分布式拒絕服務 (DDoS) 攻擊是一種網(wǎng)絡攻擊，其中惡意行為者用大量數(shù)據(jù)淹沒目標系統(tǒng)或網(wǎng)絡，從而壓倒預期目標，使合法用戶無法使用。

當遭受DDoS攻擊時，系統(tǒng)會陷入癱瘓，并且經(jīng)常完全沒有響應。防御者必須迅速采取行動阻止攻擊，這可能需要外部援助，甚至暫時關(guān)閉資源；使用日志、警報和其他資源確定DDoS攻擊的類型；最后，通過更改安全架構(gòu)并投資工具來防止未來的攻擊，從而從攻擊中恢復過來。

第一階段：遏制

一旦遭受DDoS 攻擊，資源運行就會變得遲緩，甚至保護資源的更改也難以執(zhí)行。雖然如果不識別攻擊就無法完全阻止攻擊，但如果系統(tǒng)因惡意流量泛濫而無法訪問，則無法識別攻擊。

必須停止攻擊（即使是暫時的），以恢復內(nèi)部資源，例如 CPU 容量和內(nèi)存。將日志發(fā)送到其他資源（獨立存儲、SIEM 解決方案等）的組織可能能夠同時阻止攻擊并確定 DDoS 攻擊的類型。

初始DDoS響應策略

簡單的 DDoS 攻擊通?？梢酝ㄟ^熟練的內(nèi)部資源進行阻止。但是，請記住，即使是基本的 DDoS 攻擊也可能需要借助主機互聯(lián)網(wǎng)服務提供商 (ISP) 的幫助在上游進行阻止，否則被阻止的 DDoS 攻擊流量仍可能威脅連接帶寬和 ISP 基礎設施。

您可以選擇的初始 DDoS 響應選項包括致電您的服務提供商（如互聯(lián)網(wǎng)和網(wǎng)絡托管）、聯(lián)系網(wǎng)絡安全專家、更改您的網(wǎng)絡以阻止攻擊并加強 DDoS 防護、關(guān)閉您的服務以在重新上線之前進行更改，和/或?qū)嵤┬录夹g(shù)以獲得更好的保護。

聯(lián)系服務提供商

在某些情況下，只需聯(lián)系互聯(lián)網(wǎng)或網(wǎng)絡托管提供商并通知他們有關(guān)情況，就可以阻止 DDoS 攻擊。他們可能已經(jīng)知道并正在努力阻止流量。服務提供商可以確認攻擊的存在并實施一些更改以阻止惡意流量進入網(wǎng)絡。其中一些包括：

• 增加帶寬：增加帶寬可以幫助您抵御 DDoS 攻擊或完全緩解攻擊，但可能不具成本效益。
• 更改 IP 地址/范圍：更改您的 IP 地址和 DNS 信息可以暫時阻止攻擊，直到攻擊者瞄準新的 IP 地址。此外，需要更改多個內(nèi)部系統(tǒng)以反映新的 IP 地址。

雖然聯(lián)系服務提供商很有幫助，但這可能還不夠。典型的互聯(lián)網(wǎng)機器人 DDoS 攻擊規(guī)模可達100 到 500 Gbps，一些更大規(guī)模的攻擊每秒可達到1 億次以上請求。如果沒有專業(yè)幫助，即使是最大的企業(yè)也難以阻止這種規(guī)模的攻擊。

聘請網(wǎng)絡安全專家

利用熟練的專業(yè)人員和高端工具和服務的組合是防御 DDoS 攻擊以及保護自己免受未來攻擊的最有效方法之一。這些方法包括：

• 網(wǎng)絡安全專家：應聯(lián)系安全顧問、托管檢測和響應(MDR) 專家和其他專業(yè)人員，以幫助阻止攻擊、改進針對未來攻擊的系統(tǒng)，并推薦其他事件響應工具和服務。
• 云服務：基于云的DDoS 防護服務通常提供阻止 DDoS 攻擊的最全面的選項，因此組織通常會將其部分或全部基礎設施遷移到 AWS、Microsoft Azure 或 Google Cloud 等云提供商。

