一、前言

在今天的云計(jì)算數(shù)字時(shí)代，網(wǎng)絡(luò)安全問(wèn)題變得愈發(fā)重要。尤其是云計(jì)算中所設(shè)計(jì)到的網(wǎng)絡(luò)安全問(wèn)題，其中一種常見(jiàn)的網(wǎng)絡(luò)威脅是分布式拒絕服務(wù)（DDoS）攻擊。DDoS攻擊旨在通過(guò)大規(guī)模的網(wǎng)絡(luò)流量淹沒(méi)目標(biāo)服務(wù)器或網(wǎng)絡(luò)，以破壞正常的在線(xiàn)服務(wù)。了解DDoS攻擊的工作原理以及如何識(shí)別和防范它們對(duì)于保護(hù)網(wǎng)絡(luò)和服務(wù)器的穩(wěn)定性至關(guān)重要。

在本文中，我們將深入探討DDoS攻擊的各個(gè)方面，從什么是 DDoS 攻擊開(kāi)始，了解其工作原理，以及如何辨識(shí)各類(lèi) DDoS 攻擊。我們還將介紹一些常見(jiàn)的 DDoS 攻擊類(lèi)型，包括應(yīng)用程序?qū)庸艉蛥f(xié)議攻擊，以及它們的示例。此外，我們還將討論如何采取措施來(lái)保護(hù)自己免受 DDoS 攻擊，包括黑洞路由、速率限制、Web應(yīng)用程序防火墻和 Anycast 網(wǎng)絡(luò)擴(kuò)散等防御方法。

通過(guò)深入了解 DDoS 攻擊以及應(yīng)對(duì)策略，我們可以更好地準(zhǔn)備和保護(hù)自己的網(wǎng)絡(luò)資源，確保其穩(wěn)定性和可用性。讓我們一起開(kāi)始這個(gè)關(guān)于 DDoS 攻擊的探索之旅。

二、什么是 DDoS 攻擊？

分布式拒絕服務(wù)（DDoS）攻擊是一種惡意行為，通過(guò)大規(guī)模互聯(lián)網(wǎng)流量淹沒(méi)目標(biāo)服務(wù)器或其周邊基礎(chǔ)設(shè)施，旨在破壞目標(biāo)服務(wù)器、服務(wù)或網(wǎng)絡(luò)正常運(yùn)行。

DDoS 攻擊通過(guò)多臺(tái)受感染的計(jì)算機(jī)系統(tǒng)充當(dāng)攻擊流量源，以實(shí)現(xiàn)攻擊的目的。這些計(jì)算機(jī)系統(tǒng)可以包括普通計(jì)算機(jī)，也可以包括其他聯(lián)網(wǎng)資源（如物聯(lián)網(wǎng)設(shè)備）。

個(gè)人簡(jiǎn)單理解可以為，DDoS 攻擊可類(lèi)比為高速公路上的交通堵塞，阻礙了正常車(chē)輛的到達(dá)目的地。

三、DDoS 攻擊的工作原理

DDoS 攻擊是通過(guò)連接到互聯(lián)網(wǎng)的計(jì)算機(jī)網(wǎng)絡(luò)執(zhí)行的。這些網(wǎng)絡(luò)包括計(jì)算機(jī)和其他設(shè)備（例如 IoT 設(shè)備），它們被感染并受到惡意軟件的控制，攻擊者可以遠(yuǎn)程控制這些設(shè)備。這些感染的個(gè)體設(shè)備通常被稱(chēng)為"僵尸"，而它們的集合則構(gòu)成了"僵尸網(wǎng)絡(luò)"。

一旦建立了僵尸網(wǎng)絡(luò)，攻擊者可以通過(guò)向每個(gè)僵尸發(fā)送遠(yuǎn)程指令來(lái)發(fā)動(dòng)攻擊。當(dāng)僵尸網(wǎng)絡(luò)將受害者的服務(wù)器或網(wǎng)絡(luò)作為目標(biāo)時(shí)，每個(gè)僵尸會(huì)向目標(biāo)的 IP 地址發(fā)送請(qǐng)求，這可能導(dǎo)致服務(wù)器或網(wǎng)絡(luò)不堪重負(fù)，進(jìn)而拒絕正常流量的服務(wù)。

