分布式拒絕服務(wù)?(DDoS)?攻擊是一種暴力嘗試，可以降低服務(wù)器速度或使服務(wù)器完全崩潰。盡管仍然對企業(yè)構成嚴重威脅，但企業(yè)意識的增強以及 Internet 安全軟件的增強有助于減少攻擊的數量。盡管如此，任何拒絕服務(wù)都代表著(zhù)嚴重的風(fēng)險——但這些攻擊究竟是如何運作的，它們究竟能造成什么樣的損害？

對企業(yè)的經(jīng)濟損失可能是嚴重的。一個(gè)由卡巴斯基實(shí)驗室最近的一項研究顯示，DDoS 攻擊可以花費公司超過(guò)160萬(wàn)$ -一大筆錢(qián)對任何一家公司。DDoS 攻擊幾乎可以理解為“煙幕彈”，在另一次攻擊（如數據盜竊）發(fā)生時(shí)轉移員工的注意力。這強調了不惜一切代價(jià)防范 DDoS 攻擊并采取必要的安全程序以避免災難性經(jīng)濟損失的重要性。

DDoS 剖析

DDoS 攻擊的目標是通過(guò)向服務(wù)器或網(wǎng)絡(luò )資源發(fā)出大量服務(wù)請求來(lái)切斷用戶(hù)與服務(wù)器或網(wǎng)絡(luò )資源的聯(lián)系。雖然簡(jiǎn)單的拒絕服務(wù)涉及一臺“攻擊”計算機和一個(gè)受害者，但分布式拒絕服務(wù)依賴(lài)于能夠同時(shí)執行任務(wù)的受感染計算機或“機器人”計算機的軍隊。

這個(gè)“僵尸網(wǎng)絡(luò )”是由利用易受攻擊的系統的黑客構建的，將其轉變?yōu)榻┦髱?。botmaster 尋找其他易受攻擊的系統并使用惡意軟件感染它們——最常見(jiàn)的是特洛伊木馬病毒。當足夠多的設備被感染時(shí)，黑客命令它們進(jìn)行攻擊；每個(gè)系統開(kāi)始向目標服務(wù)器或網(wǎng)絡(luò )發(fā)送大量請求，使其過(guò)載以導致速度減慢或完全失敗。

有幾種常見(jiàn)的 DDoS 攻擊類(lèi)型，例如基于卷、協(xié)議和應用層?；诹髁康墓舭?UDP、ICMP 和任何其他試圖消耗帶寬的欺騙性數據包泛洪；這種攻擊產(chǎn)生的每秒比特 (Bps) 速率越高，它就越有效。協(xié)議攻擊直接攻擊服務(wù)器資源，包括 Smurf DDoS、Ping of Death 和 SYN floods。如果達到足夠大的每秒數據包速率，服務(wù)器將崩潰。

最后，零日DDoS 或 Slowloris等應用層攻擊通過(guò)發(fā)出看似合法但數量非常大的請求來(lái)針對應用程序。如果在足夠短的時(shí)間內有足夠多的請求，受害者的 Web 服務(wù)器將關(guān)閉。

DDoS 攻擊的影響

DDoS 攻擊可能會(huì )導致金錢(qián)、時(shí)間、客戶(hù)甚至聲譽(yù)的損失。根據攻擊的嚴重程度，資源可能會(huì )離線(xiàn) 24 小時(shí)、多天甚至一周。事實(shí)上，卡巴斯基實(shí)驗室的一項調查顯示，五分之一的 DDoS 攻擊可以持續數天甚至數周，證明它們的復雜性和對所有企業(yè)構成的嚴重威脅。

在攻擊期間，任何員工都無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò )資源，而在運行電子商務(wù)站點(diǎn)的 Web 服務(wù)器的情況下，消費者將無(wú)法購買(mǎi)產(chǎn)品或獲得幫助。美元數字各不相同，但如果攻擊成功，公司每小時(shí)可能損失20,000 美元。

考慮對攻擊中使用的“機器人”計算機的影響也很重要。雖然這些人通常被認為是自愿的罪魁禍首，但他們實(shí)際上是由于系統漏洞而陷入交火中的旁觀(guān)者。在某些情況下，固有的安全問(wèn)題可能會(huì )使特洛伊木馬病毒潛入公司網(wǎng)絡(luò )并感染計算機，而在其他情況下，員工打開(kāi)未知電子郵件附件或下載未經(jīng)驗證的文件是原因。在 DDoS 事件期間，這些次要受害設備也會(huì )運行緩慢，如果自身資源消耗過(guò)大，可能會(huì )崩潰。即使它們保持運行，系統也不會(huì )很好地響應合法的服務(wù)請求。

防御 DDoS

有多種方法可以防御 DDoS 攻擊。根據卡內基梅隆軟件工程研究所的說(shuō)法，最常見(jiàn)的方法之一是限制任何用戶(hù)在被“鎖定”帳戶(hù)之前可以進(jìn)行的登錄嘗試次數。然而，在 DDoS 事件的情況下，此技術(shù)可用于對抗公司，有效地將用戶(hù)長(cháng)時(shí)間鎖定在自己的計算機之外。應始終在系統中內置緊急接入點(diǎn)以應對這種情況。始終應該有其他可靠的反 DDoS 解決方案。為了使該解決方案的工作更加有效，公司可以執行以下操作：

• 容忍針對 DDoS 攻擊的 Web 服務(wù)器配置
• 更改 ISP 防火墻，只允許對公司端服務(wù)進(jìn)行補充的流量
• 調整防火墻以對抗 SYN 洪水攻擊
• 將公共資源遷移到另一個(gè) IP 地址
• 將所有關(guān)鍵業(yè)務(wù)應用程序遷移到云或遷移到單獨的公共子網(wǎng)

此外，公司應禁用任何可能用作 DDoS 滲透點(diǎn)的不需要或不熟悉的網(wǎng)絡(luò )服務(wù)。數據配額和磁盤(pán)分區功能也是一種幫助限制攻擊影響的選項。為網(wǎng)絡(luò )性能和服務(wù)器流量建立基線(xiàn)也很重要。沒(méi)有明顯原因的極高消耗率通常表明攻擊者試圖衡量公司防御的強度。除了這種監控，公司還應該投資一種特殊的反 DDoS 服務(wù)，該服務(wù)具有自動(dòng)掃描功能，以檢測最常見(jiàn)的 DDoS 攻擊類(lèi)型。該軟件應定期更新以提供最大程度的保護。

DDoS：保護自己

分布式拒絕服務(wù)攻擊可能會(huì )導致服務(wù)器中斷和金錢(qián)損失，并對試圖將資源恢復聯(lián)機的 IT 專(zhuān)業(yè)人員造成過(guò)度壓力。正確的檢測和預防方法有助于在 DDoS 事件獲得足以顛覆公司網(wǎng)絡(luò )的勢頭之前阻止它。