IT 行業(yè)最近見(jiàn)證了分布式拒絕服務(wù) (DDoS) 攻擊的穩(wěn)步增長(zhǎng)。 多年前，DDoS 攻擊被認(rèn)為是新手攻擊者犯下的小麻煩，他們這樣做是為了好玩，并且相對(duì)容易緩解它們。 不幸的是，這種情況已經(jīng)不復(fù)存在了。 DDoS 攻擊現(xiàn)在是一項(xiàng)復(fù)雜的活動(dòng)，在許多情況下是一項(xiàng) 大生意 。

InfoSecurity Magazine 報(bào)告稱 ，2021 年第一季度有 290 萬(wàn)次 DDoS 攻擊，比 2020 年同期增長(zhǎng) 31%。

與 2020 年同期相比，2021 年第一季度的 DDoS 攻擊增加了 31%，達(dá)到 290 萬(wàn)次

近年來(lái)，我們看到 呈指數(shù)級(jí)增長(zhǎng) ，導(dǎo)致企業(yè)在很長(zhǎng)一段時(shí)間內(nèi)無(wú)法運(yùn)作。

• 2020 年 2 月，亞馬遜網(wǎng)絡(luò)服務(wù) (AWS) 遭受了一次復(fù)雜的 DDoS 攻擊，導(dǎo)致其事件響應(yīng)團(tuán)隊(duì)持續(xù)數(shù)日忙碌，這也影響了全球客戶。
• 2021 年 2 月，EXMO 加密貨幣交易所成為 DDoS 攻擊的受害者，導(dǎo)致該組織近五個(gè)小時(shí)無(wú)法運(yùn)營(yíng)。
• 最近，澳大利亞經(jīng)歷了一次重大的、 持續(xù)的、由國(guó)家支持的 DDoS 攻擊 。
• 比利時(shí)也成為針對(duì)該國(guó)議會(huì)、 警察部門和大學(xué) 。

每天都會(huì)發(fā)生數(shù)十萬(wàn)次未命名、未記錄但成功的 DDoS 攻擊。 事實(shí)上，正是這些攻擊是最有效和最昂貴的。 DDoS 上升趨勢(shì) 有望繼續(xù) ，這使得具有緩解技能的 IT 專業(yè)人員需求量很大。

激烈的 IT 戰(zhàn)：什么是 DDoS 攻擊？

盡管變得越來(lái)越普遍，但 DDoS 攻擊可能非常先進(jìn)且難以打擊。 但究竟什么是 DDoS 攻擊，DDoS 代表什么？

DDoS 是分布式拒絕服務(wù)的縮寫。 當(dāng)威脅參與者使用來(lái)自多個(gè)遠(yuǎn)程位置的資源來(lái)攻擊組織的在線操作時(shí)，就會(huì)發(fā)生 DDoS 攻擊。 通常，DDoS 攻擊側(cè)重于生成操縱 網(wǎng)絡(luò)設(shè)備和服務(wù)（例如，路由器、命名服務(wù)或緩存服務(wù)）的默認(rèn)設(shè)置，甚至正常工作。 事實(shí)上，這是主要問(wèn)題。

復(fù)雜的 DDoS 攻擊不一定要利用默認(rèn)設(shè)置或開(kāi)放中繼。 他們利用正常行為并利用在當(dāng)今設(shè)備上運(yùn)行的協(xié)議最初是如何設(shè)計(jì)運(yùn)行的。 就像社會(huì)工程師操縱人類交流的默認(rèn)運(yùn)作方式一樣，DDoS 攻擊者操縱我們都依賴和信任的網(wǎng)絡(luò)服務(wù)的正常運(yùn)作。

當(dāng)發(fā)生 DDoS 攻擊時(shí)，目標(biāo)組織的一項(xiàng)或多項(xiàng)服務(wù)會(huì)遭受嚴(yán)重中斷，因?yàn)楣粢呀?jīng)用 HTTP 請(qǐng)求和流量淹沒(méi)了他們的資源，從而拒絕了合法用戶的訪問(wèn)。 DDoS 攻擊 ，被列為我們這個(gè)時(shí)代四大網(wǎng)絡(luò)安全威脅之一 社會(huì)工程 、 勒索 和供應(yīng)鏈攻擊中

