DDoS 攻擊：意義、類型和保護措施

分散式阻斷服務（DDoS）攻擊是一種網絡罪行，黑客會以大量虛假請求向伺服器、服務和網絡發動飽和攻擊，阻止用戶瀏覽網站和使用服務。DDoS 攻擊就好比是交通擠塞，主要幹道上擠滿了黑客派來的車輛，導致小路上的合法交通無法進入主要幹道。

DDoS 攻擊會破壞目標伺服器或網站的正常運作，並且耗盡目標的運算資源，導致其網站或服務速度緩慢、無回應或使合法用戶完全不可使用。不過，究竟 DDoS 攻擊是如何運作？

DDoS 攻擊的威脅十分大，因為其可以使用多個電腦或其他裝置發動攻擊。黑客會透過受感染的裝置建立一個網絡，把受感染的裝置轉化為機器人（亦稱為僵尸），然後遠程控制機器人前往指定 IP 位址，導致服務崩潰。

DDoS 攻擊可以持續超過 24 小時，而且十分難追蹤。您的電腦可能會被用作棋子，成為網絡僵尸大軍（亦稱為僵尸網絡）的一員，並暗地裏回應惡意指令。您甚至可能對此一無所知——效能有所下降或裝置過熱是唯一的感染跡象。由於流量轟炸都是來自合法裝置（雖然都受感染），我們很難分辨惡意和真實流量。相比之下，PDoS 攻擊會直接對硬件造成損害，因此會更加容易識別。

DDoS 攻擊會針對網絡連接中的特定原件或多個原件，網絡上的連接都是透過 OSI 模型層進行，大部分 DDoS 攻擊都會在以下三個層面發生：

• 網絡層面（第 3 層）。這個層面的攻擊包括 Smurf 攻擊、ICMP/Ping 洪水攻擊和 IP/ICMP 碎片攻擊。
• 傳輸層面（第 4 層）。這個層面的攻擊包括 SYN 洪水攻擊、UDP 洪水攻擊和 TCP 連線耗盡。
• 應用層（第 7 層）。主要是 HTTP 加密攻擊。

阻斷服務攻擊（DoS）會使用流量飽和攻擊伺服器，導致服務和網站無法使用。DoS 是一種使用了單個系統攻擊指定服務的系統對系統攻擊。相比之下，DDoS 會使用多個電腦和系統攻擊目標。

雖然 DoS 和 DDoS 攻擊的目的一致，DDoS 攻擊更加強大和危險。

您越早發現 DDoS 攻擊，就越有機會阻止攻擊。下面是 DDoS 攻擊的主要線索：

• 服務速度緩慢或無法使用。這通常是 DDoS 攻擊的第一個跡象，《502 bad gateway》錯誤事實上可能是 DDoS 攻擊的徵兆。不過，也有可能是其他問題導致效能變慢，所以我們無法單憑這個因素就斷定是 DDoS 攻擊。
• 大量來自同一個 IP 位址的流量。您可以使用流量分析工具來檢測流量。
• 流量在一天的任何時間中忽然達到不尋常的峰值。
• 某個頁面或終端有大量突然和無法解釋的請求。

DDoS 攻擊有多種類型，其複雜性、持續時間和複雜程度不盡相同。

TCP 連線攻擊亦稱為 SYN 洪水攻擊，通常在主機和伺服器從未完成 TCP 三次握手（three-way TCP handshake）時發生。黑客會在攻擊中發起握手，但不會去完成握手，導致伺服器和連接埠處於開啟狀態，無法接受其他請求。黑客會不斷發起更多的握手請求，最終導致伺服器崩潰。

巨流量攻擊是最常見的 DDoS 攻擊。黑客通常控制僵尸網絡前往指定目標，嘗試耗盡目標和互聯網之間所有可用頻寬。

黑客偽冒受害人的 IP 是巨流量攻擊的其中一個常見情況，然後向開放的 DNS 伺服器發送大量請求。黑客的攻擊會導致 DNS 伺服器回應請求時，向受害人的裝置發送超過其處理能力的數據量。