請務必更新您的訪問控制列表，以允許服務與受保護系統(tǒng)之間的連接并阻止其他連接，這樣就不會有任何東西繞過 DDoS 服務。但是，也請記住，即使是云提供商也無法阻止源自組織網(wǎng)絡內(nèi)的 DDoS 攻擊。

雖然擁有專業(yè)工具和服務值得投資，但它仍然是一項昂貴的投資，超過任何內(nèi)部解決方案，可能不是公司愿意承擔的費用。此外，在您受到攻擊時尋找合格的專業(yè)人員可能會很困難且壓力很大。

此外，安全專家通常會記錄僵尸網(wǎng)絡和攻擊媒介，以便他們能夠迅速采取行動，甚至在攻擊發(fā)起之前就阻止攻擊。

過濾目標IP地址和位置

查看日志文件通常會揭示有關(guān)您的網(wǎng)絡的寶貴信息，包括產(chǎn)生大部分 DDoS 流量的 IP 地址和位置。然后，您可以使用這些信息在您的網(wǎng)絡上啟用快速且廉價的防御措施。一些選項包括：

• IP 過濾： IP 過濾將允許您阻止特定的 IP 地址。
• 地理封鎖：地理封鎖允許您阻止來自某個地理位置的連接。

這些可以為團隊提供急需的時間來開發(fā)和部署其他策略，但很少是永久性的解決方案，因為攻擊者可以欺騙他們的 IP 地址或利用未封鎖地區(qū)的僵尸網(wǎng)絡，導致安全打地鼠游戲，防御者不斷試圖跟上攻擊者。

此外，來自被阻斷區(qū)域的任何合法流量都將無法訪問您的資源，這可能會導致該地區(qū)的財務損失和聲譽受損。最后，通常建議在 ISP 級別也應用這些過濾器，以避免被阻斷的流量所消耗。

啟用或加強DDoS保護選項

組織應檢查其現(xiàn)有資源（服務器軟件、路由器固件等），以查找可能尚未激活的 DDoS 保護選項。檢查您的網(wǎng)絡設備是否有以下安全選項：

• 路由器上的 DDoS 保護：啟用此功能可通過監(jiān)控進入網(wǎng)絡的流量數(shù)據(jù)包數(shù)量來幫助保護您的網(wǎng)絡免受 DDoS 攻擊。
• 速率限制：速率限制是一種安全功能，它限制了特定時間范圍內(nèi)可以發(fā)出的請求數(shù)量。

由于這些功能已內(nèi)置于多個網(wǎng)絡設備中，因此在攻擊發(fā)生之前在網(wǎng)絡上設置和運行這些功能應該相對容易且成本低廉。它們在攻擊期間可能無效，您可能直到攻擊之后才能部署這些功能。

關(guān)閉服務

有時，關(guān)閉受到攻擊的系統(tǒng)是最佳選擇。在恢復在線狀態(tài)之前，可以隔離服務或資源并加強其防御能力，防止進一步受到攻擊。以下是一些示例：

• 停止特定請求：如果您注意到自己正受到特定網(wǎng)絡請求（即 SYN 洪泛）的轟炸，則可以對傳入的連接請求進行速率限制。
• 阻止下載：如果特定服務試圖下載非常大的文件，則防御措施可能是暫時禁用下載而不影響網(wǎng)站的其余部分。

這是一種快速、廉價且有效的阻止 DDoS 攻擊的方法。但停機時間也可能對組織造成破壞和成本高昂。尤其是在系統(tǒng)完全關(guān)閉的情況下。

實施新技術(shù)

此步驟需要最深入的規(guī)劃和配置，理想情況下應盡早實施，而不是在攻擊發(fā)生后實施，因為在攻擊發(fā)生后，決策可能會倉促做出，考慮事項可能會被忽視。需要考慮的一些工具包括：

