DDoS 攻击：定义、类型和保护

DDoS 攻击会扰乱目标服务器或网站的正常运行。它会耗尽目标的计算资源，让网站或服务变得更慢、无法响应或完全无法使用。

DDoS 攻击之所以强大，是因为它们使用多台计算机或其他设备。黑客通过感染设备，将其变成僵尸机器人，并远程指示这些网络机器人同时访问特定 IP 地址从而创建网络。这可能会导致服务崩溃。

DDoS 攻击可以持续 24 小时以上，而且难以追踪。您的计算机可能是机器人网络（也称僵尸网络）大军的一员，秘密执行恶意命令，而您甚至不会察觉，唯一的迹象可能是设备性能略为下降或设备过热。轰炸目标的流量来自受感染的合法设备。这使得区分真实和恶意流量变得更加困难。

DDoS 攻击可以针对网络连接的特定组件进行攻击。通过互联网创建的连接都会通过 OSI 网络架构。多数 DDoS 攻击发生在以下三个层级：

• 网络层（第 3 层）。此层级的攻击包括 Smurf 攻击、ICMP/Ping 洪水攻击、IP/ICMP 碎片攻击。
• 运输层（第 4 层）。这些攻击包括 SYN 洪水攻击、UDP 洪水攻击和 TCP 连接耗尽。
• 应用程序层（第 7 层）。主要是 HTTP 加密攻击。

分布式拒绝服务（DDoS）会使服务器流量过载，使网站或服务无法使用。DoS 是一种使用单个系统攻击特定服务的系统对系统攻击。相反的，DDoS 使用多台计算机和系统来破坏目标。虽然这两种攻击的目的相同，但 DDoS 会造成更大的伤害，也更危险。

尽早识别 DDoS 攻击，就更有可能加以阻止。以下是 DDoS 攻击发生的主要迹象：

• 服务缓慢或无法使用。这通常是 DDoS 攻击的第一个迹象。看似 502 错误闸道的问题，实际上可能是正在进行 DDoS 攻击。不过，许多其他问题也可能导致性能下降，所以不能只依靠这个因素来识别 DDoS 攻击。
• 来自单个 IP 地址的大量流量。您可以使用流量分析工具检查流量。
• 在一天的任何时间出现不自然的流量峰值。
• 某个页面或端点突然出现无法解释的请求激增。

DDoS 攻击有几种类型，其复杂性、持续时间和复杂程度各不相同。

TCP 连接攻击也称为 SYN 洪水攻击，是当主机和服务器之间的三方 TCP 连接握手未完成时发生的。在此种攻击中，虽然已启动握手，但黑客让服务器处于等待状态并保持端口打开。这意味着服务器无法接受任何其他请求。黑客持续向其发送更多握手请求，最终使其崩溃。

巨流量攻击是最常见的 DDoS 攻击类型。这种攻击通常会使用僵尸网络，并针对特定目标发送大量数据包，以消耗目标和互联网之间所有可用的带宽。

巨流量攻击的一个例子是黑客伪造受害者的 IP 地址，并向开放的 DNS 服务器发出多次请求。这种攻击使得 DNS 服务器响应时，它向受害者发送的数据超过其所能处理的能力。

通过互联网发送的流量被分割为数据包。攻击者根据使用 TCP 或 UDP 传输协议，以不同的方式传输和重组数据包。碎片攻击会发送伪造的数据包，这些数据包会让数据流失真，并最终让服务器崩溃。

“数据包过多”攻击就是碎片攻击的一个例子。它用大量不完整的碎片数据包瘫痪网络。

应用程序层或第 7 层攻击以应用程序为目标，正如其名称所示，在这层服务器生成网页并响应 HTTP 请求。对服务器而言，这种攻击就像有人多次刷新同一页面。它看起来像是合法流量，直到服务器难以负荷为时已晚。与网络层的 DDoS 攻击相比，这些攻击的成本较低，较难检测。

DDoS 放大攻击是黑客针对域名系统（DNS）服务器中安全漏洞的攻击。他们会将小请求转换成大规模请求（因此称为“放大”），耗尽受害者的带宽，并瘫痪目标服务器的连接。放大攻击有两种类型：DNS 反射和 CharGEN 反射。

DNS 服务器的工作是将您在浏览器搜索栏中键入的域名转换为 IP 地址。这是互联网的地址簿。“DNS 反射攻击”是指黑客复制受害者的 IP 地址，并向 DNS 服务器发送请求，要求得到大量响应。此类响应可能被放大到正常大小的 70 倍，会立即瘫痪受害者的网络。

就互联网标准而言，CharGEN 是一种创建于 1983 年的老旧协议，用于调试或测试目的。不幸的是，许多连接到互联网的打印机或复印机仍然使用此协议，黑客可以利用 CharGEN 的老旧漏洞。黑客会将许多小数据包发送给使用 CharGEN 的任何设备，假冒受害者的 IP 地址。然后该设备会向受害者的系统发送 UDP 响应，瘫痪目标服务器，导致其重新启动或完全中断。

