什么是 DDoS 攻击（Distributed Denial of Service）？

1.写在前面

DDoS (Distributed Denial of Service) 攻击旨在通过毫无意义的连接请求、虚假数据包或其他恶意流量来禁用或关闭网站、Web 应用程序、云服务或其他在线资源。由于无法处理非法流量，目标会减慢到爬行速度或完全崩溃，从而使合法用户无法使用。

DDoS 攻击是更加广泛拒绝服务攻击（DoS）的一部分，其中包括所有减慢或停止应用程序或网络服务的网络攻击。DDoS 攻击的独特之处在于，它们同时从多个来源发送攻击流量，这将 “distributed（分布式）” 归为 “distributed denial-of-service（分布式拒绝服务）”。

实例：2000 年，使用网名 “Mafiaboy ” 的 15 岁男孩 Michael Calce 是首批 DDoS 攻击的幕后黑手之一。他入侵了多所不同大学的计算机网络。利用这些大学的服务器发动 DDoS 攻击，导致 eBay 和雅虎等多个网站瘫痪。2016 年，Dyn 遭受大规模 DDoS 攻击，导致 Netflix、PayPal、亚马逊和 GitHub 等主要网站和服务瘫痪。

2. DDoS 攻击的工作原理

与其他网络攻击不同，DDoS 攻击不会利用网络资源的漏洞来入侵计算机系统。相反，它们使用标准的网络连接协议，如超文本传输协议（HTTP）和传输控制协议（TCP），向端点、应用程序或其他资源发送超出其处理能力的流量。网络服务器、路由器或其他网络基础设施在任何时间只能处理有限数量的请求和维持有限数量的连接。通过占用资源的可用带宽，DDoS 攻击会阻止这些资源响应合法的连接请求和数据包。

概括地说，DDoS 攻击分为三个阶段：

第 1 阶段：选择目标

DDoS 攻击目标的选择源于攻击者的动机，而攻击者的动机可能多种多样。黑客利用 DDoS 攻击向组织勒索钱财，要求支付赎金才能结束攻击。另一些黑客则利用 DDoS 从事激进活动，攻击他们不认同的组织和机构。或者，不法分子利用 DDoS 攻击竞争企业，以使对方产生巨大经济损失流失客户。同时，一些国家在网络战中也常使用 DDoS 战术。

最常见的 DDoS 攻击目标包括：

在线零售商：DDoS 攻击会导致零售商的数字商店瘫痪，使客户在一段时间内无法购物，从而对零售商造成重大经济损失；
云服务提供商：亚马逊网络服务（AWS）、微软 Azure 和谷歌云平台等云服务提供商是 DDoS 攻击的热门目标。由于这些服务托管着其他企业的数据和应用程序，黑客只需一次攻击就能造成大范围的中断。2020 年，AWS 遭到了大规模 DDoS 攻击，最高峰时，恶意流量达到每秒 2.3 太比特。
金融机构：DDoS 攻击可导致银行服务脱机，使客户无法访问其账户。2012 年，美国六家主要银行遭到了协同的 DDoS 攻击，这可能是出于政治动机的行为。
软件即服务（SaaS）提供商。与云服务提供商一样，Salesforce、GitHub 和甲骨文等 SaaS 提供商也是极具吸引力的目标，黑客基于提供商可以同时破坏多个组织。2018 年，GitHub 遭受了当时有记录以来最大的 DDoS 攻击。
游戏公司：DDoS 攻击会使网络游戏服务器流量激增，从而中断游戏。这些攻击通常是由心怀不满的玩家以个人恩怨为由发起的，最初针对 Minecraft 服务器构建的 Mirai 僵尸网络就是这种情况。