• 防火墻：防火墻是一種監(jiān)控網(wǎng)絡流量并實施安全策略以阻止可疑網(wǎng)絡活動或惡意攻擊的工具。
• 安全網(wǎng)關(guān)：此工具類似于防火墻，但主要用于阻止可疑的網(wǎng)絡流量。
• DDoS 防護設備： DDoS 防護設備是一種專用于分析網(wǎng)絡流量以檢測和阻止 DDoS 攻擊的設備。

這些工具的缺點是部署起來成本高昂且耗時，并且需要大量資源進行維護。此外，它們無法防御外部攻擊，并且可能無法快速擴展以防御更大規(guī)模的攻擊。

任何受到攻擊的組織都應探索所有選擇，并根據(jù)其當前情況實施他們認為最有可能成功的措施。

非技術(shù)性DDoS響應

即使事件響應團隊可能正在努力應對 DDoS 攻擊，組織仍必須與其他利益相關(guān)者打交道。攻擊發(fā)生后，請遵循以下非技術(shù)響應：

• 通知高管和利益相關(guān)者：需要根據(jù)組織的事件響應計劃通知所有高管和利益相關(guān)者并不斷更新。
• 建立內(nèi)部溝通：告知員工可用的內(nèi)部資源或完成其職責的替代方法。
• 協(xié)調(diào)公共關(guān)系：根據(jù)事件響應計劃聯(lián)系客戶了解系統(tǒng)狀態(tài)。
• 聯(lián)系您的保險提供商：必須通知網(wǎng)絡安全保險公司、監(jiān)管機構(gòu)（證券交易委員會等）和執(zhí)法部門。

管理層應將非技術(shù)援助納入事件響應團隊，以協(xié)調(diào)、管理和執(zhí)行與利益相關(guān)者的書面、口頭和電話溝通。高管甚至可能希望在團隊中嵌入某人，該人有權(quán)批準費用或協(xié)調(diào)從 DDoS 攻擊中恢復所需的快速采購授權(quán)。

內(nèi)部攻擊與外部攻擊

上述初始 DDoS 技術(shù)適用于所有攻擊。但是，根據(jù) DDoS 攻擊的類型和受影響的架構(gòu)，某些技術(shù)會比其他技術(shù)更有用。您需要了解保護內(nèi)部網(wǎng)絡和外部資源（如視頻游戲系統(tǒng)）免受 DDoS 攻擊之間的區(qū)別。

阻止內(nèi)部和外部路由器、服務器和網(wǎng)站DDoS攻擊

暴露在互聯(lián)網(wǎng)上的實用程序、應用程序和網(wǎng)站資產(chǎn)通常會成為 DDoS 攻擊者的目標，因為它們最容易受到影響。托管或支持這些資源的服務器通常會遭受 CPU、內(nèi)存和帶寬過載。

這些攻擊與針對服務器和路由器的內(nèi)部 DDoS 攻擊截然不同，后者針對的是內(nèi)部網(wǎng)絡協(xié)議和資源。不過，一旦攻擊開始，保護這些不同資源的步驟將非常相似。

1. 阻止初始攻擊

檢查日志文件并開始阻止與攻擊（內(nèi)部或外部）相關(guān)的 IP 地址，使用地理圍欄來阻止特定區(qū)域，或者對于內(nèi)部攻擊，甚至關(guān)閉產(chǎn)生流量的受損本地設備。

然而，有些情況不允許DDoS攻擊者關(guān)閉設備。例如，如果攻擊者將醫(yī)院的呼吸機變成僵尸網(wǎng)絡，醫(yī)院就無法簡單地關(guān)閉呼吸機，否則會嚴重影響患者的健康。

此外，許多攻擊者一旦意識到攻擊已被阻止，就會改變策略和攻擊源。盡管阻止可能只是暫時有效，但它有助于爭取時間實施更有效的保護措施。

2. 避開攻擊

如果阻止無效，請嘗試更改服務器 IP 地址、路由器 IP 地址或網(wǎng)站 URL，以將服務器移出 DDoS 攻擊路徑。與阻止攻擊一樣，這可能只是暫時的緩解，但它可以為實施需要更多時間才能執(zhí)行的其他策略贏得時間。

