分布式拒絕服務(wù) (DDoS) 攻擊是惡意嘗試使用戶(hù)無(wú)法使用在線(xiàn)服務(wù)，通常是暫時(shí)中斷或暫停其托管服務(wù)器的服務(wù)。DDoS攻擊是從眾多受感染設備發(fā)起的，這些設備通常分布在全球范圍內，稱(chēng)為 僵尸網(wǎng)絡(luò )。它與其他拒絕服務(wù) (DoS) 攻擊不同，因為它使用單個(gè)連接 Internet 的設備（一個(gè)網(wǎng)絡(luò )連接）來(lái)用惡意流量淹沒(méi)目標。這種細微差別是這兩個(gè)有些不同的定義存在的主要原因。這是有關(guān)網(wǎng)絡(luò )安全的一系列廣泛指南的一部分。

從廣義上講，DoS 和 DDoS 攻擊可以分為三種類(lèi)型：

基于卷的攻擊

包括 UDP 泛洪、ICMP 泛洪和其他欺騙性數據包泛洪。攻擊的目標是使被攻擊站點(diǎn)的帶寬飽和，并且幅度以每秒比特數 (Bps) 為單位。

協(xié)議攻擊

包括 SYN 泛洪、分段數據包攻擊、Ping of Death、Smurf DDoS 等。這種類(lèi)型的攻擊消耗實(shí)際的服務(wù)器資源，或中間通信設備的資源，例如防火墻和負載均衡器，并以每秒數據包數 (Pps) 為單位。

應用層攻擊

包括低速和慢速攻擊、GET/POST 洪水、針對 Apache、Windows 或 OpenBSD 漏洞的攻擊等。這些攻擊由看似合法和無(wú)辜的請求組成，其目標是使 Web 服務(wù)器崩潰，其大小以每秒請求數 (Rps) 為單位。

常見(jiàn)的 DDoS 攻擊類(lèi)型

一些最常用的 DDoS 攻擊類(lèi)型包括：

UDP洪水

根據定義，UDP 泛洪是使用用戶(hù)數據報協(xié)議 (UDP) 數據包泛洪目標的任何 DDoS 攻擊。攻擊的目標是淹沒(méi)遠程主機上的隨機端口。這會(huì )導致主機反復檢查在該端口上偵聽(tīng)的應用程序，并（當沒(méi)有找到應用程序時(shí)）回復 ICMP 'Destination Unreachable' 數據包。此過(guò)程會(huì )消耗主機資源，最終可能導致無(wú)法訪(fǎng)問(wèn)。

ICMP（Ping）洪水

原理上與 UDP 泛洪攻擊類(lèi)似，ICMP 泛洪使用 ICMP Echo Request (ping) 數據包淹沒(méi)目標資源，通常在不等待回復的情況下盡可能快地發(fā)送數據包。這種類(lèi)型的攻擊會(huì )消耗傳出和傳入帶寬，因為受害者的服務(wù)器通常會(huì )嘗試使用 ICMP Echo Reply 數據包進(jìn)行響應，從而導致整個(gè)系統顯著(zhù)變慢。

SYN 洪水

SYN 泛洪 DDoS 攻擊利用 TCP 連接序列中的一個(gè)已知弱點(diǎn)（“三次握手”），其中啟動(dòng)與主機的 TCP 連接的 SYN 請求必須由來(lái)自該主機的 SYN-ACK 響應來(lái)回答，并且然后由請求者的 ACK 響應確認。在 SYN 泛洪場(chǎng)景中，請求者發(fā)送多個(gè) SYN 請求，但要么不響應主機的 SYN-ACK 響應，要么從欺騙的 IP 地址發(fā)送 SYN 請求。無(wú)論哪種方式，主機系統都會(huì )繼續等待每個(gè)請求的確認，綁定資源直到無(wú)法建立新連接，最終導致 拒絕服務(wù)。

死亡 ping

死亡 ping (“POD”) 攻擊涉及攻擊者向計算機發(fā)送多個(gè)格式錯誤或惡意的 ping。IP 數據包（包括頭）的最大數據包長(cháng)度為 65,535 字節。然而，數據鏈路層通常對最大幀大小有限制——例如以太網(wǎng)上的 1500 字節。在這種情況下，一個(gè)大的 IP 數據包被拆分為多個(gè) IP 數據包（稱(chēng)為片段），并且接收主機將這些 IP 片段重新組合成完整的數據包。在Ping of Death 場(chǎng)景中，在惡意操作片段內容之后，接收者最終得到一個(gè)重新組裝后大于 65,535 字節的 IP 數據包。這可能會(huì )溢出為數據包分配的內存緩沖區，從而導致對合法數據包的拒絕服務(wù)。