第 2 阶段：创建（或租用或购买）僵尸网络

DDoS 攻击通常需要一个僵尸网络（一个由连接互联网设备组成的网络），这些设备感染了恶意软件，黑客可以远程控制这些设备。僵尸网络中的设备可包括笔记本电脑/台式电脑、手机、物联网设备以及其他消费或商业终端。这些被入侵设备的所有者通常并不知道它们已被感染或正被用于 DDoS 攻击。

一些网络犯罪分子从零开始建立僵尸网络，另一些则购买或租用预先建立的僵尸网络，这种模式被称为 “拒绝服务即服务（denial-of-service as a service）”。

注：并非所有 DDoS 攻击都使用僵尸网络，有些攻击利用未感染设备的正常运行达到恶意目的，见下文 “Smurf 攻击”。

第 3 阶段：发起攻击

黑客命令僵尸网络中的设备向目标服务器、设备或服务的 IP 地址发送连接请求或其他数据包。大多数 DDoS 攻击依靠暴力手段，发送大量请求以耗尽目标系统的所有带宽；有些 DDoS 攻击则发送数量较少但更复杂的请求，要求目标系统花费大量资源进行响应。无论哪种情况，结果都是一样的：通过攻击流量压倒目标系统，造成拒绝服务，阻止合法流量访问网站、网络应用程序、API 或网络。

黑客经常通过 IP 欺骗来掩盖攻击来源，网络犯罪分子通过这种技术为从僵尸网络发送的数据包伪造源 IP 地址。在一种名为 “反射（reflection） “的 IP 欺骗中，黑客会让恶意流量看起来像是从受害者自己的 IP 地址发送的。

3. DDoS 攻击的类型

DDoS 攻击类型通常根据开放系统互连 (OSI) 参考模型来命名或描述，该模型是一个概念框架，定义了七个网络层，有时也称为 OSI 七层模型。

3.1 应用层攻击（Application layer attacks）

顾名思义，应用层攻击的目标是 OSI 模型的应用层（第 7 层），也就是根据用户请求生成网页的那一层。应用层攻击通过大量恶意请求来破坏网络应用。

最常见的应用层攻击之一是 HTTP 洪水攻击，即攻击者从多个设备向同一个网站持续发送大量 HTTP 请求。网站无法跟上所有 HTTP 请求的速度，从而明显减速或完全崩溃。HTTP 洪水攻击类似于成百上千个网络浏览器重复刷新同一个网页。

应用层攻击相对容易发起，但却很难预防和缓解。随着越来越多的公司过渡到使用微服务和基于容器的应用程序，应用层攻击导致关键网络和云服务瘫痪的风险也随之增加。

3.2 协议攻击（Protocol attacks）

协议攻击以 OSI 模型的网络层（第 3 层）和传输层（第 4 层）为目标。它们旨在用恶意连接请求压垮防火墙、负载平衡器和网络服务器等关键网络资源。

常见的协议攻击包括：

SYN 洪水攻击：SYN 洪水攻击利用的是 TCP 握手（两台设备相互建立连接的过程）。

在典型的 TCP 握手过程中，一台设备发送一个 SYN 数据包以启动连接，另一台设备回应一个 SYN/ACK 数据包以确认请求，原始设备发回一个 ACK 数据包以最终完成连接。

在 SYN 洪水攻击中，攻击者向目标服务器发送大量带有欺骗源 IP 地址的 SYN 数据包。服务器向欺骗的 IP 地址发送响应，并等待最后的 ACK 数据包。由于源 IP 地址被欺骗，这些数据包永远不会到达。服务器被大量未完成的连接束缚，无法进行合法的 TCP 握手。

Smurf 攻击：Smurf 攻击利用了互联网控制消息协议 (ICMP)，这是一种用于评估两台设备之间连接状态的通信协议。在典型的 ICMP 交换中，一台设备向另一台设备发送 ICMP echo 请求，后者则以 ICMP echo 回应。