鑒于每個(gè)僵尸都是合法的互聯(lián)網(wǎng)設(shè)備，因此很難區(qū)分攻擊流量和正常流量。

四、如何識(shí)別 DDoS 攻擊

DDoS 攻擊最明顯的跡象之一是網(wǎng)站或服務(wù)的突然減速或不可用。然而，造成類(lèi)似性能問(wèn)題的原因多種多樣（如合法流量激增），因此通常需要進(jìn)一步調(diào)查。流量分析工具可以幫助您識(shí)別 DDoS 攻擊的一些顯著特征：

1. 來(lái)自單個(gè) IP 地址或 IP 范圍的可疑流量。
2. 大量流量來(lái)自共享相同行為特征的用戶(hù)，如設(shè)備類(lèi)型、地理位置或 Web 瀏覽器版本。
3. 單個(gè)頁(yè)面或端點(diǎn)的請(qǐng)求數(shù)量出現(xiàn)不明原因的激增。
4. 異常的流量模式，例如在非常規(guī)時(shí)間段內(nèi)的激增或看似不自然的模式（例如，每 10 分鐘一次的激增）。
   此外，DDoS 攻擊的具體特征還可能因攻擊類(lèi)型而異。

五、常見(jiàn)的 DDoS 攻擊有哪幾類(lèi)？

不同類(lèi)型的 DDoS 攻擊針對(duì)不同的網(wǎng)絡(luò)連接組件。為了解不同的 DDoS 攻擊如何運(yùn)作，有必要知道網(wǎng)絡(luò)連接是如何建立的。

互聯(lián)網(wǎng)上的網(wǎng)絡(luò)連接由許多不同的組件或“層”構(gòu)成。就像打地基蓋房子一樣，模型中的每一步都有不同的用途。

OSI 模型（如下圖所示）是一個(gè)概念框架，用于描述 7 個(gè)不同層級(jí)的網(wǎng)絡(luò)連接。

幾乎所有 DDoS 攻擊都涉及用流量淹沒(méi)目標(biāo)設(shè)備或網(wǎng)絡(luò)，攻擊者可能利用一種或多種不同的攻擊手段，也可能根據(jù)目標(biāo)采取的防范措施循環(huán)使用多種攻擊手段。

總結(jié)起來(lái) DDoS 攻擊可以分為三類(lèi)

5.1 應(yīng)用程序?qū)庸?/h4>

5.1.1 攻擊目標(biāo)

此類(lèi)攻擊有時(shí)稱(chēng)為第 7 層 DDoS 攻擊（指 OSI 模型第 7 層），其目標(biāo)是耗盡目標(biāo)資源。

攻擊目標(biāo)是生成網(wǎng)頁(yè)并傳輸網(wǎng)頁(yè)響應(yīng) HTTP 請(qǐng)求的服務(wù)器層。在客戶(hù)端執(zhí)行一項(xiàng) HTTP 請(qǐng)求的計(jì)算成本比較低，但目標(biāo)服務(wù)器做出響應(yīng)卻可能非常昂貴，因?yàn)榉?wù)器通常必須加載多個(gè)文件并運(yùn)行數(shù)據(jù)庫(kù)查詢(xún)才能創(chuàng)建網(wǎng)頁(yè)。

第 7 層攻擊很難防御，因?yàn)殡y以區(qū)分惡意流量和合法流量。

5.1.2 應(yīng)用程序?qū)庸羰纠?/h5>

5.1.3 HTTP 洪水

HTTP 洪水攻擊類(lèi)似于同時(shí)在大量不同計(jì)算機(jī)的 Web 瀏覽器中一次又一次地按下刷新 ——大量 HTTP 請(qǐng)求涌向服務(wù)器，導(dǎo)致拒絕服務(wù)。

