分布式拒絕服務(wù)（DDoS）攻擊現(xiàn)象于20世紀90年代中期首次出現(xiàn)，此后經(jīng)歷了巨大的演變。在其誕生之初，這主要是黑客行動主義者的特權(quán)，他們將主要互聯(lián)網(wǎng)服務(wù)下線，以此作為抗議網(wǎng)絡(luò)審查和有爭議的政治舉措的標志。

快進到今天，情況就更可怕了。DDoS攻擊不僅非常復(fù)雜和有影響力，而且正在形成一個巨大的網(wǎng)絡(luò)犯罪經(jīng)濟體，其運營商越來越善于將他們的惡作劇貨幣化

最新加入到他們的類型是什么所謂的勒索DDoS。它的邏輯是對一個組織發(fā)動破壞性的攻擊，然后要求為中止該組織支付費用。

乍一看，DDoS背后的想法似乎很簡單：用超出其處理能力的數(shù)據(jù)包淹沒網(wǎng)絡(luò)或web服務(wù)器。這不是一個誤解，但是這個模型有點過于簡單化了。

惡意參與者的手冊中有許多惡作劇，使他們能夠多樣化的攻擊載體，并選擇一個利用特定受害者的痛點。例如，作為初始偵察的一部分，如果攻擊者在探測企業(yè)網(wǎng)絡(luò)的安全弱點時發(fā)現(xiàn)有漏洞的web應(yīng)用程序，他們可能會將其用作DDoS攻擊的啟動平臺。

盡管您在網(wǎng)上看到的大多數(shù)防御都與使用諸如Cloudflare之類的交鑰匙DDoS緩解服務(wù)有關(guān)，但部分保護還是由程序員決定的。編碼粗糙的web應(yīng)用程序很容易受到SQL注入的影響，SQL注入是一種狡猾的機制，因其是DDoS入侵的常見來源而臭名昭著

一旦發(fā)現(xiàn)這樣一個漏洞，攻擊者就會裁剪一個適當?shù)牟樵?，并將其迭代地注入目標網(wǎng)站，使服務(wù)器崩潰。跨站點腳本（XSS）缺陷也說明了缺陷，使得犯罪分子可以用惡意查詢和惡意軟件充斥整個站點。

清理web應(yīng)用程序的代碼以消除SQL、XSS和其他漏洞是程序員可以而且必須參與的一個領(lǐng)域

除了加強對web服務(wù)的保護以抵御DDoS災(zāi)難之外，這也是創(chuàng)建穩(wěn)定代碼、提供無摩擦用戶體驗的先決條件。

你知道你的DDoS攻擊點嗎？

在網(wǎng)絡(luò)安全問題上，意識是成功的一半。如果您知道組織的IT基礎(chǔ)架構(gòu)中可能被DDoS參與者利用的薄弱環(huán)節(jié)，您可以確定防御的優(yōu)先級，至少可以將遇到單點故障（SPOF）場景的風險降至最低。

研究人員挑出了三大類DDoS攻擊：體積攻擊、網(wǎng)絡(luò)協(xié)議攻擊和應(yīng)用層攻擊。它們在網(wǎng)絡(luò)體系結(jié)構(gòu)的目標組件和用于執(zhí)行突襲的機制上有所不同。

每一種都跨越了從TCP三方握手攻擊到使用合法網(wǎng)絡(luò)壓力測試工具的強大攻擊的一小部分子類型。

下面的分解將讓您了解常見攻擊方法背景下的當代DDoS威脅形勢。如果您是一名程序員，該列表可以讓您對您可以關(guān)注的領(lǐng)域有一些可操作的見解，以防止您的代碼被DDoS運營商錯誤處理。

體積攻擊

也被稱為基于卷的攻擊，這些DDoS入侵會使大量計算機和偽造的internet連接充斥網(wǎng)絡(luò)或網(wǎng)站，使其無法處理更多的流量數(shù)據(jù)包。這種流量放大策略的結(jié)果是合法用戶不能再訪問資源。

• UDP Flood。要執(zhí)行此攻擊，威脅行動者會向服務(wù)器發(fā)送大量欺騙性的用戶數(shù)據(jù)報協(xié)議（UDP）數(shù)據(jù)包，直到它無法處理合法查詢?yōu)橹埂Ｓ捎赨DP連接具有有限的源IP驗證機制，因此這種入侵可能會在目標防御的雷達范圍內(nèi)進行。

