们在 DDoS 攻击中被额外的流量淹没，它们就会变得不堪重负。DDoS 攻击发送的大量流量会阻塞或降低系统功能，同时还会阻止合法用户访问服务（这是“拒绝服务”元素）。

发起 DDoS 攻击的目的是以这种方式使服务离线，尽管在线服务也有可能被非恶意用户的常规流量淹没——例如，如果数十万人试图访问网站购买音乐会门票。然而，这通常只是短暂的、暂时的和偶然的，而 DDoS 攻击可能会持续很长时间。

DDoS 攻击的类型

DDoS 攻击可以通过多种方式进行分类，但通常将它们分为三种类型：

流量攻击

僵尸网络向资源发送大量虚假流量。这种类型的攻击可能使用 ping 洪水、欺骗数据包洪水或 UDP 洪水。基于流量的攻击以每秒比特数 （BPS） 为单位。

网络层攻击

网络层攻击（也称为协议攻击）向目标发送大量数据包。网络层攻击不需要开放的传输控制协议 （TCP） 连接，也不针对特定端口。网络层攻击以每秒数据包数 （PPS） 为单位进行计量。

网络层攻击的示例包括：

• Smurf 攻击：尝试使用 Internet 控制消息协议 （ICMP） 数据包和利用 IP 漏洞在网络级别淹没服务器。
• SYN Flood：在不关闭该连接的情况下启动与服务器的连接，结果使服务器不堪重负。这种类型的攻击使用大量带有欺骗性 IP 地址的 TCP 握手请求。

应用层攻击

应用层攻击利用常见的请求，如HTTP GET和HTTP POST。这些攻击同时影响服务器和网络资源，因此可以用更少的带宽实现与其他类型DDOS攻击相同的破坏效果。在这一层中很难区分合法流量和恶意流量，因为流量没有被欺骗，因此看起来很正常。应用层攻击是以每秒请求数（RPS）来衡量的。

虽然大多数攻击都是基于数量的，但也有“低而慢”的DDoS攻击，它们通过发送小而稳定的请求流来逃避检测，这些请求流可能会在很长一段时间内降低未被发现的性能。低速和慢速攻击以基于线程的web服务器为目标，导致数据传输到合法用户的速度非常慢，但不足以导致超时错误。一些用于低速和慢速攻击的工具包括Slowloris、R.U.D.Y.和Sockstress。

为什么 DDoS 攻击是一个日益严重的威胁？

DDoS 攻击的数量正在激增。尽管全球各地都在打击DDoS 攻击行为，但 DDoS 攻击在 2020 年上半年增加了 151%，在美国，DDoS 攻击可能占攻击期间互联网总流量的 25%。

DDoS 攻击的数量激增的原因是物联网 （IoT） 的采用。大多数 IoT 设备没有内置固件或安全控制。由于物联网设备数量众多，并且通常在没有经过安全测试和控制的情况下实施，因此它们很容易被劫持到物联网僵尸网络中。

另一个日益增长的弱点是API或应用程序编程接口。API 是允许不同系统共享数据的一小段代码。例如，发布航班时刻表的旅游网站使用 API 将该数据从航空公司的网站获取到旅游网站的网页上。任何人都可以使用的“公共”API 可能受到很好的保护。典型的漏洞包括身份验证检查薄弱、端点安全性不足、缺乏强大的加密以及有缺陷的业务逻辑。

DDoS 攻击案例

Google，2023 年 8 月

甚至像谷歌这样的科技巨头也在努力应对DDoS攻击。它拦截了现在被称为历史上最大的 DDoS 攻击，峰值达到惊人的每秒 3.98 亿个请求 （rps）。为了了解这有多大，谷歌是这样写的：

“从规模上看，这次两分钟的攻击产生的请求比维基百科在2023年9月整个月报告的文章浏览量总数还要多。”