這種類(lèi)型的攻擊有簡(jiǎn)單的，也有復(fù)雜的。

較簡(jiǎn)單的實(shí)現(xiàn)可以使用相同范圍的攻擊 IP 地址、referrer 和用戶(hù)代理訪(fǎng)問(wèn)一個(gè) URL。復(fù)雜版本可能使用大量攻擊性 IP 地址，并使用隨機(jī) referrer 和用戶(hù)代理來(lái)針對(duì)隨機(jī)網(wǎng)址。

5.2 協(xié)議攻擊

5.2.1 攻擊目標(biāo)

協(xié)議攻擊也稱(chēng)為狀態(tài)耗盡攻擊，這類(lèi)攻擊會(huì)過(guò)度消耗服務(wù)器資源和/或防火墻和負(fù)載平衡器之類(lèi)的網(wǎng)絡(luò)設(shè)備資源，從而導(dǎo)致服務(wù)中斷。

協(xié)議攻擊利用協(xié)議堆棧第 3 層和第 4 層的弱點(diǎn)致使目標(biāo)無(wú)法訪(fǎng)問(wèn)。

5.2.2 協(xié)議攻擊示例

5.2.3 SYN 洪水

SYN 洪水就好比補(bǔ)給室中的工作人員從商店的柜臺(tái)接收請(qǐng)求。

工作人員收到請(qǐng)求，前去取包裹，再等待確認(rèn)，然后將包裹送到柜臺(tái)。工作人員收到太多包裹請(qǐng)求，但得不到確認(rèn)，直到無(wú)法處理更多包裹，實(shí)在不堪重負(fù)，致使無(wú)人能對(duì)請(qǐng)求做出回應(yīng)。

此類(lèi)攻擊利用 TCP 握手（兩臺(tái)計(jì)算機(jī)發(fā)起網(wǎng)絡(luò)連接時(shí)要經(jīng)過(guò)的一系列通信），通過(guò)向目標(biāo)發(fā)送大量帶有偽造源 IP 地址的 TCP“初始連接請(qǐng)求”SYN 數(shù)據(jù)包來(lái)實(shí)現(xiàn)。

目標(biāo)計(jì)算機(jī)響應(yīng)每個(gè)連接請(qǐng)求，然后等待握手中的最后一步，但這一步確永遠(yuǎn)不會(huì)發(fā)生，因此在此過(guò)程中耗盡目標(biāo)的資源。

5.3 容量耗盡攻擊

5.3.1 攻擊目標(biāo)

此類(lèi)攻擊試圖通過(guò)消耗目標(biāo)與較大的互聯(lián)網(wǎng)之間的所有可用帶寬來(lái)造成擁塞。攻擊運(yùn)用某種放大攻擊或其他生成大量流量的手段（如僵尸網(wǎng)絡(luò)請(qǐng)求），向目標(biāo)發(fā)送大量數(shù)據(jù)。

5.3.2 攻擊示例

5.3.3 DNS 放大

DNS 放大就好比有人打電話(huà)給餐館說(shuō)“每道菜都訂一份，請(qǐng)給我回電話(huà)復(fù)述整個(gè)訂單”，而提供的回電號(hào)碼實(shí)際上屬于受害者。幾乎不費(fèi)吹灰之力，就能產(chǎn)生很長(zhǎng)的響應(yīng)并發(fā)送給受害者。

利用偽造的 IP 地址（受害者的 IP 地址）向開(kāi)放式 DNS 服務(wù)器發(fā)出請(qǐng)求后，目標(biāo) IP 地址將收到服務(wù)器發(fā)回的響應(yīng)。

六、如何防護(hù) DDoS 攻擊？

若要緩解 DDoS 攻擊，關(guān)鍵在于區(qū)分攻擊流量與正常流量。

例如，如果因發(fā)布某款產(chǎn)品導(dǎo)致公司網(wǎng)站涌現(xiàn)大批熱情客戶(hù)，那么全面切斷流量是錯(cuò)誤之舉。如果公司從已知惡意用戶(hù)處收到的流量突然激增，或許需要努力緩解攻擊。

