- 什么是 DDoS 攻击?
分布式拒绝服务(DDoS)攻击是一种恶意行为,利用大量互联网流量来淹没目标服务器、服务或网络,干扰其运行或使其下线。DDoS 攻击者利用恶意软件控制在线计算机、路由器、物联网设备和其他设备,并将其作为攻击流量的来源。被感染的设备通常被称为机器人(bot),一组机器人则被称为“僵尸网络(botnet)”。在攻击过程中,僵尸网络中的每台设备同时向目标发送请求,企图超过目标的流量上限,导致对正常流量的拒绝服务。
- DDoS 攻击的种类
DDoS 攻击的目标可以是 OSI 模型中七“层”中的任何一个。虽然所有这些攻击都涉及用恶意流量淹没目
标,但它们可以划分成三个不同的类别。这些类别描述了攻击发生的地点和方式。
容量耗尽攻击
这些攻击利用巨大的流量淹没目标站点和网络——流量远高于任何其他类型的攻击。这些攻击常常利用
DNS 放大和其他暴力技术来产生巨大的流量激增,以比特率/秒(bps)来衡量。(在 DNS 放大攻击中攻击者使用公开 DNS 解析器来以放大后的流量淹没目标。
协议攻击
协议攻击以 OSI 模型的第 3 层(网络层)和第 4 层(传输层)中的漏洞为目标,旨在消耗 Web 服务器或其中间资源(包括防火墙和负载平衡器)的所有可用容量。这些攻击均以数据包/秒(pps)为单位衡量,包括:
• SYN 洪水:这种攻击重复发送初始连接请求(SYN)包,以淹没目标服务器上所有可用的端口。
• Ping of Death 攻击:攻击者向目标发送超过最大允许大小的包,导致目标冻结或崩溃。
• Smurf DDoS:在这种攻击中,攻击者利用 互联网控制消息协议(ICMP)包来淹没服务器。
应用层攻击
这些攻击以 OSI 第 7 层为目标。在这一层,作为对 HTTP 或 HTTPS 请求的回应,服务器生成网页并发送
出去。这些攻击相当于在许多计算机上同时反复刷新网页。因此,所产生的 HTTP/S 请求洪水以请求数/秒
(Rps)来衡量。
这些类型的攻击之间存在一些重叠。例如,部分协议攻击可能属于容量耗尽型攻击。同时,还有多手段攻
击,其中攻击者以协议堆栈的多层为目标,或同时发动,或作为对目标的反制措施的响应。
- DDoS 攻击的影响
DDoS 攻击一旦成功,其直接影响是目标服务的性能下降或直接中断。目标服务的全部或部分可能无法
访问。这些性能上的挑战有更广泛的影响。对 web 应用而言,性能低下带来一系列不利影响,包括更高的跳出率,更低的转化率,以及品牌声誉受损。对企业网络而言,性能欠佳导致员工无法完成很多日常工作。此外,一些 DDoS 攻击是掩盖其他攻击的烟幕,使安全团队分心应对,以便攻击者通过其他手段实现其最终目标。在这种情况下,目标组织有可能遭遇未授权的应用访问、恶意软件感染、数据丢失或更糟的情况。