3.停止服務

如果阻止或避開攻擊不起作用，組織可能需要停止受到攻擊的服務（例如 PDF 下載、購物車、內(nèi)部路由器等）。

部分或全部停止網(wǎng)站、應用程序或內(nèi)部網(wǎng)絡將造成嚴重破壞，因此不應輕視這一步驟。只有在步驟 1 和 2 無法提供足夠的時間來執(zhí)行下面的其他步驟時，才應執(zhí)行此步驟。

4. 啟用額外保護

當部分事件響應團隊試圖阻止現(xiàn)有攻擊時，其他成員應致力于通過以下方式啟用針對 DDoS 攻擊的其他保護措施：

• 致電 ISP： ISP 可以幫助為受到攻擊的網(wǎng)站、應用程序和公開暴露的設備（防火墻、服務器、路由器等）設置外部 DDoS 防護服務。
• 評估防火墻保護：安裝WAF 服務或調(diào)整當前的 WAF 設置和策略可以增強您的網(wǎng)絡防御以阻止攻擊，或者您可以通過下一代防火墻 (NGFW) 重新路由您的內(nèi)部流量。
• 調(diào)整速率限制：在網(wǎng)絡設備上配置速率限制可以改變現(xiàn)有防火墻、服務器和其他相關(guān)資源的請求閾值，以限制進入網(wǎng)絡的流量。
• 添加工具：添加或升級網(wǎng)絡和網(wǎng)站的保護、網(wǎng)絡安全產(chǎn)品、網(wǎng)絡入侵檢測系統(tǒng) (IDS) 和入侵防御系統(tǒng) (IPS)以及FWaaS等云防火墻解決方案可以保護您免受未來的攻擊。 
• 獲取幫助：聘請事件響應或托管 IT 安全服務(MSSP) 供應商可以幫助定位并刪除驅(qū)動 DDoS 攻擊的惡意軟件。

但請注意，額外的保護措施可能會影響現(xiàn)有的架構(gòu)或性能。例如，負載均衡器可能會被 DDoS 工具繞過，或者 DDoS 保護設備的數(shù)據(jù)包檢查可能會導致流量延遲。

還請記住，取證或安全調(diào)查將成為恢復過程的一部分，特別是對于可能引發(fā)網(wǎng)絡安全保險索賠的任何攻擊。需要找到并刪除攻擊者引入的初始感染、接入點、惡意軟件和系統(tǒng)更改，以防止未來的 DDoS 攻擊或其他類型的攻擊（勒索軟件、數(shù)據(jù)盜竊等）。

阻止外部路由器或視頻游戲系統(tǒng)DDoS攻擊

小型企業(yè)、游戲服務器和主播通常將路由器直接連接到互聯(lián)網(wǎng)，攻擊者可以找到他們的 IP 地址來攻擊他們。由于沒有 IT 專業(yè)人員支持環(huán)境，對這些暴露系統(tǒng)的攻擊可能會導致互聯(lián)網(wǎng)訪問完全中斷。阻止這些攻擊的一些方法是更改您的 IP 地址、在您的設備中啟用防御功能以及添加額外的安全層。

1.重置IP地址

避免 DDoS 攻擊的最快方法是重置 IP 地址。有幾種方法可以實現(xiàn)此目的：

• 最快捷的方法 — 拔掉電源：拔掉路由器、游戲系統(tǒng)，有時還要拔掉調(diào)制解調(diào)器。路由器 IP 地址重置最短只需 5 分鐘即可分配新 IP 地址，最長則需要 24 小時，具體取決于 ISP。
• 最佳方法——聯(lián)系 ISP：聯(lián)系互聯(lián)網(wǎng)服務提供商 (ISP)；一些 ISP 限制 IP 地址的更改，需要直接聯(lián)系，但 ISP 也可以實施額外的安全措施或提供額外的服務來阻止 DDoS 攻擊。
• 管理控制臺 IP 重置：通過 Web 瀏覽器以管理員身份登錄路由器控制臺并更改 IP 地址；請查看路由器手冊以獲取說明。
• 命令提示符 IP 地址重置：使用命令行提示符（如 ipconfig（Windows、MacOS）或 ip（Linux））釋放和更新 IP 地址；MacOS 用戶還可以使用高級系統(tǒng)偏好設置來選擇 TCP/IP 和“更新 DHCP 租約”。