現(xiàn)代戰(zhàn)爭(zhēng)：避免混淆 DDoS 攻擊

將 DDoS 攻擊與其他網(wǎng)絡(luò)威脅相混淆相對(duì)容易。 事實(shí)上，IT 專業(yè)人員甚至網(wǎng)絡(luò)安全專業(yè)人員都非常缺乏關(guān)于 DDoS 攻擊究竟如何工作的知識(shí)。

在 DDoS 攻擊中，網(wǎng)絡(luò)犯罪分子利用網(wǎng)絡(luò)設(shè)備和服務(wù)器之間發(fā)生的正常行為，通常 針對(duì) 與 Internet 建立連接的網(wǎng)絡(luò)設(shè)備。 因此，攻擊者關(guān)注的是邊緣網(wǎng)絡(luò)設(shè)備（例如路由器、交換機(jī)），而不是單個(gè)服務(wù)器。 DDoS 攻擊使網(wǎng)絡(luò)管道（帶寬）或提供 那個(gè)帶寬。

這是一個(gè)有用的類比：想象有幾個(gè)人同時(shí)給您打電話，這樣您就無(wú)法撥打或接聽(tīng)電話或?qū)⒛碾娫捰糜谌魏纹渌康摹?這個(gè)問(wèn)題一直存在，直到您通過(guò)您的提供商阻止這些呼叫。

請(qǐng)注意，您不會(huì)對(duì)您的實(shí)際移動(dòng)設(shè)備進(jìn)行修復(fù)、升級(jí)或以其他方式進(jìn)行調(diào)整。 相反，您可以使用手機(jī)提供商的攔截服務(wù)來(lái)修復(fù)攻擊者與您的手機(jī)之間的連接。

在 DDoS 攻擊期間也會(huì)發(fā)生類似的事情。 您無(wú)需修改??受到攻擊的資源，而是在您的網(wǎng)絡(luò)和威脅參與者之間應(yīng)用修復(fù)程序（也稱為緩解措施）。

DDoS 與 DoS 攻擊：有什么區(qū)別？

避免將 DDoS（分布式拒絕服務(wù)）攻擊與 DoS（拒絕服務(wù)）攻擊混淆是很重要的。 盡管只有一個(gè)詞將兩者分開(kāi)，但這些攻擊的性質(zhì)差異很大。

• 嚴(yán)格定義，典型的 DDoS 攻擊操縱攻擊者和受害者之間的許多分布式網(wǎng)絡(luò)設(shè)備發(fā)動(dòng)不知情的攻擊，利用合法行為。
• 傳統(tǒng)的 DoS 攻擊不使用多個(gè)分布式設(shè)備，也不關(guān)注攻擊者和組織之間的設(shè)備。 這些攻擊也往往不使用多個(gè)互聯(lián)網(wǎng)設(shè)備。

典型的 DoS 攻擊可能包括以下內(nèi)容：

• 單源 SYN 泛洪： 當(dāng)攻擊者使用單個(gè)系統(tǒng)發(fā)出 SYN 數(shù)據(jù)包泛洪攻擊，操縱典型的 TCP 三向握手時(shí)，就會(huì)發(fā)生這種情況。 例如，某人可能使用 Kali Linux 生成的 SYN 洪水 計(jì)算機(jī)不是真正的 DDoS 攻擊，因?yàn)樗M(jìn)行的攻擊僅來(lái)自一個(gè)設(shè)備。 即使攻擊者使用 IP 地址欺騙也是如此。 對(duì)于網(wǎng)絡(luò)級(jí)設(shè)備，真正的 DDoS 攻擊是由網(wǎng)絡(luò)級(jí)設(shè)備生成的。 換句話說(shuō)，您使用多個(gè)路由器或 Memcached 服務(wù)器來(lái)攻擊網(wǎng)絡(luò)。
• “死亡 ping”： 多年前，一些網(wǎng)絡(luò)驅(qū)動(dòng)程序包含有缺陷的代碼，如果它收到包含某些參數(shù)的 ICMP 數(shù)據(jù)包，則會(huì)導(dǎo)致系統(tǒng)崩潰。
• ： slow loris 攻擊 ， slow loris 攻擊通常稱為 DDoS 攻擊，但因?yàn)楣翎槍?duì)的是特定服務(wù)器（在這種情況下 web 服務(wù)器）并且通常不使用中間網(wǎng)絡(luò)設(shè)備，它通常是傳統(tǒng)的 DoS 攻擊。