这种网络侵略行为还揭示了DDoS攻击在规模和复杂程度上迅速发展的令人不安的趋势，因为谷歌之前记录的最大DDoS攻击峰值为“仅”4600万rps。

VoIP.ms，2021年9月

加拿大VoIP提供商 VoIP.ms 其DNS名称服务器面临DDoS攻击。攻击者要求 420 万美元的赎金才能停止，控制了该公司的网站并严重破坏了其电话服务。

值得注意的是，VoIP.ms 花了将近两周的时间来更新其基础设施并恢复对客户的服务。

被DDoS 攻击的症状是什么？

当您的服务器或网络遭受DDoS攻击时，可能会出现以下一些症状：

1. 网络流量异常：您可能会观察到网络流量出现无法解释的激增，这通常是DDoS攻击的一个明显迹象。
2. 网站加载速度变慢：由于攻击者向您的服务器发送大量请求，可能会导致网站加载时间显著延长。
3. 无法解释的错误、超时和完全无法访问：攻击者可能会导致您的网站显示错误或超时，甚至完全无法访问。
4. 服务器资源占用升高：服务器的CPU或内存使用率可能会突然上升，因为攻击者的请求消耗了大量资源。
5. 网络连接状态异常：通过命令如netstat -na，您可能会观察到大量的ESTABLISHED或SYN_RECEIVED连接状态，这些都是DDoS攻击的迹象。
6. 网站服务中断：您的网站可能会出现服务不可用的提示，如Service Unavailable，或者在重启后短暂恢复正常后再次无法访问。
7. 网络拥塞：网络中可能会充斥着大量无用的数据包，导致网络拥塞，使受害主机无法正常通信。
8. 系统性能下降：在严重的情况下，DDoS攻击可能会导致系统死机或蓝屏，使服务器无法连接。

DDoS 如何防御

DDoS（分布式拒绝服务）攻击的防御是一个多层次、综合性的过程，需要从多个角度来构建防护措施。以下是一些有效的DDoS防御策略：

流量清洗

部署流量清洗中心，实时监测并清洗进入网络的流量，识别恶意流量并将其与正常流量分离。

限流和限速

通过限制流入网络的请求或流量的速率，减少恶意流量对目标服务器的冲击。

内容分发网络（CDN）

使用CDN将网页内容缓存到多个服务器上，减轻目标服务器的负载，分散攻击者的恶意流量。

增加带宽和资源

增加服务器的带宽和计算资源等硬件资源，可以减轻DDoS攻击带来的影响。

使用防火墙

使用防火墙过滤恶意流量，拦截来自已知攻击源的数据包。

使用IDS/IPS等安全设备

使用入侵检测系统（IDS）和入侵防御系统（IPS）等安全设备对网络流量进行实时监控和检测，及时发现和阻止攻击。

专业的DDoS防御服务

当我们的互联网服务遭到DDoS攻击时，普通的方法往往无法达到理想的防御效果，我们需要购买专业的DDoS防御服务。

高防服务器

高防服务器是专门为抵御大规模DDoS攻击而设计的服务器，高防服务器拥有远超普通服务器的带宽容量，能够承受大量的流量冲击，同时拥有流量清洗功能，通过流量清洗中心，对流入的流量进行实时监控和分析，识别并丢弃恶意流量，只将合法流量转发到源服务器。

高防IP

高防IP是一种专门用于防御DDoS攻击的网络安全服务。它由高防机房提供，主要针对网络中的DDoS攻击进行保护。当互联网服务器遭受大流量的DDoS攻击时，高防IP能够起到防御和保护的作用。用户可以配置DDoS高防IP，将攻击流量引导至高防IP，通过专业的防御设备和技术进行流量清洗和过滤，确保源站的稳定可靠。

高防CDN

高防CDN是一种结合了内容分发网络和高防服务的技术，旨在提高网站访问速度和保护网站安全。它通过将网站的内容分散到全球各地的服务器上，实现就近访问，减少延迟，提高性能。同时，高防CDN具备防御DDoS攻击的能力，能够识别和过滤恶意流量，保护网站免受攻击

云WAF

云WAF（Cloud Web Application Firewall）是一种基于云计算的Web应用防火墙服务，它提供了传统WAF的功能，但以服务形式存在，允许用户通过云服务平台来部署和管理。云WAF的主要作用是保护Web应用程序免受各种网络攻击，如SQL注入、跨站脚本攻击（XSS）、DDoS攻击等，确保Web应用的安全稳定运行。