當然，這種技術(shù)會導致互聯(lián)網(wǎng)或網(wǎng)絡不可用，直到路由器重新啟動，攻擊者仍然可以搜索新的IP地址來攻擊路由器。

2. 激活 DDoS 防御選項

您還可以探索所用裝備的防御選項。一些防御選項包括：

• 路由器保護：檢查路由器管理控制臺和手冊，了解可以啟用或加強的其他 DDoS 保護選項。這些可以快速激活，但可能會影響性能。
• 升級設備：較舊的路由器或消費級路由器可能缺乏防御現(xiàn)代 DDoS 攻擊和其他常見網(wǎng)絡威脅的功能?？紤]升級到具有更多安全功能或容量的設備。
• 啟用隱私模式：某些游戲機在菜單中提供隱私和在線安全選項，可用于最大限度地減少公開信息。例如，Xbox 具有“私人模式”功能，可在“更多選項”>“Xbox 設置”>“隱私和在線安全”下找到。

3. 添加保護層

為了阻止未來針對路由器的攻擊，請考慮添加額外的保護層：

• 添加設備：在路由器和互聯(lián)網(wǎng)之間添加網(wǎng)絡保護設備，如防火墻、安全網(wǎng)關(guān)和 DDoS 保護。
• 升級或添加專業(yè)級設備：考慮購買提供更多安全性的新型路由器和下一代防火墻。
• 基于云的保護：添加來自 Cloudflare 或 Sucuri 等供應商的云解決方案，例如 FWaaS 或 DDoS 保護服務。
• VPN 網(wǎng)絡服務：使用虛擬專用網(wǎng)絡 (VPN)來隱藏 IP 地址；但是，由于額外的網(wǎng)絡跳數(shù)，它會增加 ping。游戲玩家和流媒體可以尋找具有低延遲連接和安全 IP 地址的 VPN 服務。

最佳選擇取決于組織或個人的預算和技術(shù)能力以及解決方案需要多快實施。

第二階段：分析

有些攻擊會變得明顯，因為一切都會停止，但通常會有一段時間，資源在應對 DDoS 攻擊的早期階段時會“表現(xiàn)得很奇怪”。無論哪種情況，除非識別出攻擊，否則無法完全阻止攻擊，查看日志以確定 DDoS 攻擊的類型，并可能追蹤攻擊的來源。

識別 DDoS 攻擊的跡象

DDoS 攻擊的最初跡象是延遲。應用程序運行緩慢、網(wǎng)站加載緩慢、服務器響應請求緩慢等。

受到攻擊的互聯(lián)網(wǎng)連接的用戶可能會發(fā)現(xiàn)自己無法與互聯(lián)網(wǎng)連接，或無法使用本地資源。網(wǎng)絡運營中心、防火墻監(jiān)控工具、云使用工具和其他監(jiān)控解決方案可能會捕捉到網(wǎng)絡或互聯(lián)網(wǎng)流量的峰值。

在攻擊進行到一定階段時，資源將變得不可用 — 甚至無法運行診斷工具或訪問日志文件和其他報告。團隊應盡快做出響應，或確保資源優(yōu)先發(fā)送日志以供分析。

檢查并分析日志、警報和記錄

理想情況下，第一個故障指標將以日志和警報的形式出現(xiàn)，這些警報來自監(jiān)控工具和軟件，用于檢查帶寬、應用程序性能、內(nèi)存或 CPU 問題。警報可以幫助響應團隊立即采取行動，并在 DDoS 攻擊耗盡資源之前阻止它。