• ICMP Flood。也稱為Ping Flood，此攻擊利用了許多惡意Internet控制消息協(xié)議（ICMP）ping。服務(wù)器配置為使用單獨的流量數(shù)據(jù)包答復(fù)每個此類回顯請求，因此服務(wù)器最終將耗盡資源并變得無響應(yīng)。

• DNS Flood。攻擊者用大量模仿大量IP地址的虛假請求數(shù)據(jù)包淹沒了DNS服務(wù)器。就預(yù)防和緩解而言，DNS Flood是最嚴重的DDoS攻擊之一。

• 脆弱的攻擊。這個使用多個UDP數(shù)據(jù)包，其中包含受害者路由器的欺騙IP地址。當不停地回復(fù)自身并嘗試解決這些表面上正常的請求時，設(shè)備將失敗。

• 高級持久性DoS（APDoS）。當網(wǎng)絡(luò)犯罪分子結(jié)合使用不同的放大技術(shù)使網(wǎng)絡(luò)癱瘓時，該術(shù)語適用。這樣的襲擊可能持續(xù)數(shù)周，并且往往比大多數(shù)襲擊造成更大的損失。

• 零日DoS 。名稱不言而喻：攻擊利用網(wǎng)絡(luò)或服務(wù)器中未記錄的缺陷來破壞其運行。這就解釋了組織在阻止此類攻擊方面的準備水平很低。

網(wǎng)絡(luò)協(xié)議攻擊

與體積攻擊不同的是，網(wǎng)絡(luò)協(xié)議攻擊試圖從服務(wù)器資源而不是帶寬中抽取資源。它們通常以防火墻或輔助互聯(lián)網(wǎng)通信設(shè)備（如負載均衡器）為目標。向這些實體發(fā)出的大量惡意協(xié)議請求最終消耗了它們的所有容量。

• SYN Flood。為了發(fā)動這種攻擊，犯罪分子錯誤地處理了TCP三方握手（用于通過TCP協(xié)議在客戶端、主機和服務(wù)器之間建立連接）。SYN（synchronize）包在這個模型中的作用是請求與服務(wù)器的連接。騙子從偽造的IP地址提交大量SYN請求，從而導致合法用戶拒絕服務(wù)。

• 陸地攻擊。縮寫詞代表局域網(wǎng)拒絕。這種策略涉及到源IP和目標IP相同的粗略SYN請求。這些消息使接收服務(wù)器感到困惑，它在試圖對自身做出響應(yīng)時最終會停機。

• SYN-ACK Flood。這種基于協(xié)議的攻擊篡改了TCP連接階段，即服務(wù)器提交SYN-ACK消息以確認客戶端的請求。罪犯用這種流氓數(shù)據(jù)包把服務(wù)器塞滿。服務(wù)器浪費資源試圖弄清楚為什么它以不正確的順序接收這些消息，這與TCP三方握手邏輯相矛盾。

• 確認和推送確認Flood。這一個混淆了大量傳入ACK和PUSH ACK數(shù)據(jù)包的服務(wù)器。由于目標無法理解如何處理這些消息，因此它達到了內(nèi)存和CPU閾值。

• 碎片ACK Flood。對手用零碎的ACK消息轟炸網(wǎng)絡(luò)。路由器分配了太多的處理能力來嘗試重新組合這些數(shù)據(jù)包。這種破壞性效果可以通過相對較少的此類消息來實現(xiàn)。雪上加霜的是，這些分裂的數(shù)據(jù)包可以潛入入侵檢測系統(tǒng)（IDS）。

• SSDP Flood。SSDP代表簡單服務(wù)發(fā)現(xiàn)協(xié)議。它構(gòu)成了通用即插即用（UPnP）網(wǎng)絡(luò)協(xié)議集。為了執(zhí)行SSDP洪水攻擊，一個犯罪分子將包含受害者服務(wù)器的IP地址的小UDP數(shù)據(jù)包發(fā)送到許多使用UPnP服務(wù)的設(shè)備。服務(wù)器由于從這些設(shè)備接收到無數(shù)查詢而崩潰。