難點(diǎn)在于區(qū)分真實(shí)客戶(hù)流量與攻擊流量。

在現(xiàn)代互聯(lián)網(wǎng)中，DDoS 流量以多種形式出現(xiàn)。流量設(shè)計(jì)可能有所不同，從非欺騙性單源攻擊到復(fù)雜的自適應(yīng)多方位攻擊無(wú)所不有。

多方位 DDoS 攻擊采用多種攻擊手段，以期通過(guò)不同的方式擊垮目標(biāo)，很可能分散各個(gè)層級(jí)的緩解工作注意力。

同時(shí)針對(duì)協(xié)議堆棧的多個(gè)層級(jí)（如 DNS 放大（針對(duì)第 3/4 層）外加 HTTP 洪水（針對(duì)第 7 層））發(fā)動(dòng)攻擊就是多方位 DDoS 攻擊的一個(gè)典型例子。

為防護(hù)多方位 DDoS 攻擊，需要部署多項(xiàng)不同策略，從而緩解不同層級(jí)的攻擊。

一般而言，攻擊越復(fù)雜，越難以區(qū)分攻擊流量與正常流量 —— 攻擊者的目標(biāo)是盡可能混入正常流量，從而盡量減弱緩解成效。

如果緩解措施不加選擇地丟棄或限制流量，很可能將正常流量與攻擊流量一起丟棄，同時(shí)攻擊還可能進(jìn)行修改調(diào)整以規(guī)避緩解措施。為克服復(fù)雜的破壞手段，采用分層解決方案效果最理想。

6.1 黑洞路由

有一種解決方案幾乎適用于所有網(wǎng)絡(luò)管理員：創(chuàng)建黑洞路由，并將流量匯入該路由。在最簡(jiǎn)單的形式下，當(dāng)在沒(méi)有特定限制條件的情況下實(shí)施黑洞過(guò)濾時(shí)，合法網(wǎng)絡(luò)流量和惡意網(wǎng)絡(luò)流量都將路由到空路由或黑洞，并從網(wǎng)絡(luò)中丟棄。

如果互聯(lián)網(wǎng)設(shè)備遭受 DDoS 攻擊，則該設(shè)備的互聯(lián)網(wǎng)服務(wù)提供商（ISP）可能會(huì)將站點(diǎn)的所有流量發(fā)送到黑洞中作為防御。這不是理想的解決方案，因?yàn)樗喈?dāng)于讓攻擊者達(dá)成預(yù)期的目標(biāo)：使網(wǎng)絡(luò)無(wú)法訪(fǎng)問(wèn)。

6.2 速率限制

限制服務(wù)器在某個(gè)時(shí)間段接收的請(qǐng)求數(shù)量也是防護(hù)拒絕服務(wù)攻擊的一種方法。

雖然速率限制對(duì)于減緩 Web 爬蟲(chóng)竊取內(nèi)容及防護(hù)暴力破解攻擊很有幫助，但僅靠速率限制可能不足以有效應(yīng)對(duì)復(fù)雜的 DDoS 攻擊。

然而，在高效 DDoS 防護(hù)策略中，速率限制不失為一種有效手段。

6.3 Web 應(yīng)用程序防火墻

Web 應(yīng)用程序防火墻（WAF） 是一種有效工具，有助于緩解第 7 層 DDoS 攻擊。在互聯(lián)網(wǎng)和源站之間部署 WAF 后，WAF 可以充當(dāng)反向代理，保護(hù)目標(biāo)服務(wù)器，防止其遭受特定類(lèi)型的惡意流量入侵。

通過(guò)基于一系列用于識(shí)別 DDoS 工具的規(guī)則過(guò)濾請(qǐng)求，可以阻止第 7 層攻擊。有效的 WAF 的一個(gè)關(guān)鍵價(jià)值是能夠快速實(shí)施自定義規(guī)則以應(yīng)對(duì)攻擊。

6.4 Anycast 網(wǎng)絡(luò)擴(kuò)散

此類(lèi)緩解方法使用 Anycast 網(wǎng)絡(luò)，將攻擊流量分散至分布式服務(wù)器網(wǎng)絡(luò)，直到網(wǎng)絡(luò)吸收流量為止。