上述每種 DoS 攻擊都利用了特定主機(jī)中的軟件或內(nèi)核弱點(diǎn)。 要解決此問(wèn)題，您需要修復(fù)主機(jī)和/或過(guò)濾掉流量。 如果您可以升級(jí)服務(wù)器以減輕攻擊，那么它不符合條件 作為傳統(tǒng)的 DDoS 攻擊。

請(qǐng)記住，在 DDoS 攻擊中，威脅行為者采用資源消耗策略。 該策略涉及使用看似合法的請(qǐng)求來(lái)壓倒實(shí)際上不合法的系統(tǒng)，從而導(dǎo)致系統(tǒng)問(wèn)題。

攻擊策略：DDoS 攻擊的類型

DDoS 攻擊一般分為三種類型。

1. 應(yīng)用層

2.協(xié)議

3. 體積

在某些情況下，IT 和網(wǎng)絡(luò)安全專家將基于協(xié)議和應(yīng)用程序的 DDoS 攻擊視為一類。

收集英特爾：為什么您需要了解 DDoS 攻擊

DDoS 攻擊的問(wèn)題越來(lái)越嚴(yán)重，IT 專業(yè)人員需要做好準(zhǔn)備。

• ，到 2020 年，到 2021 年，第 7 層攻擊有所增加 據(jù) CloudFlare 稱 。
• ，在 2020 年第一季度，超過(guò) 100 GB/s 的 DDoS 攻擊數(shù)量增加了近十倍 (967%) 根據(jù) Comparitech 。
• 體積攻擊的絕對(duì)規(guī)模已增加到壓倒性的比例。 CloudFlare 還報(bào)告 說(shuō) 500 Mbps DDoS 攻擊已成為容量的標(biāo)準(zhǔn) 攻擊。
• DDoS 攻擊正變得越來(lái)越普遍。 2021 年 據(jù) ZDNet 報(bào)道 DDoS 攻擊在前兩年至少增長(zhǎng)了 154%。
• 攻擊變得更加復(fù)雜。 攻擊者將 DDoS 與其他類型的攻擊（ 包括勒索軟件 。
• DDoS 攻擊者采用復(fù)雜的人工智能 (AI) 和機(jī)器學(xué)習(xí)方法來(lái)幫助進(jìn)行攻擊。 例如，DDoS 僵尸網(wǎng)絡(luò)應(yīng)用機(jī)器學(xué)習(xí)方法進(jìn)行復(fù)雜的網(wǎng)絡(luò)偵察，以找到 最脆弱的系統(tǒng)。 他們還使用人工智能重新配置自己，以阻止檢測(cè)和改變攻擊策略。 現(xiàn)代攻擊很可能表現(xiàn)為防御者和攻擊者將啟用人工智能的系統(tǒng)相互對(duì)抗。
• DDoS 攻擊者采用了混合攻擊策略。 他們將各種攻擊方法與社會(huì)工程、憑證竊取和物理攻擊相結(jié)合，使實(shí)際的 DDoS 攻擊只是多方面方法中的一個(gè)因素。

戰(zhàn)術(shù)戰(zhàn)：DDoS 攻擊者如何避免檢測(cè)

眾所周知，DDoS 攻擊很狡猾，因此很難確定。 它們?nèi)绱私苹脑蛑皇请y以確定原產(chǎn)地。 威脅行為者通常采用三種主要策略來(lái)發(fā)起 DDoS 攻擊：