• SNMP Flood。此DDoS向量寄生于簡單網(wǎng)絡(luò)管理協(xié)議（SNMP），該協(xié)議收集并組織與連接設(shè)備相關(guān)的數(shù)據(jù)。騙子將一堆包含目標服務(wù)器偽造IP的小數(shù)據(jù)包發(fā)送到使用SNMP的路由器或交換機。這些設(shè)備配置為答復(fù)該源IP。異常流量最終會導致服務(wù)器停機。

• NTP Flood。網(wǎng)絡(luò)時間協(xié)議（NTP）用于網(wǎng)絡(luò)間的時鐘同步。惡意參與者可以利用安全性不高的NTP服務(wù)器，利用冗余的UDP數(shù)據(jù)包淹沒計算機網(wǎng)絡(luò)，從而濫用此功能。

• VoIP Flood。這是一個家庭在易于訪問的互聯(lián)網(wǎng)語音協(xié)議（VoIP）服務(wù)器。目標網(wǎng)絡(luò)中充斥著大量來自不同IP的惡意VoIP消息，這些消息被錯誤地解釋為合法消息。

• CHARGEN Flood。字符生成器協(xié)議（CHARGEN）于20世紀80年代推出，可能被認為已經(jīng)過時。不過，一些打印機、復(fù)印機和DDoS運營商仍在使用它。將攜帶目標服務(wù)器IP地址的小數(shù)據(jù)包提交到支持CHARGEN的連接設(shè)備會導致設(shè)備將多個UDP數(shù)據(jù)包發(fā)送回服務(wù)器，從而耗盡服務(wù)器的容量。

• Smurf攻擊。這個程序使用一個名為Smurf的惡意應(yīng)用程序向大量連接的設(shè)備發(fā)送包含受害者IP地址的ICMP回顯請求。因此，服務(wù)器接收的流量數(shù)據(jù)包太多，無法繼續(xù)正常運行。

• Ping死亡攻擊。犯罪分子用其大小超過最大允許值（64字節(jié)）的ping數(shù)據(jù)包淹沒網(wǎng)絡(luò)。試圖重新組裝這些非正統(tǒng)實體時，服務(wù)器崩潰。

• IP空攻擊。此raid依賴于其標頭參數(shù)設(shè)置為null的IPv4數(shù)據(jù)包。因為接收的web服務(wù)器可能無法處理這些奇怪的消息，所以會遇到拒絕服務(wù)情況。

應(yīng)用層攻擊

顧名思義，這些DDoS攻擊發(fā)生在開放系統(tǒng)互連（OSI）概念模型的應(yīng)用層（“第7層”）。它們利用web應(yīng)用程序中已知的或零日漏洞。這些攻擊被認為是最復(fù)雜和最難發(fā)現(xiàn)的。

• HTTP Flood。攻擊者使用偽造的GET或POST請求轟炸web應(yīng)用程序以中斷其操作。這個向量通常利用僵尸計算機組成的僵尸網(wǎng)絡(luò)來模擬合法的流量

• 單會話HTTP Flood。這一個涉及一個HTTP會話，它生成一系列隱藏在同一個HTTP包中的請求。這種伎倆不僅讓騙子擴大了影響，還蒙蔽了一些將此類流量視為良性流量的網(wǎng)絡(luò)防御系統(tǒng)。

• 遞歸HTTP GET Flood。在這一攻擊的早期階段，對手向服務(wù)器請求大量網(wǎng)頁并仔細檢查響應(yīng)。接下來，迭代地請求每個網(wǎng)站組件，直到服務(wù)器耗盡資源。

• 隨機遞歸GET Flood。這種技術(shù)可以用來關(guān)閉博客、論壇和其他類型的包含遞歸頁面的站點。攻擊者從有效范圍內(nèi)隨機選擇頁碼來模擬普通用戶，然后生成大量GET請求以降低目標的性能。

• 欺騙會話 Flood。為了執(zhí)行這次突襲，犯罪者混合使用了一個偽造的SYN包、幾個ACK包和一個或多個RST（重置）或FIN（連接終止）包。一些保護系統(tǒng)不檢查返回的交通，因此這種攻擊將滑到他們的雷達之下。

