分布式拒絕服務(wù) (DDoS) 攻擊是一種網(wǎng)絡(luò)攻擊，源自分布式網(wǎng)絡(luò)，旨在拒絕來自您的服務(wù)的響應(yīng)。DDoS 攻擊旨在通過非法請求壓倒您的系統(tǒng)來使您的服務(wù)無響應(yīng)。

越來越多的企業(yè)和網(wǎng)站所有者在問自己，什么是 DDoS？他們已經(jīng)看到其他公司成為網(wǎng)絡(luò)攻擊的犧牲品，并想知道如何防止這種攻擊發(fā)生在他們身上。

2020 年 2 月，Amazon Web Services 遭受了持續(xù)近三天的大規(guī)模 DDoS 攻擊，還影響了無數(shù)其他依賴 AWS 的發(fā)布商和網(wǎng)站所有者。目標(biāo) IP 地址比正常發(fā)送的數(shù)據(jù)量增加了 56-70 倍。

2018 年，GitHub 遭受了當(dāng)時有記錄以來最大的 DDoS 攻擊。盡管每秒 1.3 TB 的數(shù)據(jù)（Tbps）和每秒 126.9 個數(shù)據(jù)包（Pps）淹沒了 GitHub 的服務(wù)器，但由于 Github 強(qiáng)大的 DDoS 保護(hù)措施，這次攻擊僅使 GitHub 離線 20 分鐘。

這種高度可變的效力和風(fēng)險水平表明，公司必須優(yōu)先考慮減輕潛在 DDoS 攻擊造成的損害。隨著越來越多的流量在線以及敏感數(shù)據(jù)和服務(wù)繼續(xù)保值，這些網(wǎng)絡(luò)攻擊只會越來越多。

在這篇文章中，我們將按照DDoS的思路介紹以下領(lǐng)域：

• 什么是 DDoSing？
• 如何檢測攻擊？
• 有哪些DDoS 攻擊的例子？
• 有哪些不同類型的攻擊？
• 如何防范這些攻擊？

防御 DDoS 的最重要方面可能是早期檢測。如果您的組織可以及早識別 DDoS 攻擊，您可以采取措施減輕損害、限制流量并提高未來的安全性。

如何檢測 DDoS 攻擊

那么，什么是 DDoSing，如何檢測它？DDoS 是指當(dāng)您的服務(wù)器、網(wǎng)站、應(yīng)用程序、基礎(chǔ)設(shè)施或其他資產(chǎn)充斥著來自惡意行為者的請求，這些請求試圖關(guān)閉或使您的服務(wù)脫機(jī)時，就會發(fā)生 DDoS。盡管托管解決方案的安全措施各不相同，但即使是最堅固的專用服務(wù)器托管也可能仍然容易受到 DDoS 攻擊。

很難確定 DDoS 攻擊何時發(fā)生而不是合法的服務(wù)故障。DDoS 攻擊通常表現(xiàn)為合法流量或服務(wù)器停機(jī)。為了確定地識別攻擊，使用分析工具進(jìn)行進(jìn)一步調(diào)查可以幫助發(fā)現(xiàn)DDoS 的一些跡象：

• 對單個頁面的請求出現(xiàn)可疑峰值。
• 沒有妥協(xié)歷史的應(yīng)用程序或服務(wù)器被關(guān)閉。
• 來自單個 IP 地址或一系列 IP 地址的大量流量。
• 來自具有相似特征的用戶的流量。
• 您的業(yè)??務(wù)或網(wǎng)站在奇數(shù)時間或其他非典型流量模式的流量模式峰值。

檢測 DDoS 還與意識有關(guān)，并確保您熟悉一些攻擊示例。讓我們分解幾種類型的 DDoS 攻擊來展示 DDoS 保護(hù)的工作原理。

DDoS 攻擊示例

現(xiàn)實世界中的 DDoS 是什么？我們已經(jīng)提到了一些針對 Amazon 和 GitHub 的高調(diào)攻擊。這些真實世界的例子可以讓我們更好地了解網(wǎng)絡(luò)犯罪分子的趨勢以及我們?nèi)绾卧谖磥砑訌?qiáng) DDoS 保護(hù)。

最早記錄的 DDoS 攻擊之一發(fā)生在 2000 年，當(dāng)時一名化名為“MafiaBoy ”的青少年黑客能夠以巨大的流量淹沒許多大學(xué)和企業(yè)。可以公平地說，從那時起，DDoS 已經(jīng)呈指數(shù)級發(fā)展，并且至今仍在影響著主要行業(yè)。

在 2020 年 2 月針對 AWS 的網(wǎng)絡(luò)攻擊僅幾個月后，谷歌就披露了針對其服務(wù)的 DDoS 攻擊的詳細(xì)信息，并以 2.6 Tbps 的速度注冊了更高的攻擊速度。各種規(guī)模的公司都面臨著這種日益增長的網(wǎng)絡(luò)威脅的風(fēng)險。