1. 欺騙

默認(rèn)情況下，IPv4 和 IPv6 無(wú)法驗(yàn)證和跟蹤流量。 特別是對(duì)于 IPv4 網(wǎng)絡(luò)，欺騙源地址和目標(biāo)地址非常簡(jiǎn)單。 DDoS 攻擊者通過(guò)偽造具有 偽造的源地址。 因此，攻擊者有可能通過(guò)向最初從未真正發(fā)出請(qǐng)求的受害主機(jī)發(fā)送數(shù)百萬(wàn)個(gè)回復(fù)來(lái)欺騙合法設(shè)備響應(yīng)這些數(shù)據(jù)包。

2. 反思

攻擊者通常希望隱藏他們參與 DDoS 攻擊的任何痕跡。 為此，他們操縱互聯(lián)網(wǎng)服務(wù)的默認(rèn)行為，以便服務(wù)有效地隱藏實(shí)際的攻擊者。 這些類型的攻擊中經(jīng)常使用的服務(wù) 包括數(shù)千個(gè)域名系統(tǒng) (DNS)、網(wǎng)絡(luò)時(shí)間協(xié)議 (NTP) 和簡(jiǎn)單網(wǎng)絡(luò)管理 (SNMP) 服務(wù)器。 這是攻擊者被 DDoS 策略吸引的主要原因之一。 互聯(lián)網(wǎng)服務(wù)不僅提供 流量，但它們也往往使防御者更難追蹤攻擊的來(lái)源，因?yàn)榇蠖鄶?shù)服務(wù)器不保留使用它們的服務(wù)的詳細(xì)日志。

3. 放大

放大是一種策略，它讓 DDoS 攻擊者使用源倍增器生成大量流量，然后可以針對(duì)受害主機(jī)。 放大攻擊不使用僵尸網(wǎng)絡(luò)，它只是一種策略，允許攻擊者 發(fā)送一個(gè)偽造的數(shù)據(jù)包，然后欺騙合法服務(wù)向受害者網(wǎng)絡(luò)或服務(wù)器發(fā)送數(shù)百甚至數(shù)千條回復(fù)。

了解 DDoS 攻擊使用正常的互聯(lián)網(wǎng)操作來(lái)進(jìn)行惡作劇非常重要。 這些設(shè)備不一定配置錯(cuò)誤，它們實(shí)際上表現(xiàn)得像它們應(yīng)該表現(xiàn)的那樣。 攻擊者只需 找到了一種方法來(lái)利用這種行為并操縱它來(lái)進(jìn)行 DDoS 攻擊。

此外，網(wǎng)絡(luò)設(shè)備和服務(wù)通常會(huì)在不知情的情況下成為 DDoS 攻擊的參與者。 這三種策略利用了全球網(wǎng)絡(luò)資源的默認(rèn)行為。 這些資源包括：

• 路由器
• 開(kāi)關(guān)
• 防火墻
• 負(fù)載均衡器
• 緩存服務(wù)器
• 邊緣網(wǎng)絡(luò)設(shè)備
• 移動(dòng)信號(hào)塔（包括4G和5G）

戰(zhàn)斗持續(xù)時(shí)間：DDoS 攻擊持續(xù)多長(zhǎng)時(shí)間？

DDoS 攻擊的長(zhǎng)度和復(fù)雜程度差異很大。 DDoS 攻擊可能會(huì)持續(xù)很長(zhǎng)時(shí)間，也可能非常短暫：

• 長(zhǎng)期攻擊： 在數(shù)小時(shí)或數(shù)天內(nèi)發(fā)動(dòng)的攻擊被視為長(zhǎng)期攻擊。 例如，對(duì) AWS 的 DDoS 攻擊造成了三天的中斷，最終得到緩解。
• 突發(fā)攻擊： 這些 DDoS 攻擊在很短的時(shí)間內(nèi)發(fā)動(dòng)，僅持續(xù)一分鐘甚至幾秒鐘。

不要被欺騙。 盡管速度非?？欤l(fā)攻擊實(shí)際上可能極具破壞性。 隨著物聯(lián)網(wǎng) (IoT) 設(shè)備和功能日益強(qiáng)大的計(jì)算設(shè)備的出現(xiàn)，有可能產(chǎn)生比 以往。 因此，攻擊者可以在很短的時(shí)間內(nèi)創(chuàng)建更多的流量。 突發(fā) DDoS 攻擊通常對(duì)攻擊者有利，因?yàn)樗y追蹤。

