分布式拒絕服務(wù) (DDoS) 攻擊是指攻擊者使用大量設(shè)備試圖壓垮資源并拒絕合法使用該資源。最常見的是，DDoS 攻擊針對暴露在互聯(lián)網(wǎng)上的網(wǎng)站、應用程序或服務(wù)，但 DDoS 攻擊也可以針對特定的計算機、網(wǎng)關(guān)或內(nèi)部網(wǎng)絡(luò)資源。

為了防止 DDoS 攻擊，必須首先了解容量限制、協(xié)議或應用程序 DDoS 攻擊這三大類 DDoS 攻擊之間的區(qū)別。但是，有些攻擊不屬于這三個類別，大多數(shù)攻擊者使用多種方法使他們的攻擊更難阻止。

主要的 DDoS 攻擊類型有哪些？

DDoS攻擊通常可以概括為三類攻擊：

1. 容量（原始攻擊量）
2. 協(xié)議（濫用 IT 協(xié)議）
3. 應用程序（濫用應用程序功能）

這三個分類又包含細分數(shù)十種DDoS攻擊類型，例如UDP、ICMP、IP、TCP 和 HTTP洪水攻擊及其變體。將在下面深入介紹類別和攻擊類型。

容量耗盡型 DDoS 攻擊

容量限制型 DDoS 攻擊試圖壓垮資源容量。服務(wù)器將因請求而超負荷，網(wǎng)絡(luò)將因流量而超負荷，數(shù)據(jù)庫也可能因調(diào)用而超負荷。

在互聯(lián)網(wǎng)上，DDoS 攻擊旨在使受攻擊網(wǎng)站的帶寬飽和，攻擊強度通常以每秒比特數(shù)來衡量。容量耗盡型 DDoS 攻擊包括：多種不同的洪水攻擊（UDP、CharGen、ICMP）和濫用的應用程序。

UDP 洪水攻擊

用戶數(shù)據(jù)報協(xié)議 (UDP) 不會與服務(wù)器建立雙向會話。相反，UDP 只是發(fā)送數(shù)據(jù)包而不等待回復。

此特性為洪水攻擊提供了完美的設(shè)置，洪水攻擊會嘗試發(fā)送足夠的數(shù)據(jù)包來淹沒正在監(jiān)聽其端口以查找真正的 UDP 流量的主機。攻擊者知道，在任何端口收到 UDP 數(shù)據(jù)包后，服務(wù)器必須檢查與該端口相對應的應用程序，并且協(xié)議將觸發(fā)服務(wù)器內(nèi)的自動進程。

攻擊者通過嵌入在 UDP 數(shù)據(jù)包中的 IP 地址和端口專門攻擊互聯(lián)網(wǎng)或網(wǎng)絡(luò)內(nèi)的服務(wù)器。攻擊旨在通過該處理請求壓垮服務(wù)器或占用網(wǎng)絡(luò)帶寬。

特定的 UDP 洪水攻擊可以使用：

• 域名服務(wù) (DNS)
• 網(wǎng)絡(luò)時間協(xié)議 (NTP)
• 簡單服務(wù)發(fā)現(xiàn)協(xié)議 (SSDP)
• 媒體數(shù)據(jù)，例如音頻或視頻數(shù)據(jù)包
• IP 語音 (VoIP) 電話數(shù)據(jù)包
• 網(wǎng)絡(luò)基本輸入輸出系統(tǒng)
• 點對點 (P2P) 網(wǎng)絡(luò)，例如 BitTorrent 或 Kad 數(shù)據(jù)包
• 簡單網(wǎng)絡(luò)管理協(xié)議 (SNMP)
• 每日名言 (QOTD)
• 視頻游戲特定協(xié)議，例如 Quake 和 Steam

UDP Flood攻擊的變體包括：

• UDP 碎片洪水： UDP 洪水攻擊的這種變體會向受害服務(wù)器發(fā)送更大但碎片化的數(shù)據(jù)包。服務(wù)器將嘗試組裝不相關(guān)的、偽造的和碎片化的 UDP 數(shù)據(jù)包，并可能在此過程中不堪重負。
• 特定的 UDP 放大攻擊：攻擊者無需使用大量受感染的設(shè)備，而是可以使用受害服務(wù)器作為偽造的 IP 地址，向大量合法服務(wù)器發(fā)送合法的 UDP 請求。這些合法服務(wù)器的響應會突然壓垮目標設(shè)備。放大攻擊中經(jīng)常使用的協(xié)議包括：NTP、SNMP 和 SSDP。

