分布式拒絕服務(wù)（DDoS）攻擊現(xiàn)象于20世紀(jì)90年代中期首次出現(xiàn)，此后經(jīng)歷了巨大的演變。在其誕生之初，這主要是黑客行動(dòng)主義者的特權(quán)，他們將主要互聯(lián)網(wǎng)服務(wù)下線，以此作為抗議網(wǎng)絡(luò)審查和有爭(zhēng)議的政治舉措的標(biāo)志。

快進(jìn)到今天，情況就更可怕了。DDoS攻擊不僅非常復(fù)雜和有影響力，而且正在形成一個(gè)巨大的網(wǎng)絡(luò)犯罪經(jīng)濟(jì)體，其運(yùn)營(yíng)商越來(lái)越善于將他們的惡作劇貨幣化

最新加入到他們的類型是什么所謂的勒索DDoS。它的邏輯是對(duì)一個(gè)組織發(fā)動(dòng)破壞性的攻擊，然后要求為中止該組織支付費(fèi)用。

乍一看，DDoS背后的想法似乎很簡(jiǎn)單：用超出其處理能力的數(shù)據(jù)包淹沒(méi)網(wǎng)絡(luò)或web服務(wù)器。這不是一個(gè)誤解，但是這個(gè)模型有點(diǎn)過(guò)于簡(jiǎn)單化了。

惡意參與者的手冊(cè)中有許多惡作劇，使他們能夠多樣化的攻擊載體，并選擇一個(gè)利用特定受害者的痛點(diǎn)。例如，作為初始偵察的一部分，如果攻擊者在探測(cè)企業(yè)網(wǎng)絡(luò)的安全弱點(diǎn)時(shí)發(fā)現(xiàn)有漏洞的web應(yīng)用程序，他們可能會(huì)將其用作DDoS攻擊的啟動(dòng)平臺(tái)。

盡管您在網(wǎng)上看到的大多數(shù)防御都與使用諸如Cloudflare之類的交鑰匙DDoS緩解服務(wù)有關(guān)，但部分保護(hù)還是由程序員決定的。編碼粗糙的web應(yīng)用程序很容易受到SQL注入的影響，SQL注入是一種狡猾的機(jī)制，因其是DDoS入侵的常見(jiàn)來(lái)源而臭名昭著

一旦發(fā)現(xiàn)這樣一個(gè)漏洞，攻擊者就會(huì)裁剪一個(gè)適當(dāng)?shù)牟樵?，并將其迭代地注入目?biāo)網(wǎng)站，使服務(wù)器崩潰。跨站點(diǎn)腳本（XSS）缺陷也說(shuō)明了缺陷，使得犯罪分子可以用惡意查詢和惡意軟件充斥整個(gè)站點(diǎn)。

清理web應(yīng)用程序的代碼以消除SQL、XSS和其他漏洞是程序員可以而且必須參與的一個(gè)領(lǐng)域

除了加強(qiáng)對(duì)web服務(wù)的保護(hù)以抵御DDoS災(zāi)難之外，這也是創(chuàng)建穩(wěn)定代碼、提供無(wú)摩擦用戶體驗(yàn)的先決條件。

你知道你的DDoS攻擊點(diǎn)嗎？

在網(wǎng)絡(luò)安全問(wèn)題上，意識(shí)是成功的一半。如果您知道組織的IT基礎(chǔ)架構(gòu)中可能被DDoS參與者利用的薄弱環(huán)節(jié)，您可以確定防御的優(yōu)先級(jí)，至少可以將遇到單點(diǎn)故障（SPOF）場(chǎng)景的風(fēng)險(xiǎn)降至最低。

研究人員挑出了三大類DDoS攻擊：體積攻擊、網(wǎng)絡(luò)協(xié)議攻擊和應(yīng)用層攻擊。它們?cè)诰W(wǎng)絡(luò)體系結(jié)構(gòu)的目標(biāo)組件和用于執(zhí)行突襲的機(jī)制上有所不同。