提示：記錄所有內(nèi)容。這些來自 DDoS 攻擊的記錄為多個團隊和利益相關(guān)者提供了寶貴的信息，其中包括：

• 事件響應團隊：數(shù)字取證和事件響應團隊將使用日志來幫助他們分析攻擊，以便更好地了解發(fā)生了什么以及如何防止未來的攻擊。
• 網(wǎng)絡安全保險：大多數(shù)網(wǎng)絡安全保險公司在審查索賠以計算損失時都會要求提供報告的日志副本。

如果沒有警報，組織可能不得不依賴客戶或內(nèi)部投訴，而這些投訴可能會因資源擁塞（應用程序、服務器等）而延遲，或者直到整個網(wǎng)絡因 DDoS 攻擊而癱瘓。

攻擊特征

攻擊特征分析有助于區(qū)分攻擊流量與合法流量，并確定攻擊類型。例如，使用協(xié)議禁用基礎設施的攻擊與針對應用程序中特定功能的應用程序級攻擊需要不同的響應。

由于 DDoS 攻擊類型眾多，因此很難確定具體是哪一種攻擊。不過，響應團隊會分析日志，查找有關(guān)攻擊和潛在防御措施的信息。

DDoS 攻擊可能需要進行數(shù)字取證調(diào)查，以確定惡意軟件如何進入網(wǎng)絡并發(fā)起 DDoS。調(diào)查人員將收集證據(jù)并確保攻擊者和惡意軟件已從網(wǎng)絡中清除。

攻擊追溯

DDoS 攻擊追溯旨在識別 DDoS 攻擊的來源。例如，如果攻擊可以追溯到一系列 IP 地址，則可以通過 IP 阻止來阻止攻擊。但是，追蹤可能極具挑戰(zhàn)性，并且可能無法找到實際的攻擊者。

第三階段：恢復

能夠快速消除 DDoS 攻擊的組織可能只會遭受不便。不那么幸運的組織將需要評估損失，根據(jù) DDoS 補救措施做出必要的調(diào)整，確定采取哪些緊急措施來防止 DDoS 攻擊再次發(fā)生，并考慮其他預防措施。

DDoS攻擊損害

DDoS 攻擊造成的損失因組織而異，取決于受影響的資源。然而，Corero最近的一項調(diào)查估計，DDoS 攻擊每小時可使組織損失數(shù)十萬美元，大型組織可損失高達 100 萬美元，平均每分鐘略高于 6,000 美元。然而，這些報告均未考慮其他成本或業(yè)務和聲譽損失。

遭受 DDoS 攻擊后，組織需要記錄其保險成本和損失，并制定預算，用于購買工具和服務以防止未來的 DDoS 攻擊。

DDoS 補救措施調(diào)整

為了阻止攻擊，組織可能會對架構(gòu)或軟件進行更改，而這無意中會導致其他問題?；謴瓦^程的一部分需要檢查基礎設施以檢測和修復那些損壞的組件或鏈接。例如，將網(wǎng)站移至 DDoS 過濾服務提供商之后可能只會移動主域。子域可能需要手動遷移。

同樣，與其他第三方工具的集成可能需要額外的配置。例如，發(fā)布網(wǎng)站可能會發(fā)現(xiàn)他們的 Web 內(nèi)容管理系統(tǒng)不再正確連接到受 DDoS 提供商保護的發(fā)布內(nèi)容，并且可能需要進行更改才能重新連接到它。

對于在網(wǎng)絡內(nèi)發(fā)起的 DDoS 攻擊，可能需要對單個計算機系統(tǒng)進行清理，以消除惡意軟件或攻擊者訪問設備進行未來攻擊的能力。有時這還可能觸發(fā)數(shù)據(jù)和系統(tǒng)恢復需求。

DDoS 攻擊經(jīng)驗教訓

生成一份經(jīng)驗教訓報告，解釋所發(fā)生的一切，并清楚地說明如何防范類似的攻擊。應立即實施緩解措施，但如果不切實際，則應盡快規(guī)劃緩解措施并提出預算建議。

補救 DDoS 攻擊的成本以及停機造成的任何業(yè)務損失將提供一個粗略目標，以便與緩解預算進行比較。

如果攻擊規(guī)模或影響巨大，請向執(zhí)法機構(gòu)或CERT 等行業(yè)組織報告事件。報告攻擊可以建立主要攻擊者的檔案，并有助于摧毀911 S5和Raptor Train等主要僵尸網(wǎng)絡。