技術(shù)戰(zhàn)：僵尸網(wǎng)絡(luò)和 DDoS 攻擊

僵尸網(wǎng)絡(luò)是龐大的計(jì)算機(jī)網(wǎng)絡(luò)，可用于發(fā)動(dòng) DDoS 攻擊。 它們通常由受感染的計(jì)算機(jī)（例如， 物聯(lián)網(wǎng)設(shè)備 、服務(wù)器、工作站、 路由器等）或僵尸，由中央服務(wù)器控制。

攻擊者不一定需要僵尸網(wǎng)絡(luò)來(lái)進(jìn)行 DDoS 攻擊。 威脅者可以簡(jiǎn)單地操縱互聯(lián)網(wǎng)上數(shù)以萬(wàn)計(jì)的網(wǎng)絡(luò)設(shè)備，這些設(shè)備要么配置錯(cuò)誤，要么按設(shè)計(jì)運(yùn)行。 盡管如此，重要的是 了解基于僵尸網(wǎng)絡(luò)的 DDoS 攻擊是如何發(fā)生的。

更復(fù)雜的數(shù)字?jǐn)橙耍篋DoS 攻擊的演變

網(wǎng)絡(luò)安全的現(xiàn)實(shí)之一是，大多數(shù)攻擊者都是中等天賦的人，他們以某種方式想出了如何操縱特定的網(wǎng)絡(luò)條件或情況。 盡管經(jīng)常討論高級(jí)持續(xù)性威脅 （APT）和越來(lái)越老練的黑客，現(xiàn)實(shí)往往要平凡得多。

例如，大多數(shù) DDoS 攻擊者只是找到特定的協(xié)議。 他們會(huì)發(fā)現(xiàn)他們可以操縱傳輸控制協(xié)議 (TCP) 握手來(lái)創(chuàng)建 SYN 數(shù)據(jù)包或特定類型的服務(wù)器（例如內(nèi)存）的洪水攻擊 緩存守護(hù)進(jìn)程（它通常被稱為“Memcached”，用于內(nèi)存緩存守護(hù)進(jìn)程）。 Memcached 服務(wù)是一種經(jīng)常用于幫助加速 Web 應(yīng)用程序的合法服務(wù)。 攻擊者經(jīng)常利用 Memcached 實(shí)現(xiàn) 沒(méi)有正確固定，甚至那些運(yùn)行正常的。

攻擊者還發(fā)現(xiàn)他們可以破壞物聯(lián)網(wǎng)設(shè)備，例如網(wǎng)絡(luò)攝像頭或嬰兒監(jiān)視器。 但今天，攻擊者得到了更多幫助。 最近的進(jìn)步催生了具有前所未有潛力的人工智能和連接能力。 喜歡合法的 系統(tǒng)管理員、攻擊者現(xiàn)在擁有語(yǔ)音識(shí)別、機(jī)器學(xué)習(xí)和數(shù)字路線圖，可以讓他們操縱您家中或辦公室中的集成設(shè)備，例如智能恒溫器、電器和家庭安全系統(tǒng)。

攻擊計(jì)劃：基于僵尸網(wǎng)絡(luò)的 DDoS 攻擊剖析

DDoS 流量有很多不同的種類。 在基于僵尸網(wǎng)絡(luò)的攻擊的情況下，DDoS 威脅參與者正在使用僵尸網(wǎng)絡(luò)來(lái)幫助協(xié)調(diào)攻擊。 了解流量類型將有助于選擇主動(dòng)識(shí)別措施 和緩解。 單擊紅色加號(hào)以了解有關(guān)每種 DDoS 流量的更多信息。

1. 指揮與控制 (C&C)

2. 協(xié)調(diào)

3. 信標(biāo)/心跳流量

4.攻擊流量

5. 運(yùn)營(yíng)技術(shù)（OT）/物聯(lián)網(wǎng)