CharGEN洪水

CharGEN 協(xié)議于 1983 年開發(fā)，旨在用于調(diào)試、測量和測試。請求服務(wù)器通過端口 19 發(fā)送傳輸控制協(xié)議 (TCP) 或 UDP 請求來觸發(fā)該協(xié)議。然后，接收設(shè)備通過相同的協(xié)議向服務(wù)器響應：

• 通過 TCP 回復任意生成的字符
• 通過 UDP 回復隨機數(shù)

發(fā)送設(shè)備丟棄從主機服務(wù)器接收到的任何信息。

攻擊者會偽造目標服務(wù)器的 IP 地址，并向運行 CharGEN 的聯(lián)網(wǎng)設(shè)備（如打印機和復印機）發(fā)送大量請求。然后這些設(shè)備會響應請求，并用端口 19 流量轟炸服務(wù)器。如果防火墻沒有阻止端口 19，那么服務(wù)器可能會因嘗試分析和響應隨機流量而變得不堪重負。

ICMP（Ping）洪水攻擊

互聯(lián)網(wǎng)控制消息協(xié)議由網(wǎng)絡(luò)設(shè)備之間發(fā)送的特定錯誤消息和操作信息命令組成，例如時間戳、超時錯誤、回顯請求和回顯回復?；仫@請求和回顯回復組合成“ping”命令。

攻擊者使用大量設(shè)備向服務(wù)器發(fā)送偽造的 Ping 數(shù)據(jù)包，而無需等待服務(wù)器回復。該協(xié)議要求服務(wù)器接收請求并做出響應，這會消耗傳入和傳出帶寬。

ICMP碎片洪水

ICMP 碎片洪水攻擊是 ICMP 洪水攻擊的一種變體，它發(fā)送碎片化的 ICMP 數(shù)據(jù)包而不是完整形成的命令。受害服務(wù)器會嘗試從偽造的 ICMP 數(shù)據(jù)包中重建有效命令，并會耗盡資源，試圖在故意不相關(guān)的碎片之間建立聯(lián)系。

濫用應用程序攻擊

在濫用應用程序攻擊中，黑客會破壞合法服務(wù)器（如 P2P 服務(wù)器）上現(xiàn)有的高流量應用程序。然后，來自一臺或多臺受感染機器的流量將被重定向到受害服務(wù)器，黑客將退出系統(tǒng)并允許其自主運行。

由于受感染的應用程序試圖使用正確格式的數(shù)據(jù)包建立有效連接，因此大多數(shù)防御工具都會允許該連接。受害服務(wù)器將因流量激增而無法承受。

協(xié)議 DDoS 攻擊

協(xié)議 DDoS 攻擊并不嚴格使用絕對數(shù)量，而是濫用協(xié)議來壓垮特定資源，通常是服務(wù)器，但有時是防火墻或負載平衡器。這些攻擊通常以每秒數(shù)據(jù)包數(shù)來衡量。

IP 空攻擊

所有符合 Internet 協(xié)議版本 4 的數(shù)據(jù)包都包含標頭，這些標頭應指定該數(shù)據(jù)包使用的傳輸協(xié)議是 TCP、ICMP 等。但是，攻擊者可以將標頭設(shè)置為空值，并且如果沒有丟棄這些數(shù)據(jù)包的具體指令，服務(wù)器將消耗資源來嘗試確定如何傳送這些數(shù)據(jù)包。

TCP 洪水攻擊

傳輸控制協(xié)議 (TCP) 規(guī)定了不同設(shè)備通過網(wǎng)絡(luò)進行通信的方式。各種 TCP 洪水攻擊都濫用基本的 TCP 協(xié)議，通過欺騙或畸形數(shù)據(jù)包來破壞資源。

要理解不同的攻擊，了解 TCP 的工作原理會很有幫助。傳輸控制協(xié)議需要三個通信序列來建立連接：

• SYN：請求設(shè)備（端點或服務(wù)器）將同步序列號以數(shù)據(jù)包形式發(fā)送到服務(wù)器或其他目標設(shè)備（端點）。
• SYN-ACK：服務(wù)器以同步序列號加確認號（ACK）組成的響應來響應SYN數(shù)據(jù)包。
• ACK：請求設(shè)備向服務(wù)器發(fā)送回響應確認號（原始 ACK 號 + 1）。