每一種都跨越了從TCP三方握手攻擊到使用合法網(wǎng)絡(luò)壓力測(cè)試工具的強(qiáng)大攻擊的一小部分子類型。

下面的分解將讓您了解常見(jiàn)攻擊方法背景下的當(dāng)代DDoS威脅形勢(shì)。如果您是一名程序員，該列表可以讓您對(duì)您可以關(guān)注的領(lǐng)域有一些可操作的見(jiàn)解，以防止您的代碼被DDoS運(yùn)營(yíng)商錯(cuò)誤處理。

體積攻擊

也被稱為基于卷的攻擊，這些DDoS入侵會(huì)使大量計(jì)算機(jī)和偽造的internet連接充斥網(wǎng)絡(luò)或網(wǎng)站，使其無(wú)法處理更多的流量數(shù)據(jù)包。這種流量放大策略的結(jié)果是合法用戶不能再訪問(wèn)資源。

• UDP Flood。要執(zhí)行此攻擊，威脅行動(dòng)者會(huì)向服務(wù)器發(fā)送大量欺騙性的用戶數(shù)據(jù)報(bào)協(xié)議（UDP）數(shù)據(jù)包，直到它無(wú)法處理合法查詢?yōu)橹?。由于UDP連接具有有限的源IP驗(yàn)證機(jī)制，因此這種入侵可能會(huì)在目標(biāo)防御的雷達(dá)范圍內(nèi)進(jìn)行。

• ICMP Flood。也稱為Ping Flood，此攻擊利用了許多惡意Internet控制消息協(xié)議（ICMP）ping。服務(wù)器配置為使用單獨(dú)的流量數(shù)據(jù)包答復(fù)每個(gè)此類回顯請(qǐng)求，因此服務(wù)器最終將耗盡資源并變得無(wú)響應(yīng)。

• DNS Flood。攻擊者用大量模仿大量IP地址的虛假請(qǐng)求數(shù)據(jù)包淹沒(méi)了DNS服務(wù)器。就預(yù)防和緩解而言，DNS Flood是最嚴(yán)重的DDoS攻擊之一。

• 脆弱的攻擊。這個(gè)使用多個(gè)UDP數(shù)據(jù)包，其中包含受害者路由器的欺騙IP地址。當(dāng)不停地回復(fù)自身并嘗試解決這些表面上正常的請(qǐng)求時(shí)，設(shè)備將失敗。

• 高級(jí)持久性DoS（APDoS）。當(dāng)網(wǎng)絡(luò)犯罪分子結(jié)合使用不同的放大技術(shù)使網(wǎng)絡(luò)癱瘓時(shí)，該術(shù)語(yǔ)適用。這樣的襲擊可能持續(xù)數(shù)周，并且往往比大多數(shù)襲擊造成更大的損失。

• 零日DoS 。名稱不言而喻：攻擊利用網(wǎng)絡(luò)或服務(wù)器中未記錄的缺陷來(lái)破壞其運(yùn)行。這就解釋了組織在阻止此類攻擊方面的準(zhǔn)備水平很低。

網(wǎng)絡(luò)協(xié)議攻擊

與體積攻擊不同的是，網(wǎng)絡(luò)協(xié)議攻擊試圖從服務(wù)器資源而不是帶寬中抽取資源。它們通常以防火墻或輔助互聯(lián)網(wǎng)通信設(shè)備（如負(fù)載均衡器）為目標(biāo)。向這些實(shí)體發(fā)出的大量惡意協(xié)議請(qǐng)求最終消耗了它們的所有容量。

• SYN Flood。為了發(fā)動(dòng)這種攻擊，犯罪分子錯(cuò)誤地處理了TCP三方握手（用于通過(guò)TCP協(xié)議在客戶端、主機(jī)和服務(wù)器之間建立連接）。SYN（synchronize）包在這個(gè)模型中的作用是請(qǐng)求與服務(wù)器的連接。騙子從偽造的IP地址提交大量SYN請(qǐng)求，從而導(dǎo)致合法用戶拒絕服務(wù)。