了解三個階段

事件響應團隊經(jīng)常會同時執(zhí)行這些階段。此外，當攻擊者觀察防御者的行為時，他們通常會改變策略，并要求防御團隊在這些階段及其內(nèi)部步驟之間進行迭代。

當然，每個階段的具體內(nèi)容都將高度定制，并取決于許多因素，首先是 DDoS 攻擊的類型、 受到攻擊的資源（路由器、網(wǎng)站、應用程序、服務器等）以及已經(jīng)實施的DDoS 保護或緩解措施。

此外，IT 架構(gòu)、防御者的資源以及攻擊者的奉獻精神也將在如何進行各個階段和技術(shù)方面發(fā)揮重要作用。

幸運的是，ISP 和供應商可以為有需要的人提供專業(yè)的DDoS 防護服務。但是，他們執(zhí)行的幾項任務與我們介紹的類似，不同之處在于他們可能擁有更多的經(jīng)驗和更復雜的工具。

OSI 模型和 DDoS 攻擊

網(wǎng)絡上的所有通信都以網(wǎng)絡數(shù)據(jù)包的形式發(fā)送。當每臺計算機或防火墻收到數(shù)據(jù)包時，設備將檢查內(nèi)容并根據(jù)標頭中的說明處理數(shù)據(jù)包。DDoS 攻擊會濫用這些數(shù)據(jù)包并試圖利用潛在的弱點來使系統(tǒng)過載。OSI 模型的不同層可用于確定DDoS 攻擊的類型：

然而，知道哪一層受到攻擊對于阻止或阻止攻擊幾乎沒有幫助。從本質(zhì)上講，所有攻擊通常分為兩類： 

• 基礎設施層攻擊（第 3、4 層）：這些 DDoS 攻擊會通過大容量或畸形數(shù)據(jù)包攻擊影響防火墻、服務器和路由器。如果這些攻擊來自外部，ISP 和托管合作伙伴通?？梢詭椭鷳獙@些攻擊。
• 應用層攻擊（第 6、7 層）：這些攻擊通過超載信息請求來針對網(wǎng)站和應用程序。它們可以通過Web 應用程序防火墻阻止，但可能需要添加驗證碼等附加功能來阻止自動請求。

在執(zhí)行阻止 DDoS 攻擊的三個關(guān)鍵階段后，組織將發(fā)現(xiàn)自己處于更有利的位置。但是，僅靠恢復無法阻止未來的 DDoS 攻擊，因為它們只能解決最后的攻擊。阻止 DDoS 攻擊的最佳方法始終是組織采取主動并在受到攻擊之前采取防御措施。

預防未來 DDoS 攻擊的 5 個步驟

IT 和安全團隊可以部署多種方案來應對 DDoS 攻擊，這將有助于控制和管理攻擊發(fā)生時的未來影響。其中包括：

1. 加強防御攻擊：更新、修補和更改設置以保護資源免受攻擊。
2. 部署反 DDoS 架構(gòu)：配置資源并實施策略，保護資源免受潛在攻擊并最大限度地減少成功攻擊的影響。
3. 使用反 DDoS 工具：啟用功能并添加工具來檢測和防范或減輕 DDoS 攻擊的影響。
4. 設計 DDoS 響應手冊：制定安全、運營和管理團隊如何應對 DDoS 攻擊的計劃。
5. 安裝 DDoS 監(jiān)控：安裝監(jiān)控來監(jiān)視并提醒工作人員注意攻擊的跡象。

底線：現(xiàn)在做好準備，否則以后會遭殃

隨著攻擊者的技術(shù)和能力不斷提高，防御者必須保持警惕。阻止 DDoS 攻擊不僅會變得更加困難，而且攻擊者還會繼續(xù)加快利用機會窗口的速度。組織現(xiàn)在應該為未來的 DDoS 攻擊做好準備，并利用可用的強大工具和服務來幫助他們。