Slowloris

Slowloris是一種針對性很強的攻擊，可以讓一個(gè) Web 服務(wù)器關(guān)閉另一臺服務(wù)器，而不會(huì )影響目標網(wǎng)絡(luò )上的其他服務(wù)或端口。Slowloris 通過(guò)保持與目標 Web 服務(wù)器的盡可能多的連接盡可能長(cháng)時(shí)間地保持打開(kāi)狀態(tài)來(lái)做到這一點(diǎn)。它通過(guò)創(chuàng )建與目標服務(wù)器的連接來(lái)實(shí)現這一點(diǎn)，但只發(fā)送部分請求。Slowloris 不斷發(fā)送更多 HTTP 標頭，但從未完成請求。目標服務(wù)器保持這些虛假連接中的每一個(gè)處于打開(kāi)狀態(tài)。這最終會(huì )溢出最大并發(fā)連接池，并導致拒絕來(lái)自合法客戶(hù)端的額外連接。

NTP 放大

在 NTP 放大攻擊中，犯罪者利用可公開(kāi)訪(fǎng)問(wèn)的網(wǎng)絡(luò )時(shí)間協(xié)議 (NTP) 服務(wù)器來(lái)淹沒(méi)目標服務(wù)器的 UDP 流量。攻擊被定義為放大攻擊，因為在這種情況下查詢(xún)與響應的比率在 1:20 到 1:200 或更高之間。這意味著(zhù)任何獲得開(kāi)放 NTP 服務(wù)器列表的攻擊者（例如，通過(guò)使用諸如 Metasploit 之類(lèi)的工具或來(lái)自開(kāi)放 NTP 項目的數據）都可以輕松產(chǎn)生毀滅性的高帶寬、大容量 DDoS 攻擊。

HTTP 洪水

在 HTTP 洪水 DDoS 攻擊中，攻擊者利用看似合法的 HTTP GET 或 POST 請求來(lái)攻擊 Web 服務(wù)器或應用程序。HTTP 洪水不使用格式錯誤的數據包、欺騙或反射技術(shù)，并且比其他攻擊需要更少的帶寬來(lái)破壞目標站點(diǎn)或服務(wù)器。當它強制服務(wù)器或應用程序分配盡可能多的資源以響應每個(gè)請求時(shí)，這種攻擊是最有效的。

零日 DDoS 攻擊

“零日”定義包括所有未知或新的攻擊，利用尚未發(fā)布補丁的漏洞。該術(shù)語(yǔ)在黑客社區的成員中廣為人知，交易零日漏洞的做法已成為一種流行的活動(dòng)。

DDoS 攻擊背后的動(dòng)機

根據最近的市場(chǎng)研究，DDoS 攻擊正迅速成為最普遍的網(wǎng)絡(luò )威脅類(lèi)型，在過(guò)去一年中，無(wú)論是數量還是數量都在迅速增長(cháng)。趨勢是攻擊持續時(shí)間更短，但每秒數據包攻擊量更大。

攻擊者的主要動(dòng)機是：

• 意識形態(tài)——所謂的“黑客主義者”使用 DDoS 攻擊作為針對他們在意識形態(tài)上不同意的網(wǎng)站的一種手段。
• 業(yè)務(wù)不和——企業(yè)可以使用 DDoS 攻擊戰略性地關(guān)閉競爭對手的網(wǎng)站，例如，阻止他們參與重大活動(dòng)，例如網(wǎng)絡(luò )星期一。
• 無(wú)聊——網(wǎng)絡(luò )破壞者，又名“腳本小子”，使用預先編寫(xiě)的腳本來(lái)發(fā)起 DDoS 攻擊。這些攻擊的肇事者通常是無(wú)聊的，潛在的黑客正在尋找腎上腺素的沖動(dòng)。
• 勒索——犯罪者使用 DDoS 攻擊或 DDoS 攻擊的威脅作為從目標勒索金錢(qián)的手段。
• 網(wǎng)絡(luò )戰——政府授權的 DDoS 攻擊可用于削弱反對派網(wǎng)站和敵國的基礎設施。