• 低軌道離子炮（LOIC）。這個開源的LOIC工具最初是為了幫助安全專業(yè)人員進行網(wǎng)絡(luò)壓力測試而設(shè)計的，也是DDoS運營商的最愛之一。它經(jīng)常被濫用，用大量的TCP、UDP和HTTP數(shù)據(jù)包淹沒服務(wù)器。

• 高軌道離子炮（HOIC）。與LOIC類似，這是一種失控的網(wǎng)絡(luò)壓力測試工具。犯罪分子正在大量使用其巨大的威力，通過使用帶有大量GET和httppost數(shù)據(jù)包的ddos服務(wù)器來傳播混亂。HOIC可以同時針對256個域。

• Slowloris。這種復(fù)雜的入侵只需要一臺計算機就可以執(zhí)行。騙子打開多個并發(fā)連接到一個web服務(wù)器，并通過零碎的額外數(shù)據(jù)包和新的HTTP報頭持續(xù)維護它們。由于這些請求從未達到完成階段，因此會耗盡目標的資源。

• 誤用應(yīng)用程序攻擊。威脅參與者滲入運行資源密集型應(yīng)用程序（如P2P軟件）的計算機，然后將大量流量從這些客戶端計算機重新路由到服務(wù)器。

• 重做。這個術(shù)語代表“正則表達式拒絕服務(wù)”。為了使這種攻擊成功，惡意分子通過算法復(fù)雜的字符串搜索查詢來壓倒特定程序，從而降低底層服務(wù)器的性能。

躲避威脅

即使是大公司也可能缺乏帶寬來應(yīng)對DDoS攻擊者人為造成的流量急劇增加。標準網(wǎng)絡(luò)設(shè)備配備了有限的DDoS緩解機制。這一問題在中小企業(yè)的生態(tài)系統(tǒng)中表現(xiàn)得更為明顯，在中小企業(yè)中，以有限的預(yù)算建立保護系統(tǒng)是常態(tài)。

在這種情況下，最好的防御是多管齊下。支持DDoS保護的最佳方法之一是將其外包給基于云的解決方案，如Akamai、Sucuri、Netscout或Cloudflare，這些解決方案按使用付費提供高級預(yù)防和緩解服務(wù)。在最壞的情況下，這是你的B計劃。

為了抵御上面描述的應(yīng)用層攻擊，組織內(nèi)的IT團隊應(yīng)該遵循適當?shù)拇a審計實踐。這將最大限度地減少企業(yè)環(huán)境中部署的web應(yīng)用程序中可利用的漏洞的數(shù)量。

入侵防御系統(tǒng)（IPS）和web應(yīng)用防火墻（WAF）的組合將使其更上一層樓?？煽康腎PS將保護您的網(wǎng)絡(luò)免受漏洞攻擊、惡意軟件和停機。一個有效的WAF反過來可以保護您的web應(yīng)用程序免受SQL注入、跨站點腳本和跨站點偽造攻擊，這些攻擊是DDoS參與者的一部分。

一個額外的提示是讓你的系統(tǒng)保持最新。修補您的數(shù)字基礎(chǔ)設(shè)施將遏制惡意行為者提供很少或沒有回旋余地。

你的系統(tǒng)準備好了嗎？

盡管DDoS是網(wǎng)絡(luò)犯罪領(lǐng)域的老生常談，但它仍然是一個嚴重的問題，您需要采取有效的應(yīng)對措施。最重要的是，它正在迅速發(fā)展。其中一些突襲行動依靠惡意軟件、物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)和開源網(wǎng)絡(luò)壓力測試框架來擴大其影響范圍。更糟糕的是，一些新穎的攻擊增加了敲詐。

從一開始就評估您的IT基礎(chǔ)架構(gòu)，以確定最容易受到體積、應(yīng)用層和基于協(xié)議的DDoS攻擊的組件，這將有助于您的組織在保護方面實現(xiàn)飛躍。

除了適當?shù)木幋a衛(wèi)生，確保你應(yīng)用軟件補丁一旦可用，并配置您的網(wǎng)絡(luò)設(shè)備，使其內(nèi)置防御的最大限度。另外，考慮利用基于云的DDoS緩解服務(wù)和IPS進一步強化公司的安全態(tài)勢。