DDoS 攻擊可以根據(jù)它們針對的服務(wù)層分為三大類：容量攻擊、協(xié)議攻擊和應(yīng)用程序攻擊。讓我們逐一檢查并了解它們?nèi)绾斡绊懢哂蠽PS DDoS 保護(hù)的站點。

體積攻擊

當(dāng)大量非法流量淹沒您的服務(wù)器、網(wǎng)站或其他資源時，就會發(fā)生容量攻擊。也稱為基于容量的攻擊，容量攻擊以每秒比特數(shù) (BPS) 為單位。幾種類型的容量攻擊包括用戶數(shù)據(jù)報協(xié)議 (UDP)、互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP) 和垃圾泛濫攻擊。

簡單地說，什么是基于容量的 DDoS 攻擊？容量攻擊就像交通堵塞。想象一下，去上班并駛上匝道，卻發(fā)現(xiàn)高速公路上的每條車道都擠滿了汽車。你被卡住了，無法上路。然而，與交通擁堵不同的是，交通不僅僅是排隊等候。用戶會看到可怕的“無連接錯誤”，或者加載時間會減慢到令人沮喪的程度，導(dǎo)致用戶放棄最初的請求。

協(xié)議攻擊

當(dāng)您的基礎(chǔ)設(shè)施或部分基礎(chǔ)設(shè)施被過多的數(shù)據(jù)包淹沒時，就會發(fā)生協(xié)議攻擊。也稱為網(wǎng)絡(luò)層攻擊，協(xié)議 DDoS 攻擊以每秒數(shù)據(jù)包數(shù) (Pps) 為單位。不同類型的協(xié)議攻擊包括 Smurf DDoS、TCP 連接攻擊或 TCP SYN 洪水。

SYN 洪水（也稱為 TCP 連接攻擊）針對所謂的三向握手連接。這個常見的 TCP 連接點就是攻擊所利用的漏洞。在 SYN Flood 期間，“握手”請求被發(fā)送到目標(biāo)服務(wù)器，但從未完成。然后目標(biāo)端口將無法響應(yīng)任何請求。隨著越來越多的請求被發(fā)送，攻擊從那里蔓延，直到服務(wù)器關(guān)閉。

應(yīng)用層攻擊

答案 – 什么是 DDoS？– 如果不看看攻擊對應(yīng)用程序的影響，就不會完整。應(yīng)用層攻擊用惡意請求淹沒應(yīng)用程序，影響生成網(wǎng)頁和發(fā)出 HTTP 請求的服務(wù)層。這些應(yīng)用程序 DDoS 攻擊以每秒請求數(shù) (RPS) 為單位。

與傳統(tǒng)的容量攻擊相比，應(yīng)用層攻擊的發(fā)展速度往往較慢。這種較慢的速率允許請求看起來是合法的，直到它們足以使應(yīng)用程序不堪重負(fù)。

重要的是要記住，這些不同類型的攻擊通常相互協(xié)同工作。網(wǎng)絡(luò)犯罪分子很少會將所有精力集中在一個端點上。例如，初始應(yīng)用層攻擊之后可能是容量攻擊。站點所有者必須對所有端點進(jìn)行防御，以確保檢測到每種類型的 DDoS 攻擊。

如何防御 DDoS 攻擊

到目前為止，我們已經(jīng)回答了——什么是 DDoS 攻擊？我們已經(jīng)研究了不同類型的攻擊和檢測。但是 DDoS 保護(hù)如何工作？在保護(hù)您的服務(wù)器免受潛在的 DDoS 攻擊時，從主動的角度保持警惕非常重要。在 DDoS 保護(hù)領(lǐng)域需要考慮的一些有用概念包括：

• 了解您的流量模式：在網(wǎng)絡(luò)和服務(wù)器監(jiān)控工具的幫助下，您需要了解典型的入站流量。當(dāng)它急劇上升或超過正常范圍時，您可以采取適當(dāng)?shù)拇胧Ｖ档靡惶岬氖牵€應(yīng)該監(jiān)控攻擊期間的活動，以幫助破譯攻擊背后的原因。
• 安全勝于抱歉：除了緩解工具和過度配置帶寬外，考慮使用入侵檢測系統(tǒng) (IDS)和入侵保護(hù)系統(tǒng) (IPS) 進(jìn)行早期攻擊檢測、過濾器以阻止來自常見嫌疑人的數(shù)據(jù)包、丟棄所有格式錯誤/欺騙的數(shù)據(jù)包，并降低 SYN、ICMP 和 UDP 洪水丟棄的閾值。
• DDoS 緩解工具必不可少：對于大型或特別復(fù)雜的 DDoS 攻擊，緩解平臺和設(shè)備通常配備強(qiáng)大的基礎(chǔ)設(shè)施和先進(jìn)的檢測和監(jiān)控技術(shù)。當(dāng)假設(shè)的攻擊成為現(xiàn)實時，你會讓事情變得更容易，并感謝你所做的。