傳輸通過由四部分組成的終止序列結(jié)束：

• FIN：請求設(shè)備向服務(wù)器發(fā)送會話終止請求（FIN）。
• ACK：服務(wù)器向請求設(shè)備回應一個ACK響應，請求設(shè)備將等待接收FIN數(shù)據(jù)包。
• FIN：服務(wù)器以 FIN 數(shù)據(jù)包（可能幾乎同時）向請求設(shè)備做出響應。
• ACK：請求設(shè)備向服務(wù)器返回最終的 ACK 響應，并關(guān)閉會話。

當服務(wù)器收到意外的 TCP 數(shù)據(jù)包時，服務(wù)器將發(fā)送一個 RST（重置）數(shù)據(jù)包以重置通信。

濫用 TCP 協(xié)議的洪水攻擊試圖使用格式錯誤的 TCP 傳輸來壓垮系統(tǒng)資源。

• SYN 洪水攻擊：攻擊者從偽造的 IP 地址或設(shè)置為忽略響應的服務(wù)器發(fā)送大量 SYN 請求數(shù)據(jù)包。受害服務(wù)器以 SYN-ACK 數(shù)據(jù)包響應并保持通信帶寬開放，等待 ACK 響應。
• SYN-ACK 洪水攻擊：攻擊者向受害服務(wù)器發(fā)送大量偽造的 SYN-ACK 響應。目標服務(wù)器將占用資源，嘗試將響應與不存在的 SYN 請求進行匹配。
• ACK Flood：攻擊者向服務(wù)器發(fā)送大量偽造的 ACK 響應，這會占用資源，試圖用不存在的 SYN-ACK 數(shù)據(jù)包匹配 ACK 響應。TCP PUSH 功能也可用于此類攻擊。
• ACK 碎片洪水： ACK 洪水攻擊的一種變體，該方法使用最大大小為 1,500 字節(jié)的碎片數(shù)據(jù)包來濫用最大 IP 數(shù)據(jù)包長度 65,535 字節(jié)（包括報頭）。當服務(wù)器和路由器等其他資源嘗試重建碎片數(shù)據(jù)包時，重建會超出分配的資源，并可能導致內(nèi)存溢出錯誤或使資源崩潰。
• RST/FIN 洪水攻擊：攻擊者使用偽造的 RST 或 FIN 數(shù)據(jù)包來淹沒服務(wù)器，并嘗試將數(shù)據(jù)包與不存在的開放 TCP 會話匹配，從而消耗資源。
• 多個 ACK 欺騙會話洪水：在此變體中，攻擊者發(fā)送多個 ACK 數(shù)據(jù)包，然后發(fā)送 RST 或 FIN 數(shù)據(jù)包，以更徹底地模仿實際 TCP 流量并欺騙防御。當然，這些數(shù)據(jù)包是欺騙性的，服務(wù)器將消耗其資源，試圖將虛假數(shù)據(jù)包與不存在的開放 TCP 會話進行匹配。
• 多個 SYN-ACK 欺騙會話洪水：此變體使用多個 SYN 和 ACK 數(shù)據(jù)包，后面還跟有 RST 或 FIN 數(shù)據(jù)包。與多個 ACK 欺騙會話洪水一樣，欺騙數(shù)據(jù)包會嘗試模仿合法 TCP 流量，并嘗試將虛假數(shù)據(jù)包與合法流量匹配，從而浪費服務(wù)器資源。
• 同義 IP 攻擊：為了執(zhí)行此方法，攻擊者會偽造 SYN 數(shù)據(jù)包，使用受害服務(wù)器的 IP 地址作為數(shù)據(jù)包的源 IP 地址和目標 IP 地址。然后，無意義的數(shù)據(jù)包會消耗資源，因為服務(wù)器會嘗試響應自身（又稱局域網(wǎng)拒絕攻擊或 LAND 攻擊）或解決從自身接收數(shù)據(jù)包的矛盾，而這些矛盾與無法匹配的 TCP 會話的開放通信有關(guān)。

會話攻擊

攻擊者不必使用偽造的 IP 地址或偽造的數(shù)據(jù)包即可發(fā)起 DDoS 攻擊。會話攻擊使用多個機器人來達到或超過源 IP 范圍，并與目標服務(wù)器發(fā)起合法的 TCP 會話。來自真實 IP 地址的合法 TCP 會話可以避免 DDoS 檢測，但攻擊會延遲 ACK 數(shù)據(jù)包以消耗帶寬并耗盡資源以維持空會話。