6. 異常流量

7. 多向量

組裝武器：了解 DDoS 攻擊如何工作的工具

DDoS 攻擊有多種形式，并且一直在發(fā)展以包含各種攻擊策略。 IT 專業(yè)人員必須具備有關(guān)攻擊工作原理的知識(shí)。

有三種模型可以幫助深入了解 DDoS 攻擊的內(nèi)部運(yùn)作：

• Lockheed Martin Cyber?? Kill Chain ： 用于幫助提供攻擊策略框架，該模型概述了七個(gè)步驟 黑客可能會(huì)采取長(zhǎng)期持續(xù)的 DDoS 攻擊。 該模型不考慮使用僵尸網(wǎng)絡(luò)來(lái)破壞系統(tǒng)。
• Mitre ATT&CK 模型 ： 該模型描述了現(xiàn)實(shí)世界的攻擊，并提供了已知對(duì)抗策略和技術(shù)的知識(shí)庫(kù)，以幫助 IT 專業(yè)人員分析和預(yù)防 未來(lái)的事件。 此模型對(duì)于希望防御 DDoS 攻擊的個(gè)人特別有用，因?yàn)樗试S您分析攻擊者并確定他們的策略。
• 入侵分析 ： 鉆石模型幫助組織權(quán)衡對(duì)手的能力和能力 受害者，正如 CompTIA 博客中關(guān)于 三種主要網(wǎng)絡(luò)安全模型 。 即使創(chuàng)建了 Diamond 模型 為了模擬實(shí)際入侵，它對(duì)于識(shí)別 DDoS 攻擊也很有用。

作為一名 IT 專業(yè)人員，了解如何應(yīng)對(duì) DDoS 攻擊至關(guān)重要，因?yàn)殡S著時(shí)間的推移，大多數(shù)組織都必須管理各種類型的攻擊。 安全分析師和威脅獵手經(jīng)常使用 ATT&CK 模型和 Mitre ATT&CK 導(dǎo)航器可幫助識(shí)別允許 DDoS 攻擊特別成功的條件。

主要攻擊簡(jiǎn)史：DDoS 示例

多年來(lái)，分布式拒絕服務(wù)攻擊的數(shù)量非常多。 讓我們從主要 DDoS 攻擊的簡(jiǎn)短列表開(kāi)始，它們背后的動(dòng)機(jī)以及它們對(duì)我們數(shù)字世界的持久影響。 點(diǎn)擊 紅色加號(hào)以了解有關(guān)這些主要 DDoS 攻擊的更多信息。

1.愛(ài)沙尼亞：2007年4月27日

2. 格魯吉亞共和國(guó)：2008 年 7 月 20 日

3. Spamhaus：2013 年 3 月 18 日

4.占中：2014年6月

5. 動(dòng)態(tài)：2016 年 10 月 21 日

6. GitHub：2018 年 2 月 28 日

7. 亞馬遜網(wǎng)絡(luò)服務(wù) (AWS)：2020 年 2 月

8. 谷歌：2017 年 9 月（2020 年 10 月報(bào)告）

9. 特定部門的攻擊：2019-2021

攻擊者簡(jiǎn)介：誰(shuí)執(zhí)行 DDoS 攻擊？

您經(jīng)?？吹叫皭旱?、戴著黑頭巾的人的圖像來(lái)象征惡意威脅者。 實(shí)際上，這些攻擊者群體通常為當(dāng)局所熟知，并使用 DDoS 策略來(lái)獲得影響力，擾亂政府和軍事行動(dòng) 或?qū)е氯藗儗?duì)市場(chǎng)部門、公司品牌或歷史悠久的機(jī)構(gòu)失去信心。

無(wú)論驅(qū)動(dòng)這些攻擊的動(dòng)機(jī)如何，黑客都可以很容易地被雇傭來(lái)幫助發(fā)起 DDoS 攻擊——就像雇傭槍支一樣。 租用個(gè)人或整個(gè)商業(yè)團(tuán)體 暗網(wǎng)上 ， 通常在服務(wù)模式下，類似于 基礎(chǔ)設(shè)施即服務(wù) (IaaS) 或 軟件即服務(wù) (SaaS) 的 。 事實(shí)上，Radware 于 2020 年 8 月發(fā)布了全球安全警報(bào)，以應(yīng)對(duì)日益流行的 DDoS 出租攻擊。