這種方法就好比將湍急的河流引入若干獨(dú)立的小水渠，將分布式攻擊流量的影響分散到可以管理的程度，從而分散破壞力。

Anycast 網(wǎng)絡(luò)在緩解 DDoS 攻擊方面的可靠性取決于攻擊規(guī)模及網(wǎng)絡(luò)規(guī)模和效率。采用 Anycast 分布式網(wǎng)絡(luò)是實(shí)施 DDoS防護(hù)策略的一個(gè)重要組成部分。

七、文末送書(shū)《構(gòu)建新型網(wǎng)絡(luò)形態(tài)下的網(wǎng)絡(luò)空間安全體系》

本文介紹了網(wǎng)絡(luò)安全中心的 DDoS攻擊：工作原理、識(shí)別和防御策略，如果你想深入了解，可以看一下下面的博主推薦的這本書(shū)籍

• 參與方式：關(guān)注博主，評(píng)論區(qū)留言即可參與，

• 送出數(shù)量：暫定送出5本給粉絲（博文抽出3本 + 粉絲群2本）

經(jīng)過(guò)30多年的發(fā)展，安全已經(jīng)深入到信息化的方方面面，形成了一個(gè)龐大的產(chǎn)業(yè)和復(fù)雜的理論、技術(shù)和產(chǎn)品體系。

因此，需要站在網(wǎng)絡(luò)空間的高度看待安全與網(wǎng)絡(luò)的關(guān)系，站在安全產(chǎn)業(yè)的高度看待安全廠商與客戶(hù)的關(guān)系，站在企業(yè)的高度看待安全體系設(shè)計(jì)與安全體系建設(shè)之間的關(guān)系。

這是對(duì)安全行業(yè)的一次以網(wǎng)絡(luò)空間為框架，以思考為刀，以安全產(chǎn)品與技術(shù)為刃，以企業(yè)安全體系建設(shè)為牛的深度解構(gòu)與重構(gòu)。

• 官方JD購(gòu)買(mǎi)鏈接：https://item.jd.com/13767561.html

如果你是投資人，可以在這里看到整個(gè)產(chǎn)業(yè)發(fā)展的驅(qū)動(dòng)力，看到安全技術(shù)和廠商的發(fā)展趨勢(shì)，看到未來(lái)優(yōu)秀的安全廠商和技術(shù)的特點(diǎn)，以及未來(lái)十年的廠商與技術(shù)格局。

如果你是客戶(hù)，你可以在數(shù)以十計(jì)的安全標(biāo)準(zhǔn)和安全理論、數(shù)以百計(jì)的安全廠商及數(shù)以千計(jì)的產(chǎn)品和解決方案之間，找到一種合理的組合邏輯，從而讓安全建設(shè)變得有理、有據(jù)、有序。

如果你是安全從業(yè)者，由于平時(shí)工作內(nèi)容的聚焦，可能會(huì)對(duì)安全的某個(gè)點(diǎn)有深入研究，但是對(duì)整個(gè)安全系統(tǒng)還缺乏完整的理解。比如寫(xiě)反病毒引擎的，可能并沒(méi)有機(jī)會(huì)分析病毒；寫(xiě)客戶(hù)端程序的，可能不了解服務(wù)器端技術(shù)。在這里，你可以系統(tǒng)地了解安全是什么，安全有什么，安全該怎么做，安全的未來(lái)將會(huì)如何發(fā)展。

如果你是安全愛(ài)好者，這里還有大量的安全基礎(chǔ)知識(shí)與有趣的安全故事來(lái)等你發(fā)掘。

在這里，安全不再是一堆零配件，而是一個(gè)完整的有機(jī)體。你可以沿著某種視角，由遠(yuǎn)及近、由外而內(nèi)地了解安全，然后更好地駕馭它。

文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-699691.html

到了這里，關(guān)于【云計(jì)算網(wǎng)絡(luò)安全】解析DDoS攻擊：工作原理、識(shí)別和防御策略 | 文末送書(shū)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！