什么是DDoS攻击？

分布式拒绝服务（DDoS）攻击试图通过从多个来源向在线服务或网站发送海量互联网流量来使其不可用。被利用的机器可以包括计算机和其他网络资源，例如物联网设备。

拒绝服务（DoS）攻击使用一台计算机和一个互联网连接向目标资源发送大量数据包，而DDoS攻击则使用许多计算机和许多互联网连接，这些连接通常分布在全球，被称为**僵尸网络**。

大规模的DDoS攻击会产生每秒数十千兆比特（甚至数百千兆比特）的流量。普通网络无法处理如此大的流量。

攻击者通过电子邮件、网站和社交媒体传播恶意代码，从而构建一个由被黑客入侵的机器组成的网络，称为**僵尸网络**。一旦这些计算机被感染，就可以在用户不知情的情况下被远程控制，并用作攻击任何目标的军队。

DDoS攻击是如何工作的？

DDoS攻击是通过互联网连接的机器网络进行的。DDoS攻击可以通过以下步骤进行，例如：

1. 这些网络由感染了恶意软件的计算机和其他设备（如物联网设备）组成，这使得攻击者可以远程控制它们。这些单个设备被称为机器人或僵尸，而一组机器人则被称为**僵尸网络**。
2. 一旦建立了僵尸网络，攻击者就可以通过向每个机器人发送远程指令来发起攻击。它可以用于发送比服务器一次能处理的更多的连接请求。
3. 攻击者可以让计算机向受害者资源发送大量随机数据，以消耗目标带宽。
4. 当僵尸网络攻击受害者的服务器或网络时，每个机器人都会向目标IP地址发送请求，可能导致服务器或网络过载，从而导致合法流量被拒绝服务。

由于这些机器的分布式特性，它们可以用来产生难以处理的分布式高流量。最终导致服务完全中断。

DDoS攻击的类型

分布式拒绝服务攻击可分为以下三类：

1. 基于流量的攻击

基于流量的攻击使用大量虚假流量来压垮网站或服务器等资源。

它包括TCP洪水、UDP洪水、ICMP洪水和其他欺骗数据包洪水。这些也称为第3层和第4层攻击。在这里，攻击者试图使目标网站的带宽饱和。攻击幅度以**比特每秒**（bps）为单位。

• 放大攻击：攻击者发出一个请求，该请求会生成一个重要的响应，其中包括针对大型TXT记录的DNS请求以及针对大型文件（如图像、PDF或其他数据文件）的HTTP GET请求。
• UDP洪水：UDP洪水用于向远程主机上的随机端口发送大量UDP数据包，特别是端口号53。使用专用防火墙来过滤或阻止恶意的UDP数据包。
• ICMP洪水：这类似于UDP洪水，向远程主机发送大量ICMP Echo请求。这种类型的攻击会消耗出站和入站带宽，而大量的ping请求会导致整体系统减速。
• HTTP洪水：攻击者以大量HTTP GET和POST请求轰炸目标Web服务器，服务器无法处理，导致合法客户端的其他连接被拒绝。

2. 协议攻击

协议或网络层DDoS攻击将大量数据包发送到目标网络基础设施和基础设施管理工具。

它包括SYN洪水、死亡之ping、碎片包攻击、Smurf DDoS等。这类攻击消耗现有的服务器资源和其他资源，如防火墙和负载均衡器。攻击幅度以**每秒数据包**（PPS）为单位。

• SYN洪水：攻击者发送TCP连接请求的速度快于目标机器的处理速度，导致网络饱和。管理员可以通过调整TCP堆栈来减轻SYN洪水的影响。要减轻SYN洪水的影响，可以缩短堆栈释放连接分配内存的超时时间，或者使用**防火墙**或**iptables**选择性地丢弃传入连接。
• DNS洪水：DNS洪水用于攻击基础设施和DNS应用程序，以压垮目标系统并耗尽其所有可用网络带宽。
• 死亡之ping：攻击者使用简单的ping命令发送畸形或超大尺寸的数据包。IP允许发送65,535字节的数据包，但发送大于65,535字节的ping数据包违反了Internet协议，可能导致目标系统的内存溢出并最终崩溃系统。许多站点会在防火墙上完全阻止ICMP ping消息，以避免死亡之ping攻击及其变体。

3. 应用层攻击

通过恶意构造的请求来淹没应用程序，进行应用层攻击。应用层攻击的大小以每秒请求数（rps）衡量。

它包括Slowloris、零日DDoS攻击、针对Apache、Windows或OpenBSD漏洞的DDoS攻击等。这里的目标是使Web服务器崩溃。

• 应用程序攻击：也称为第7层攻击，攻击者发出过多的登录、数据库查找或搜索请求来压垮应用程序。第7层攻击很难检测，因为它们看起来像合法的网站流量。
• Slowloris：攻击者向目标Web服务器发送大量HTTP头，但从未完成请求。目标服务器保持每个伪连接打开，最终耗尽最大并发连接池，导致合法客户端的其他连接被拒绝。
• NTP放大：攻击者利用公开可用的网络时间协议（NTP）服务器，通过用户数据报协议（UDP）流量使目标服务器过载。
• 零日DDoS攻击：零日漏洞是供应商先前不知道且尚未修复或修补的系统或应用程序缺陷。这些是每天出现的新型攻击，例如利用尚未发布补丁的漏洞。