在 Smurf 攻击中，攻击者从一个与受害者 IP 地址匹配的欺骗 IP 地址发送 ICMP echo 请求。该 ICMP echo 请求被发送到一个 IP 广播网络，该网络会将该请求转发给定网络中的每台设备。每台接收到 ICMP echo 请求的设备（可能有成百上千台设备）都会向受害者的 IP 地址发送 ICMP echo 回复，向设备发送超过其处理能力的信息。与许多其他类型的 DDoS 攻击不同，smurf 攻击不一定需要僵尸网络。

3.3 容量攻击（Volumetric attacks）

容量型 DDoS 攻击会消耗目标网络内或目标服务与互联网其他部分之间的所有可用带宽，从而阻止合法用户连接到网络资源。即使与其他类型的 DDoS 攻击相比，容量型攻击也常常以极高的流量淹没网络和资源。据了解，容量攻击会使 DDoS 防护措施（如用于从合法流量中过滤恶意流量的检测中心）不堪重负。

常见的容量攻击类型包括：

UDP floods： 这些攻击会向目标主机的端口发送伪造的用户数据报协议（UDP）数据包，促使主机寻找接收这些数据包的应用程序。由于 UDP 数据包是伪造的，因此没有应用程序接收这些数据包，主机必须向发送者发送 ICMP “目标不可达 “信息。主机的资源被用于响应源源不断的虚假 UDP 数据包，导致主机无法响应合法数据包。

ICMP floods：这些攻击也称为 “ping 洪水攻击”，从多个欺骗 IP 地址向目标发出 ICMP 回显请求。目标服务器必须对所有这些请求做出响应，因此会超负荷，无法处理有效的 ICMP echo 请求。ICMP 洪水攻击与 smurf 攻击的区别在于，攻击者从僵尸网络发送大量 ICMP 请求，而不是诱骗网络设备向受害者的 IP 地址发送 ICMP 响应。

DNS amplification attacks: 在这种情况下，攻击者会向一个或多个公共 DNS 服务器发送多个域名系统 (DNS) 查询请求。这些查询请求使用属于受害者的伪造 IP 地址，并要求 DNS 服务器为每个请求返回大量信息。然后，DNS 服务器回复请求，向受害者的 IP 地址灌入大量数据。

3.4 多载体攻击(Multivector attacks)

顾名思义，多载体攻击利用多个攻击载体，以最大限度地造成破坏，并挫败 DDoS 缓解工作。攻击者可能会同时使用多个载体，或者在一个载体受挫时，在攻击中途切换载体。例如，黑客可能一开始使用 Smurf 攻击，但一旦来自网络设备的流量被关闭，他们就会从僵尸网络中发起 UDP 洪水攻击。

DDoS 威胁还可能与其他网络攻击同时使用。例如，勒索软件攻击者可能会向受害者施压，威胁说如果不支付赎金，就会发动 DDoS 攻击。

4. 为什么 DDoS 攻击如此普遍?

DDoS 攻击之所以能长期存在，并日益受到网络犯罪分子的青睐，是因为:

（1）它们几乎不需要任何技能就能实施，通过从其他黑客那里租用现成的僵尸网络，网络犯罪分子只需稍作准备或计划，就能轻松地发起 DDoS 攻击。

（2）难以检测，由于僵尸网络主要由消费者和商业设备组成，企业很难将恶意流量与真实用户区分开来。此外，DDoS 攻击的症状：服务缓慢、网站和应用程序暂时不可用，也可能是合法流量突然激增造成的，因此很难在最初阶段发现 DDoS 攻击。

（3）难以缓解，一旦识别出 DDoS 攻击，网络攻击的分布式性质意味着企业不能简单地通过关闭单一流量源来阻止攻击。如:缓解 DDoS 攻击的标准网络安全控制措施（如速率限制）也会降低合法用户的运行速度。