• 陸地攻擊?？s寫(xiě)詞代表局域網(wǎng)拒絕。這種策略涉及到源IP和目標(biāo)IP相同的粗略SYN請(qǐng)求。這些消息使接收服務(wù)器感到困惑，它在試圖對(duì)自身做出響應(yīng)時(shí)最終會(huì)停機(jī)。

• SYN-ACK Flood。這種基于協(xié)議的攻擊篡改了TCP連接階段，即服務(wù)器提交SYN-ACK消息以確認(rèn)客戶端的請(qǐng)求。罪犯用這種流氓數(shù)據(jù)包把服務(wù)器塞滿。服務(wù)器浪費(fèi)資源試圖弄清楚為什么它以不正確的順序接收這些消息，這與TCP三方握手邏輯相矛盾。

• 確認(rèn)和推送確認(rèn)Flood。這一個(gè)混淆了大量傳入ACK和PUSH ACK數(shù)據(jù)包的服務(wù)器。由于目標(biāo)無(wú)法理解如何處理這些消息，因此它達(dá)到了內(nèi)存和CPU閾值。

• 碎片ACK Flood。對(duì)手用零碎的ACK消息轟炸網(wǎng)絡(luò)。路由器分配了太多的處理能力來(lái)嘗試重新組合這些數(shù)據(jù)包。這種破壞性效果可以通過(guò)相對(duì)較少的此類消息來(lái)實(shí)現(xiàn)。雪上加霜的是，這些分裂的數(shù)據(jù)包可以潛入入侵檢測(cè)系統(tǒng)（IDS）。

• SSDP Flood。SSDP代表簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議。它構(gòu)成了通用即插即用（UPnP）網(wǎng)絡(luò)協(xié)議集。為了執(zhí)行SSDP洪水攻擊，一個(gè)犯罪分子將包含受害者服務(wù)器的IP地址的小UDP數(shù)據(jù)包發(fā)送到許多使用UPnP服務(wù)的設(shè)備。服務(wù)器由于從這些設(shè)備接收到無(wú)數(shù)查詢而崩潰。

• SNMP Flood。此DDoS向量寄生于簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP），該協(xié)議收集并組織與連接設(shè)備相關(guān)的數(shù)據(jù)。騙子將一堆包含目標(biāo)服務(wù)器偽造IP的小數(shù)據(jù)包發(fā)送到使用SNMP的路由器或交換機(jī)。這些設(shè)備配置為答復(fù)該源IP。異常流量最終會(huì)導(dǎo)致服務(wù)器停機(jī)。

• NTP Flood。網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）用于網(wǎng)絡(luò)間的時(shí)鐘同步。惡意參與者可以利用安全性不高的NTP服務(wù)器，利用冗余的UDP數(shù)據(jù)包淹沒(méi)計(jì)算機(jī)網(wǎng)絡(luò)，從而濫用此功能。

• VoIP Flood。這是一個(gè)家庭在易于訪問(wèn)的互聯(lián)網(wǎng)語(yǔ)音協(xié)議（VoIP）服務(wù)器。目標(biāo)網(wǎng)絡(luò)中充斥著大量來(lái)自不同IP的惡意VoIP消息，這些消息被錯(cuò)誤地解釋為合法消息。

• CHARGEN Flood。字符生成器協(xié)議（CHARGEN）于20世紀(jì)80年代推出，可能被認(rèn)為已經(jīng)過(guò)時(shí)。不過(guò)，一些打印機(jī)、復(fù)印機(jī)和DDoS運(yùn)營(yíng)商仍在使用它。將攜帶目標(biāo)服務(wù)器IP地址的小數(shù)據(jù)包提交到支持CHARGEN的連接設(shè)備會(huì)導(dǎo)致設(shè)備將多個(gè)UDP數(shù)據(jù)包發(fā)送回服務(wù)器，從而耗盡服務(wù)器的容量。

• Smurf攻擊。這個(gè)程序使用一個(gè)名為Smurf的惡意應(yīng)用程序向大量連接的設(shè)備發(fā)送包含受害者IP地址的ICMP回顯請(qǐng)求。因此，服務(wù)器接收的流量數(shù)據(jù)包太多，無(wú)法繼續(xù)正常運(yùn)行。