如何修复DDoS攻击

在选择DDoS防护服务提供商时，您必须非常小心。许多服务提供商会利用您的困境。如果您告诉他们您正在遭受DDoS攻击，他们就会开始以不合理的成本向您提供各种服务。

如果您看到DDoS攻击的幅度较小，可以找到许多基于防火墙的解决方案来帮助您过滤DDoS流量。如果您遭受了大规模的DDoS攻击，如以千兆比特甚至更高的流量，您应该寻求DDoS防护服务提供商的帮助，他们提供更全面、更主动、更真实的解决方案。

根据DDoS攻击的类型，您可以应用一些DDoS防护选项。

1. 阻止易受攻击的端口

您的DDoS防护始于识别并关闭系统中所有可能的操作系统和应用程序级别的漏洞，关闭所有可能的端口，从系统中删除不必要的访问，并将您的服务器隐藏在代理或CDN系统后面。

2. 配置防火墙和路由器

应配置防火墙和路由器以拒绝虚假流量，并应使用最新的安全补丁更新您的路由器和防火墙。它们是您的第一道防线。

在流量到达服务器之前集成到网络中的应用程序前端硬件会分析和筛选数据包，将数据分类为优先级、常规或危险，然后用于阻止威胁数据。

3. 考虑人工智能

虽然先进的防火墙和入侵检测系统是常见的防御手段，但人工智能正被用于开发新系统。

这些系统可以将互联网流量快速路由到云端进行分析，并在恶意Web流量到达公司计算机之前进行阻止。此类AI程序可以识别并防御已知的DDoS指示模式。此外，AI的自学习能力将有助于预测和识别未来的DDoS模式。

研究人员正在探索使用区块链（与比特币和其他加密货币相同的技术）来允许人们共享其未使用的带宽，以吸收DDoS攻击产生的恶意流量并使其无效。

4. 保护物联网设备

如果您有物联网设备，应确保您的设备经过配置以实现最大程度的保护。所有设备都应使用强密码。物联网设备容易受到弱密码的攻击，许多设备使用容易破解的默认密码运行。

强大的防火墙也很重要。保护您的设备是网络安全的重要组成部分。

5. 应用程序前端硬件

应用程序前端硬件是放置在网络上流量到达服务器之前的智能硬件。它可以与路由器和交换机一起在网络中使用。应用程序前端硬件在数据包进入系统时对其进行分析，然后将其标识为优先级、常规或危险。有25家以上的带宽管理供应商。

6. 黑洞和Sinkhole

通过**黑洞**路由，所有发往被攻击的DNS或IP地址的流量都将被发送到一个“黑洞”（空接口或不存在的服务器）。它由ISP管理，以提高效率并避免影响网络连接。

DNS**Sinkhole**将流量路由到一个有效的IP地址，该地址会分析流量并拒绝不良数据包。Sinkhole对于大多数严重的攻击效率不高。

7. 基于IPS的预防

如果攻击有相关签名，入侵防御系统（IPS）是有效的。然而，攻击的趋势是拥有合法内容但意图不良。基于内容识别的入侵防御系统无法阻止基于行为的DoS攻击。

基于ASIC的IPS可以检测和阻止拒绝服务攻击，因为它们具有处理能力和粒度来分析攻击并以自动化方式像断路器一样工作。

基于速率的IPS（RBIPS）必须对流量进行细粒度分析，并持续监控流量模式，确定是否存在流量异常。它必须允许合法流量通过，同时阻止DoS攻击流量。

8. 基于DDS的防御

与IPS相比，DoS防御系统（DDS）更专注于问题，可以阻止基于连接的DoS攻击以及具有合法内容但意图不良的攻击。DDS还可以解决协议攻击（如teardrop和ping of death）和基于速率的攻击（如ICMP洪水和SYN洪水）。DDS拥有专门设计的系统，可以以比基于软件的系统更快的速度识别和阻止拒绝服务攻击。

9. 交换机

大多数交换机都具备一定的速率限制和ACL功能。一些交换机提供自动或系统范围的速率限制、流量整形、延迟绑定（TCP splicing）、深度包检测和Bogon过滤（伪IP过滤），通过自动速率过滤以及WAN链路故障转移和负载均衡来检测和修复DoS攻击。

只要可以阻止DoS攻击，这些方案就会起作用。例如，可以使用延迟绑定或TCP splicing来防止SYN洪水。同样，可以使用深度包检测来防止基于内容的DoS。可以通过Bogon过滤来防止源自或流向暗地址的攻击。只要正确设置了速率阈值，自动速率过滤就可以工作。只要两个链路都有DoS/DDoS防护机制，WAN链路故障转移就可以工作。