一、簡介

1、中文名稱：分布式拒絕服務，英文全稱：distributed denial-of-service 。

2、具體含義

通過大規模互聯網流量淹沒目標服務器或其周邊基礎設施，以破壞目標服務器、服務或網絡正常流量的惡意行為。

更加形象的比喻：

如果把互聯網上的網站或服務器看作一個個商店（比如淘寶、京東、微信等等），每個訪問網站的網民看作是商店里的顧客。DDoS 就相當于一堆小混混裝成正常顧客涌入商店，逛來逛去賴著不走讓正常的顧客進不來，或者跟售賣員有一搭沒一搭地說話，占用他們的時間，讓他們無法正常服務客戶。

作者：謝幺
鏈接：https://www.zhihu.com/question/22259175/answer/394917916
來源：知乎
著作權歸作者所有。商業轉載請聯系作者獲得授權，非商業轉載請注明出處。?

二、DDoS 攻擊的工作原理

DDoS 攻擊是通過連接互聯網的計算機網絡進行的。

這些網絡由計算機和其他設備（例如 IoT 設備）組成，它們感染了惡意軟件，從而被攻擊者遠程控制。這些個體設備稱為機器人（或僵尸），一組機器人則稱為僵尸網絡。

一旦建立了僵尸網絡，攻擊者就可通過向每個機器人發送遠程指令來發動攻擊。

當僵尸網絡將受害者的服務器或網絡作為目標時，每個機器人會將請求發送到目標的?IP 地址，這可能導致服務器或網絡不堪重負，從而造成對正常流量的拒絕服務。

由于每個機器人都是合法的互聯網設備，因而可能很難區分攻擊流量與正常流量。

（圖片來源：什么是 DDoS 攻擊？ - 知乎）?

三、如何識別 DDoS 攻擊

DDoS 攻擊最明顯的癥狀是網站或服務突然變慢或不可用。但是，造成類似性能問題的原因有多種（如合法流量激增），因此通常需要進一步調查。流量分析工具可以幫助您發現 DDoS 攻擊的一些明顯跡象：

• 來自單個 IP 地址或 IP 范圍的可疑流量
• 來自共享單個行為特征（例如設備類型、地理位置或 Web 瀏覽器版本）的用戶的大量流量
• 對單個頁面或端點的請求數量出現不明原因的激增
• 奇怪的流量模式，例如一天中非常規時間段的激增或看似不自然的模式（例如，每 10 分鐘出現一次激增）

DDoS 攻擊還有其他更具體的跡象，具體取決于攻擊的類型。

四、常見的 DDoS 攻擊有哪幾類？

1、應用程序層攻擊

攻擊目標：

此類攻擊有時稱為第 7 層?DDoS 攻擊（指 OSI 模型第 7 層），其目標是耗盡目標資源。

攻擊目標是生成網頁并傳輸網頁響應?HTTP?請求的服務器層。在客戶端執行一項 HTTP 請求的計算成本比較低，但目標服務器做出響應卻可能非常昂貴，因為服務器通常必須加載多個文件并運行數據庫查詢才能創建網頁。

第 7 層攻擊很難防御，因為難以區分惡意流量和合法流量。

應用程序層攻擊示例：

HTTP 洪水

HTTP 洪水攻擊類似于同時在大量不同計算機的 Web 瀏覽器中一次又一次地按下刷新 ——大量 HTTP 請求涌向服務器，導致拒絕服務。

這種類型的攻擊有簡單的，也有復雜的。

較簡單的實現可以使用相同范圍的攻擊 IP 地址、referrer 和用戶代理訪問一個 URL。復雜版本可能使用大量攻擊性 IP 地址，并使用隨機 referrer 和用戶代理來針對隨機網址。

2、協議攻擊

攻擊目標：

協議攻擊也稱為狀態耗盡攻擊，這類攻擊會過度消耗服務器資源和/或防火墻和負載平衡器之類的網絡設備資源，從而導致服務中斷。

協議攻擊利用協議堆棧第 3 層和第 4 層的弱點致使目標無法訪問。

協議攻擊示例：

SYN 洪水

SYN 洪水就好比補給室中的工作人員從商店的柜臺接收請求。

工作人員收到請求，前去取包裹，再等待確認，然后將包裹送到柜臺。工作人員收到太多包裹請求，但得不到確認，直到無法處理更多包裹，實在不堪重負，致使無人能對請求做出回應。

此類攻擊利用?TCP 握手（兩臺計算機發起網絡連接時要經過的一系列通信），通過向目標發送大量帶有偽造源 IP 地址的 TCP“初始連接請求”SYN 數據包來實現。