發送到互聯網的流量會被分為數據包，並根據其使用的 TCP 或 UDP 傳輸協議以不同的方式傳輸和重組。碎片攻擊會發送虛假的數據包，破壞數據傳輸，導致伺服器不勝負荷。

「太多數據包」是碎片攻擊的一個例子，黑客會用大量不完整、碎片化的數據包淹沒網絡。

顧名思義，應用層面或第 7 層攻擊的目標指的就是伺服器產生網頁並回應 HTTP 請求的層。黑客發動攻擊時，伺服器會認為有人在同一個頁面上多次點擊刷新。由於攻擊看起來像合法流量，伺服器在超負荷崩潰前一般無法識別攻擊。相比起網絡層面的攻擊，這類型的攻擊成本更低，並且更難發現。

在 DDoS 放大攻擊中，網絡罪犯會專門針對網域名稱系統（DNS）伺服器中的安全漏洞，並會把小請求轉換為大請求（因此過程也稱為「放大」），耗盡目標的頻寬，導致目標伺服器的進程完全停擺。放大攻擊的類型有兩種：DNS 反射（DNS Reflection）和 CharGEN 反射（CharGEN Reflection）。

DNS 反射

DNS 伺服器用於搜索您在搜索欄輸入的網域名稱的 IP 位址，亦即是網絡的通訊錄。黑客會在 DNS 反射攻擊中複製受害者的 IP 位址，並向 DNS 伺服器發送請求，要求得到大量回應。回應數量可能會被放大至正常大小的 70 倍，導致受害人的網絡即時癱瘓。

CharGEN 反射

CharGEN 按照互聯網標準是一個創建於 1983 年的老舊協議，用於調試或測試目的。然而，現時很多連接到互聯網的打印機或複印機依然在使用這個協議，讓黑客有機可乘利用 CharGEN 的大量老舊漏洞。黑客會假冒受害人的 IP 位址，然後向使用 CharGEN 的裝置發送海量的小型數據包。裝置會向受害人的系統發送海量 UDP（用戶數據報協議）回應，癱瘓目標伺服器，並導致其重新啟動或中斷運作。

隨著科技發展特飛猛進，安全系統每年都變得越來越複雜，因此用於破解安全系統的工具也變得日益複雜。如果我們對比 1990 年代的攻擊強度和今時今日的 DDoS，兩者之間的差異十分驚人。

在 90 年代，DDoS 攻擊的平均請求很少超過每秒 150 次，如果我們將其與近年來最成功的 DDoS 攻擊（2018 年的 GitHub 攻擊）比較，我們可以發現該網站當時遭到每秒 1.35 TB 流量的攻擊，該次攻擊僅暫時癱瘓了網站，並只持續了 8 分鐘。

黑客出於多種原因發動 DDoS 攻擊，下面列舉了部分主要原因：

• 黑客主義。黑客主義者會發動 DDoS 攻擊癱瘓各個與他們意見相左的網站和服務。舉個例子，他們會針對政府網站、公眾人物、犯罪或恐怖組織、企業或其他實體。黑客主義者通常會透過 DDoS 散播消息和提高意識。
• 勒索。網絡罪犯亦會以 DDoS 攻擊作勒索用途，他們會威脅受害者錢財，否則就不會停止攻擊。
• 蓄意破壞。黑客可能純粹是為了取樂或滋擾他人而發動 DDoS 攻擊，所謂的「腳本小子」可以使用預製工具輕鬆發動此類攻擊。
• 競爭可以另一個發動 DDoS 攻擊的原因。個人或其公司可能會癱瘓競爭對手的網站或服務，向對手造成短期的盈利或曝光率損失，或者是激怒其客戶。
• 網絡戰。DDoS 攻擊是網絡戰中的一種武器，國家/地區行為者會使用大規模的 DDoS 攻擊破壞敵對國家/地區的關鍵基建。政府也會使用這類型的攻擊打擊反對勢力。國家/地區支持的 DDoS 攻擊通常是經過精心策劃，並且更加難破解。