慢蜂

與會話攻擊類似，Slowloris 攻擊試圖通過空通信消耗服務(wù)器資源。對于這種攻擊，攻擊者向 Web 服務(wù)器發(fā)送部分 HTTP 請求，以盡可能長時間保持盡可能多的會話打開。這些攻擊占用的帶寬非常少，很難檢測到。

死亡之Ping

Ping of Death 攻擊濫用了 IP 數(shù)據(jù)包的最大長度 65,535 字節(jié)（包括報頭），其方式與 ACK Fragmentation Flood 類似。由于通過以太網(wǎng)發(fā)送數(shù)據(jù)的最大幀大小通常設(shè)置為 1,500 字節(jié)，因此攻擊者將發(fā)送多個符合以太網(wǎng)限制的 IP 片段，但這些片段將組合成一個超過最大 IP 數(shù)據(jù)包長度的數(shù)據(jù)包。當接收方計算機重新組合 IP 片段時，它可能會溢出分配給數(shù)據(jù)包的內(nèi)存緩沖區(qū)或?qū)е掠嬎銠C崩潰。

Smurf 攻擊

名為 Smurf 的惡意軟件程序利用 IP 和 ICMP 協(xié)議，向具有目標設(shè)備 IP 地址的路由器的廣播地址發(fā)送大量偽造的 ICMP ping 請求。網(wǎng)絡(luò)上的每個設(shè)備都會響應 ping 請求，并可能使接收設(shè)備不堪重負。自 1999 年以來，大多數(shù)路由器默認不會轉(zhuǎn)發(fā)發(fā)送到廣播地址的數(shù)據(jù)包，這種攻擊效果并不好。

碎片攻擊

Fraggle 攻擊是 Smurf 攻擊的一種變體，它通過欺騙 UDP 數(shù)據(jù)包而不是 ICMP 數(shù)據(jù)包，通過針對網(wǎng)絡(luò)路由器的廣播地址來使受害計算機不堪重負。網(wǎng)絡(luò)上的每個設(shè)備都會響應 UDP 請求，并可能使接收設(shè)備不堪重負。默認情況下，自 1999 年以來，大多數(shù)現(xiàn)代路由器都不會轉(zhuǎn)發(fā)發(fā)送到廣播地址的數(shù)據(jù)包，這降低了此攻擊的有效性。

低軌道離子炮（LOIC）

Low Orbit Ion Cannon 開源軟件旨在成為一種網(wǎng)絡(luò)壓力測試工具，它會向目標設(shè)備發(fā)送大量數(shù)據(jù)包（UPD、TCP、HTTP）。不幸的是，攻擊者會將此攻擊部署到僵尸網(wǎng)絡(luò)并利用它執(zhí)行 DDoS 攻擊。

高軌道離子炮 (HOIC)

高軌道離子炮應用程序用一個公開可用的應用程序取代了低軌道離子炮，該應用程序可以同時向多達 256 個不同的域提交大量 GET 和 HTTP POST 請求。當被惡意攻擊者使用時，HOIC 可能比 LOIC 更強大、更具破壞性。

應用程序 DDoS 攻擊

應用程序 DDoS 攻擊針對應用程序中的漏洞，導致應用程序本身出現(xiàn)故障。與其他專注于破壞基礎(chǔ)設(shè)施的攻擊不同，這種攻擊專注于第 7 層軟件。但是，它也可能導致 CPU 過載或內(nèi)存耗盡，從而影響服務(wù)器和其他應用程序。應用程序 DDoS 攻擊的強度以每秒請求數(shù)來衡量。

例如，計算量大的過程（如將商品添加到購物車或進行結(jié)賬）可能會被濫用，并發(fā)出許多并發(fā)請求，從而超出程序的限制或主機的資源。其他攻擊針對軟件中的特定漏洞或使用SQL 注入來破壞數(shù)據(jù)庫。

具有特定名稱的應用程序 DDoS 攻擊包括：

HTTP 洪水攻擊

HTTP 洪水攻擊濫用 HTTP 命令，試圖壓垮網(wǎng)站、托管網(wǎng)站的服務(wù)器以及用于訪問網(wǎng)站的帶寬。這些攻擊中使用的機器人可以連續(xù)發(fā)送多個請求，因此僵尸網(wǎng)絡(luò)中的大量機器會成倍增加目標網(wǎng)站的流量。