目標計算機響應每個連接請求，然后等待握手中的最后一步，但這一步確永遠不會發生，因此在此過程中耗盡目標的資源。

3、容量耗盡攻擊

攻擊目標：

此類攻擊試圖通過消耗目標與較大的互聯網之間的所有可用帶寬來造成擁塞。攻擊運用某種放大攻擊或其他生成大量流量的手段（如僵尸網絡請求），向目標發送大量數據。

放大示例：

DNS 放大

DNS 放大就好比有人打電話給餐館說“每道菜都訂一份，請給我回電話復述整個訂單”，而提供的回電號碼實際上屬于受害者。幾乎不費吹灰之力，就能產生很長的響應并發送給受害者。

利用偽造的 IP 地址（受害者的 IP 地址）向開放式?DNS 服務器發出請求后，目標 IP 地址將收到服務器發回的響應。

五、如何防護 DDoS 攻擊？

若要緩解 DDoS 攻擊，關鍵在于區分攻擊流量與正常流量。

例如，如果因發布某款產品導致公司網站涌現大批熱情客戶，那么全面切斷流量是錯誤之舉。如果公司從已知惡意用戶處收到的流量突然激增，或許需要努力緩解攻擊。

難點在于區分真實客戶流量與攻擊流量。

在現代互聯網中，DDoS 流量以多種形式出現。流量設計可能有所不同，從非欺騙性單源攻擊到復雜的自適應多方位攻擊無所不有。

多方位 DDoS 攻擊采用多種攻擊手段，以期通過不同的方式擊垮目標，很可能分散各個層級的緩解工作注意力。

同時針對協議堆棧的多個層級（如 DNS 放大（針對第 3/4 層）外加?HTTP 洪水（針對第 7 層））發動攻擊就是多方位 DDoS 攻擊的一個典型例子。

為防護多方位 DDoS 攻擊，需要部署多項不同策略，從而緩解不同層級的攻擊。

一般而言，攻擊越復雜，越難以區分攻擊流量與正常流量 —— 攻擊者的目標是盡可能混入正常流量，從而盡量減弱緩解成效。

如果緩解措施不加選擇地丟棄或限制流量，很可能將正常流量與攻擊流量一起丟棄，同時攻擊還可能進行修改調整以規避緩解措施。為克服復雜的破壞手段，采用分層解決方案效果最理想。

1、黑洞路由

有一種解決方案幾乎適用于所有網絡管理員：創建黑洞路由，并將流量匯入該路由。在最簡單的形式下，當在沒有特定限制條件的情況下實施黑洞過濾時，合法網絡流量和惡意網絡流量都將路由到空路由或黑洞，并從網絡中丟棄。

如果互聯網設備遭受 DDoS 攻擊，則該設備的互聯網服務提供商（ISP）可能會將站點的所有流量發送到黑洞中作為防御。這不是理想的解決方案，因為它相當于讓攻擊者達成預期的目標：使網絡無法訪問。

2、速率限制

限制服務器在某個時間段接收的請求數量也是防護拒絕服務攻擊的一種方法。

雖然速率限制對于減緩 Web 爬蟲竊取內容及防護暴力破解攻擊很有幫助，但僅靠速率限制可能不足以有效應對復雜的 DDoS 攻擊。

3、Web 應用程序防火墻

Web 應用程序防火墻（WAF）?是一種有效工具，有助于緩解第 7 層 DDoS 攻擊。在互聯網和源站之間部署 WAF 后，WAF 可以充當反向代理，保護目標服務器，防止其遭受特定類型的惡意流量入侵。

通過基于一系列用于識別 DDoS 工具的規則過濾請求，可以阻止第 7 層攻擊。有效的 WAF 的一個關鍵價值是能夠快速實施自定義規則以應對攻擊。了解?Cloudflare 的 WAF。

4、Anycast 網絡擴散

此類緩解方法使用 Anycast 網絡，將攻擊流量分散至分布式服務器網絡，直到網絡吸收流量為止。

這種方法就好比將湍急的河流引入若干獨立的小水渠，將分布式攻擊流量的影響分散到可以管理的程度，從而分散破壞力。

Anycast 網絡在緩解 DDoS 攻擊方面的可靠性取決于攻擊規模及網絡規模和效率。采用 Anycast 分布式網絡是 Cloudflare 實施 DDoS防護策略的一個重要組成部分。

Cloudflare 擁有 121 Tbps 的網絡，比有記錄的最大 DDoS 攻擊大一個數量級。

如果您目前恰好受到攻擊，可以采取一些措施擺脫壓力。如果已使用 Cloudflare，則可按照以下步驟緩解攻擊。

我們在 Cloudflare 實施多方位 DDoS 保護，從而緩解可能采用的大量攻擊手段。了解有關 Cloudflare?DDoS 防護及其工作原理的更多信息。

轉載：https://www.cloudflare.com/zh-cn/learning/ddos/what-is-a-ddos-attack/

（SAW：Game Over！）

總結

以上是生活随笔為你收集整理的什么是 DDos 攻击的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。