近年來，針對企業的 DDoS 攻擊不計其數，其嚴重程度和造成的破壞各不相同。下面是三個最嚴重的攻擊：

2017 年的 Google 攻擊

2017 年發生了最大規模的 DDoS 攻擊，以 Google 服務為目標。攻擊者癱瘓了 180,000 台網頁伺服器，受攻擊的伺服器把回應發回 Google。這次網絡攻擊的規模達到 2.54 TBps。注意，一般而言 DDoS 攻擊會以 GBps（千兆位元每秒）作單位，而流量以 TBps（太比特每秒）作單位的攻擊規模要比 GBps 大一千倍，並且能夠癱瘓最穩固的線上服務。這次攻擊據稱是來自中國的國家級別攻擊。

2020 年的 AWS DDoS 攻擊

Amazon 的網頁服務在 2020 年遭受規模龐大的 DDoS 攻擊，攻擊針對一名身份不明的客戶，並被認為是歷史上破壞性最大的 DDoS 攻擊之一。攻擊者透過第三方伺服器把發送到單個 IP 位址的數據量放大了高達 70 倍之多。這次攻擊的規模達到 2.3 TBps。

2022 年的 Cloudflare 攻擊

Cloudflare 報告並排解了每秒達 1530 萬次請求，針對營運加密貨幣平台客戶的 DDoS 攻擊。這次攻擊使用了大約 6 千台來自 112 個國家/地區的裝置的僵尸網絡，攻擊者使用了一個安全和經過加密的 HTTPS 連接發動了這次攻擊。

DDoS 在很多國家/地區都是非法行為。舉個例子，DDoS 在美國會被認為是聯邦罪行，犯法者會面臨懲罰和監禁。如果您發動了 DDoS 攻擊，您在大部分歐洲國家會被逮捕，而在英國您可能會被判處最高 10 年的監禁。

由於 DDoS 攻擊通常會分佈在數百至數千個裝置上，因此十分難以追蹤。此外，發動此類型攻擊的人一般會努力隱藏自己的身份。

不過，當 DDoS 攻擊發生時，您可以透過特定的網絡安全工具分析流量，以偵測 DDoS 攻擊。然而，當您發現 DDoS 攻擊時，要阻止攻擊已經為時已晚。您只能分析數據和作出適當的網絡安全更改，避免未來發生類似情況。

以下是部分能夠預防 DDoS 攻擊的措施：

• 使用第三方預防 DDoS 攻擊的工具。市面上有各種能夠幫助您減輕 DDoS 風險的第三方服務，您只需要挑選安全和可靠的第三方服務。不過，要記住，沒有一款服務能夠保證百分百安全。
• 如果您是一個機構，您可以和您的網絡服務供應商（ISP）合作開發一個 DDoS 保護策略；換言之，您可以和您的 ISP 合作研發乾淨的頻寬。ISP 通常可以在惡意數據包抵達您的裝置前偵測到它們，從而減低您的風險。
• 使用流量監控工具監測您的流量和檢測異常模式。
• 進行定期安全檢查。定期評估您的網絡安全和考慮使用專業的 DDoS 攻擊工具測試系統和找出安全漏洞。

黑客通常會用 DDoS 來勒索開發者和發行商，或者是破壞特定個人或平台的聲譽或銷售。不過，遊戲玩家等個人用戶也會受到波及。您的對手可能會嘗試使用 DDoS 破壞您的遊戲進度。雖然這不構成安全威脅，但足以構成嚴重滋擾，特別是當您參加遊戲比賽時發生。DoS 和 DDoS 攻擊都是針對伺服器，因此不會因為您使用了 VPN 就能阻止攻擊的發生。不過，在 P2P 遊戲中，當您直接連結到其他玩家時，您的對手可以查看您的 IP 位址 ，並向您發動 DoS 或 DDoS 攻擊。幸運的是，您在可以使用打機專用的 VPN 遮蓋您的真實 IP， 避免對手向您發動此類型的攻擊。如果壞人不知道您的真實 IP，就無法向您發動 DoS/DDoS 攻擊。此外，DDoS 攻擊本身是直接針對伺服器，而伺服器本身有防止 DDoS 的防護措施。