• Ping死亡攻擊。犯罪分子用其大小超過(guò)最大允許值（64字節(jié)）的ping數(shù)據(jù)包淹沒(méi)網(wǎng)絡(luò)。試圖重新組裝這些非正統(tǒng)實(shí)體時(shí)，服務(wù)器崩潰。

• IP空攻擊。此raid依賴于其標(biāo)頭參數(shù)設(shè)置為null的IPv4數(shù)據(jù)包。因?yàn)榻邮盏膚eb服務(wù)器可能無(wú)法處理這些奇怪的消息，所以會(huì)遇到拒絕服務(wù)情況。

應(yīng)用層攻擊

顧名思義，這些DDoS攻擊發(fā)生在開(kāi)放系統(tǒng)互連（OSI）概念模型的應(yīng)用層（“第7層”）。它們利用web應(yīng)用程序中已知的或零日漏洞。這些攻擊被認(rèn)為是最復(fù)雜和最難發(fā)現(xiàn)的。

• HTTP Flood。攻擊者使用偽造的GET或POST請(qǐng)求轟炸web應(yīng)用程序以中斷其操作。這個(gè)向量通常利用僵尸計(jì)算機(jī)組成的僵尸網(wǎng)絡(luò)來(lái)模擬合法的流量

• 單會(huì)話HTTP Flood。這一個(gè)涉及一個(gè)HTTP會(huì)話，它生成一系列隱藏在同一個(gè)HTTP包中的請(qǐng)求。這種伎倆不僅讓騙子擴(kuò)大了影響，還蒙蔽了一些將此類流量視為良性流量的網(wǎng)絡(luò)防御系統(tǒng)。

• 遞歸HTTP GET Flood。在這一攻擊的早期階段，對(duì)手向服務(wù)器請(qǐng)求大量網(wǎng)頁(yè)并仔細(xì)檢查響應(yīng)。接下來(lái)，迭代地請(qǐng)求每個(gè)網(wǎng)站組件，直到服務(wù)器耗盡資源。

• 隨機(jī)遞歸GET Flood。這種技術(shù)可以用來(lái)關(guān)閉博客、論壇和其他類型的包含遞歸頁(yè)面的站點(diǎn)。攻擊者從有效范圍內(nèi)隨機(jī)選擇頁(yè)碼來(lái)模擬普通用戶，然后生成大量GET請(qǐng)求以降低目標(biāo)的性能。

• 欺騙會(huì)話 Flood。為了執(zhí)行這次突襲，犯罪者混合使用了一個(gè)偽造的SYN包、幾個(gè)ACK包和一個(gè)或多個(gè)RST（重置）或FIN（連接終止）包。一些保護(hù)系統(tǒng)不檢查返回的交通，因此這種攻擊將滑到他們的雷達(dá)之下。

• 低軌道離子炮（LOIC）。這個(gè)開(kāi)源的LOIC工具最初是為了幫助安全專業(yè)人員進(jìn)行網(wǎng)絡(luò)壓力測(cè)試而設(shè)計(jì)的，也是DDoS運(yùn)營(yíng)商的最愛(ài)之一。它經(jīng)常被濫用，用大量的TCP、UDP和HTTP數(shù)據(jù)包淹沒(méi)服務(wù)器。

• 高軌道離子炮（HOIC）。與LOIC類似，這是一種失控的網(wǎng)絡(luò)壓力測(cè)試工具。犯罪分子正在大量使用其巨大的威力，通過(guò)使用帶有大量GET和httppost數(shù)據(jù)包的ddos服務(wù)器來(lái)傳播混亂。HOIC可以同時(shí)針對(duì)256個(gè)域。

• Slowloris。這種復(fù)雜的入侵只需要一臺(tái)計(jì)算機(jī)就可以執(zhí)行。騙子打開(kāi)多個(gè)并發(fā)連接到一個(gè)web服務(wù)器，并通過(guò)零碎的額外數(shù)據(jù)包和新的HTTP報(bào)頭持續(xù)維護(hù)它們。由于這些請(qǐng)求從未達(dá)到完成階段，因此會(huì)耗盡目標(biāo)的資源。