• GET 攻擊：攻擊者使用僵尸網(wǎng)絡(luò)發(fā)送大量針對大文件（例如大型 PDF 文件或視頻）的并發(fā) GET 請求。
• POST 攻擊：大量機器人發(fā)送大量并發(fā) POST 請求，其中包含大文件以存儲在目標服務(wù)器上。
• 低速慢速 POST 攻擊：攻擊者通常使用 RU-Dead-Yet? (RUDY) 工具執(zhí)行攻擊，他們發(fā)送 HTTP Post 請求，表示他們將發(fā)送大量數(shù)據(jù)，但隨后會非常緩慢地發(fā)送少量數(shù)據(jù)。這種攻擊可避開尋找大容量攻擊的 DDoS 防御措施，并占用服務(wù)器上的資源。
• 單一會話或單一請求攻擊：許多反 DDoS 防御措施現(xiàn)在會阻止大量傳入數(shù)據(jù)包，因此攻擊者會利用 HTTP 1.1 中的漏洞將許多不同的請求包含在單個 HTTP 數(shù)據(jù)包中。
• 碎片化 HTTP 洪水攻擊：僵尸網(wǎng)絡(luò)不會發(fā)送大量有效請求，而是建立有效的 HTTP 連接，并將 HTTP 數(shù)據(jù)包拆分為小片段，并以服務(wù)器允許的最慢速度發(fā)送。這種低速慢速攻擊使用的數(shù)據(jù)包速率對許多 DDoS 防御措施來說似乎是安全的，但軟件或服務(wù)器會保持會話處于活動狀態(tài)，并消耗保留帶寬的資源。Slowloris 工具可實現(xiàn)這種類型的攻擊。
• 遞歸 GET 洪水：攻擊者試圖通過請求長列表頁面或圖片來壓垮服務(wù)器。這種攻擊看似是正常的瀏覽行為，但僵尸網(wǎng)絡(luò)只是在消耗資源，現(xiàn)在無法用于合法流量。
• 隨機遞歸 GET 洪水：遞歸 GET 洪水的一種變體，這種攻擊會隨機化請求的頁面以避免被發(fā)現(xiàn)。

重做

正則表達式拒絕服務(wù)嘗試請求算法上高度復雜的搜索模式，從而浪費資源甚至導致系統(tǒng)崩潰。

還有其他DDoS攻擊類型嗎？

盡管容量攻擊、協(xié)議攻擊和應用程序攻擊是最常見的 DDoS 攻擊形式，但有些攻擊并不屬于明確的分類。

高級持久性 DoS (APDoS)

APDoS 是黑客用來造成嚴重破壞的一種攻擊類型。它使用多種攻擊方式，例如 HTTP 泛洪和 SYN 泛洪，并定期針對每秒發(fā)出數(shù)百萬個請求的多個攻擊媒介。APDoS 攻擊可以持續(xù)數(shù)周，這主要是因為黑客能夠隨時切換策略并制造干擾以逃避安全防御。

多向量攻擊

攻擊者可以部署多個并發(fā)攻擊來造成 DDoS。例如，攻擊者可能會使用容量耗盡攻擊來分散防御者的注意力，同時從另一個僵尸網(wǎng)絡(luò)執(zhí)行低帶寬 HTTP 洪水攻擊。

零日 DDoS 攻擊

攻擊者可能會發(fā)現(xiàn)應用程序、協(xié)議或硬件的未公開漏洞并執(zhí)行 DDoS 攻擊。當利用新漏洞時，這種攻擊就是零日攻擊。

綜述：阻止和預防 DDoS 攻擊

了解 DDoS 攻擊的類型，以便能夠阻止它們。各種各樣的資源都可能受到更多種類的 DDoS 攻擊。安全和運營團隊需要共同努力，在資源的可訪問性和性能與安全性和風險之間取得平衡。

冗余對于防御和恢復 DDoS 攻擊至關(guān)重要，但眾所周知，專職攻擊者會同時攻擊多個 Web 服務(wù)器，因此負載平衡器和冗余是不夠的。創(chuàng)紀錄的 DDoS 攻擊成為頭條新聞，并說明了基于 Web 的 DDoS 攻擊的潛在數(shù)量巨大：

• 谷歌在最大規(guī)模的第 7 層 DDoS 攻擊中阻止了 4600 萬個請求。
• Akamai每秒阻止了 8.09 億個數(shù)據(jù)包的流量激增。
• Impervia在四小時內(nèi)阻止了總計 253 億次請求的攻擊。

防御這些攻擊需要設(shè)備強化、冗余、反 DDoS 工具和反 DDoS 服務(wù)的重疊和支持組合——也許還需要DDoS 預防和響應服務(wù)的支持。