随着技术的发展和资安系统每年变得越来越复杂，用来破解资安系统的工具日益复杂。如果我们将 1990 年代的攻击强度与今日 DDoS 标准进行比较，差异非常惊人。

1990 年代，DDoS 攻击的平均请求数几乎不超过每秒 150 次。如果我们将其与近年来成功的最大 DDoS 攻击（即 2018 年 GitHub 攻击）进行比较，我们发现该网站遭遇每秒 1.35TB 的流量。该次攻击暂时瘫痪该网站，仅持续 8 分钟。

人们进行 DDoS 攻击通常包括以下主要原因：

• 黑客主义。黑客主义者使用 DDoS 攻击来摧毁各种意见不同的网站和服务。例如，他们可以针对政府、公众人物、犯罪或恐怖组织、公司和其他实体的网站。黑客主义者经常使用 DDoS 来传播消息和提高意识。
• 勒索。网络犯罪分子也会利用 DDoS 攻击进行勒索。他们可能会向受害者勒索金钱，拿到金钱后才停止或不实施攻击。
• 蓄意破坏。黑客发起 DDoS 攻击纯粹是为了娱乐或挫败和骚扰他人。所谓的“脚本小子”可以使用预制工具轻松触发此类攻击。
• 竞争是 DDoS 的另一个原因。竞争对手的公司或个人可能会削弱竞争对手的网站或服务，导致利润或曝光率的暂时损失，或者只是激怒客户。
• 网络战。DDoS 是网络战使用的一种武器。攻击者会利用大规模 DDoS 攻击破坏对手国家/地区的关键基础设施。政府也可以利用这种攻击来压制反对派力量。国家/地区支持的 DDoS 攻击通常会精心策划，而且更难缓解。

近年来，针对企业的 DDoS 攻击不计其数，其严重程度和破坏程度各不相同。以下是三个最严重的 DDoS 攻击：

2017 年发生最大规模的 DDoS 攻击，目标是 Google 服务。攻击者瘫痪了 18 万台网络服务器，这些服务器将他们的响应发送回 Google。这次网络攻击的规模达到 2.54 TBps。请注意，典型的 DDoS 攻击是以 GBps（吉字节每秒）为单位进行计量，流量以 TBps（太比特每秒）为单元的攻击要比 GBps 大一千倍，甚至能够让最强固的在线服务崩溃。据称，这次攻击是来自中国的民族国家行动。

2020 年，亚马逊网络服务遭到大规模 DDoS 攻击，被认为是历史上最恶性的 DDoS 攻击之一。攻击者通过使用第三方服务器，将发送到单个 IP 地址的数据量放大了 70 倍。攻击达到 2.3 TBps 的规模。

Cloudflare 报告并缓解针对运营加密启动平台的客户每秒 1530 万次 DDoS 攻击请求。这次攻击使用了来自 112 个国家/地区约 6000 台设备的僵尸网络。攻击者使用安全且经过加密的 HTTPS 连接来发动此次攻击。

DDoS 在许多国家/地区被认为是非法的。例如在美国，DDoS 被视为联邦犯罪，可能导致罚款和监禁。在大多东亚国家/地区，DDoS 也是非法的，被认为是网络犯罪，包括新加坡、马来西亚、中国、台湾和香港。

DDoS 攻击难以追踪，因为它们大多分布在互联网的无数设备上。此外，攻击者通常会努力隐藏身份而不被发现。

通过使用某些网络安全工具分析流量，可以在 DDoS 攻击发生时加以识别。不过，当发现 DDoS 攻击时，阻止攻击通常为时已晚。您只能分析数据并做出适当的网络安全更改，以在未来发生攻击事件时减少损害情况。

以下是一些防止 DDoS 攻击的措施：

• 使用第三方 DDoS 防护工具。各种第三方服务可以帮助降低 DDoS 风险。只要确保使用安全可靠的服务。但所有服务都无法保证完全安全。
• 作为一个组织，您可以与互联网服务提供者（ISP）一起制定 DDoS 保护策略；换句话说，与 ISP 合作以获得干净的带宽。ISP 通常可以在恶意数据包到达您的设备之前检测到这些数据包，从而降低风险。
• 使用流量监控工具监控您的流量，并检查是否有怪异的模式。

DDoS 通常被黑客用来勒索开发人员和发行商，或损害特定个人或平台的声誉或销售。然而，个人用户（如在线游戏玩家）也可能受到影响。您的对手可能会试图对您进行 DDoS 攻击，以破坏您的游戏进度，这本身不是安全风险，但确实会让身为玩家的您感到沮丧。

DoS 和 DDoS 攻击以服务器为目标，因此无法使用 VPN 来防止对服务器的攻击。然而，在 P2P 游戏中，当您直接连接其他玩家时，攻击者可以查看您的 IP 地址，并使用您的 IP 地址对您进行 DDoS 攻击。幸运的是，您可以使用网游 VPN 隐藏真实 IP 地址，来阻止 DDoS 攻击。如果攻击者不知道您的真实 IP，他们根本无法对您进行攻击。此外，DDoS 攻击本身针对 VPN 服务器，而 VPN 服务器具有防止 DDoS 的安全防护措施，可以阻挡 DDoS 攻击。