• 誤用應(yīng)用程序攻擊。威脅參與者滲入運(yùn)行資源密集型應(yīng)用程序（如P2P軟件）的計(jì)算機(jī)，然后將大量流量從這些客戶端計(jì)算機(jī)重新路由到服務(wù)器。

• 重做。這個(gè)術(shù)語(yǔ)代表“正則表達(dá)式拒絕服務(wù)”。為了使這種攻擊成功，惡意分子通過(guò)算法復(fù)雜的字符串搜索查詢來(lái)壓倒特定程序，從而降低底層服務(wù)器的性能。

躲避威脅

即使是大公司也可能缺乏帶寬來(lái)應(yīng)對(duì)DDoS攻擊者人為造成的流量急劇增加。標(biāo)準(zhǔn)網(wǎng)絡(luò)設(shè)備配備了有限的DDoS緩解機(jī)制。這一問(wèn)題在中小企業(yè)的生態(tài)系統(tǒng)中表現(xiàn)得更為明顯，在中小企業(yè)中，以有限的預(yù)算建立保護(hù)系統(tǒng)是常態(tài)。

在這種情況下，最好的防御是多管齊下。支持DDoS保護(hù)的最佳方法之一是將其外包給基于云的解決方案，如Akamai、Sucuri、Netscout或Cloudflare，這些解決方案按使用付費(fèi)提供高級(jí)預(yù)防和緩解服務(wù)。在最壞的情況下，這是你的B計(jì)劃。

為了抵御上面描述的應(yīng)用層攻擊，組織內(nèi)的IT團(tuán)隊(duì)?wèi)?yīng)該遵循適當(dāng)?shù)拇a審計(jì)實(shí)踐。這將最大限度地減少企業(yè)環(huán)境中部署的web應(yīng)用程序中可利用的漏洞的數(shù)量。

入侵防御系統(tǒng)（IPS）和web應(yīng)用防火墻（WAF）的組合將使其更上一層樓。可靠的IPS將保護(hù)您的網(wǎng)絡(luò)免受漏洞攻擊、惡意軟件和停機(jī)。一個(gè)有效的WAF反過(guò)來(lái)可以保護(hù)您的web應(yīng)用程序免受SQL注入、跨站點(diǎn)腳本和跨站點(diǎn)偽造攻擊，這些攻擊是DDoS參與者的一部分。

一個(gè)額外的提示是讓你的系統(tǒng)保持最新。修補(bǔ)您的數(shù)字基礎(chǔ)設(shè)施將遏制惡意行為者提供很少或沒(méi)有回旋余地。

你的系統(tǒng)準(zhǔn)備好了嗎？

盡管DDoS是網(wǎng)絡(luò)犯罪領(lǐng)域的老生常談，但它仍然是一個(gè)嚴(yán)重的問(wèn)題，您需要采取有效的應(yīng)對(duì)措施。最重要的是，它正在迅速發(fā)展。其中一些突襲行動(dòng)依靠惡意軟件、物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)和開(kāi)源網(wǎng)絡(luò)壓力測(cè)試框架來(lái)擴(kuò)大其影響范圍。更糟糕的是，一些新穎的攻擊增加了敲詐。

從一開(kāi)始就評(píng)估您的IT基礎(chǔ)架構(gòu)，以確定最容易受到體積、應(yīng)用層和基于協(xié)議的DDoS攻擊的組件，這將有助于您的組織在保護(hù)方面實(shí)現(xiàn)飛躍。

除了適當(dāng)?shù)木幋a衛(wèi)生，確保你應(yīng)用軟件補(bǔ)丁一旦可用，并配置您的網(wǎng)絡(luò)設(shè)備，使其內(nèi)置防御的最大限度。另外，考慮利用基于云的DDoS緩解服務(wù)和IPS進(jìn)一步強(qiáng)化公司的安全態(tài)勢(shì)。