（4）潜在的僵尸网络设备比以往任何时候都多，物联网（IoT）的兴起为黑客提供了丰富的设备来源，使他们可以把这些设备变成僵尸网络。联网的电器、工具/小工具，包括医疗保健设备和制造系统等操作技术（OT），在销售和操作时通常采用通用默认设置，安全控制薄弱或根本不存在，因此特别容易感染恶意软件。由于物联网和 OT 设备通常是被动使用或不经常使用，这些设备的所有者可能很难注意到它们已被入侵。

随着黑客采用人工智能（AI）和机器学习（ML）工具来帮助引导他们的攻击，DDoS 攻击正变得越来越复杂。这导致了自适应 DDoS 攻击的兴起，这种攻击利用人工智能和 ML 找到系统中最脆弱的方面，并根据网络安全团队的 DDoS 缓解工作自动改变攻击载体和策略。

5. DDoS 攻击的成本、规模和影响不断增长

DDoS 攻击的目的是破坏系统运行，这会给企业带来高昂的成本。根据 IBM 的《2022 年数据泄露的成本》报告，网络攻击造成的服务中断、系统宕机和其他业务中断平均会让企业损失 142 万美元。2021 年，一次 DDoS 攻击使 VoIP 提供商损失近 1200 万美元。

有记录以来最大的一次 DDoS 攻击是 2021 年 11 月针对微软 Azure 客户发起的，每秒产生 3.47 太比特的恶意流量。攻击者使用一个由全球 10,000 台设备组成的僵尸网络，每秒向受害者发送 3.4 亿个数据包。

DDoS 攻击也被用来对付政府，包括 2021 年对比利时的攻击。黑客以政府运营的互联网服务提供商（ISP）为目标，切断了 200 多个政府机构、大学和研究机构的互联网连接。

同时，黑客也越来越多地不把 DDoS 作为主要攻击手段，而是利用它来分散受害者的注意力，使其不再关注更严重的网络犯罪，例如，当网络安全团队忙于抵御 DDoS 攻击时，黑客会窃取数据或在网络上部署勒索软件。

6. DDoS 防护、检测和缓解

DDoS 缓解和保护工作通常依赖于尽快转移恶意流量，例如将网络流量路由到清洗中心或使用负载均衡器重新分配攻击流量。为此，旨在加强防御 DDoS 攻击的公司可以采用能够识别和拦截恶意流量的技术，包括:

（1）网络应用防火墙：如今，大多数组织都使用边界和网络应用防火墙（WAF）来保护其网络和应用程序免遭恶意的攻击。标准防火墙在端口级别提供保护，而 WAF 则在将请求转发到网络服务器之前确保请求安全。WAF 知道哪类请求是合法的，哪类请求是非法的，从而可以丢弃恶意流量，防止应用层攻击。

（2）内容交付网络（CDN）：CDN 是一个分布式服务器网络，可以帮助用户更快速、更可靠地访问在线服务。有了 CDN，用户的请求就不会一直返回到服务的源服务器。相反，它们会被路由到地理位置更近的 CDN 服务器，由其提供内容。CDN 可以提高服务的总体流量容量，从而帮助抵御 DDoS 攻击。如果 CDN 服务器因 DDoS 攻击而瘫痪，用户流量可被路由到网络中其他可用的服务器资源。

（3）SIEM （安全信息和事件管理）：SIEM 系统提供一系列功能，用于在 DDoS 攻击和其他网络攻击的生命周期早期对其进行检测，包括日志管理和网络洞察。SIEM 可以监控连接设备和应用程序的安全事件和异常行为，如过度 ping 或非法连接请求。SIEM 会标记这些异常情况，以便网络安全团队采取适当措施。

（4）检测和响应技术：端点检测和响应 (EDR)、网络检测和响应 (NDR) 以及扩展检测和响应 (XDR) 解决方案均采用先进的分析和人工智能技术来监控网络基础设施，以发现入侵迹象（如可能预示着 DDoS 攻击的异常流量模式），并利用自动化功能实时响应正在发生的攻击（如终止可疑的网络连接）。

感谢您花时间阅读文章!