是什么激發(fā)了攻擊：DDoS 攻擊背后的原因

為了阻止 DDoS 攻擊，了解導(dǎo)致事件的原因很重要。 雖然 DDoS 攻擊在戰(zhàn)術(shù)和方法方面的性質(zhì)差異很大，但 DDoS 攻擊者也可能有多種動(dòng)機(jī)，包括以下內(nèi)容。

• 財(cái)務(wù)動(dòng)機(jī)： DDoS 攻擊通常與勒索軟件攻擊相結(jié)合。 攻擊者發(fā)送消息通知受害者，如果受害者支付費(fèi)用，攻擊將停止。 這些攻擊者通常是有組織犯罪集團(tuán)的一部分。 然而，今天，這些辛迪加可以小到十幾個(gè)人，擁有網(wǎng)絡(luò)知識(shí)和額外的時(shí)間。 有時(shí)，競(jìng)爭(zhēng)對(duì)手的企業(yè)甚至?xí)嗷ミM(jìn)行 DDoS 攻擊以獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。
• 意識(shí)形態(tài)動(dòng)機(jī)： 攻擊通常針對(duì)政治局勢(shì)中的壓迫性管理機(jī)構(gòu)或抗議者。 此類 DDoS 攻擊通常用于支持特定的政治利益或信仰體系，例如宗教。
• 國(guó)家支持的動(dòng)機(jī)： 當(dāng)政治動(dòng)蕩或分歧變得明顯時(shí)，DDoS 攻擊通常會(huì)引起軍隊(duì)或平民的混亂。
• 戰(zhàn)術(shù)動(dòng)機(jī)： 在這種情況下，DDoS 攻擊是作為更大活動(dòng)的一部分發(fā)動(dòng)的。 在某些情況下，該活動(dòng)包括物理攻擊或其他一系列基于軟件的攻擊。 例如，眾所周知，軍隊(duì)會(huì)結(jié)合 DDoS 攻擊 與物理的。 戰(zhàn)術(shù)攻擊用于轉(zhuǎn)移對(duì)正常 IT 任務(wù)的注意力，以利用不同的目標(biāo)——舊的誘餌和轉(zhuǎn)換網(wǎng)絡(luò)攻擊。
• 商業(yè)/經(jīng)濟(jì)動(dòng)機(jī)： 這種類型的 DDoS 攻擊有助于收集信息或?qū)μ囟ㄐ袠I(yè)造成損害。 例如，對(duì)索尼、英國(guó)航空公司和 Equifax 等公司的攻擊導(dǎo)致消費(fèi)者對(duì)整個(gè) 行業(yè)。
• 勒索動(dòng)機(jī)： 其他攻擊用于通過(guò)勒索手段獲得一些個(gè)人或金錢利益。

導(dǎo)彈發(fā)射：執(zhí)行 DDoS 攻擊的工具

攻擊者使用多種設(shè)備來(lái)攻擊組織。 以下是 DDoS 攻擊中使用的一些常用工具：

• 服務(wù)： 包括 Memcached（用于加速數(shù)據(jù)庫(kù)和基于 Web 的事務(wù)）、DNS 服務(wù)器、NTP 和 SNMP。
• 網(wǎng)絡(luò)設(shè)備： 網(wǎng)絡(luò)設(shè)備包括路由器和交換機(jī)等項(xiàng)目。
• 僵尸網(wǎng)絡(luò)： DDoS 攻擊中常用的受感染系統(tǒng)的集合。
• 物聯(lián)網(wǎng)設(shè)備： 網(wǎng)絡(luò)犯罪分子可以利用聯(lián)網(wǎng)設(shè)備的弱點(diǎn)，將其變成僵尸。 臭名昭著的 Mirai 僵尸網(wǎng)絡(luò)被用來(lái)使用不安全的嬰兒監(jiān)視器發(fā)起一系列攻擊。
• AI： 黑客正在使用人工智能在 DDoS 攻擊期間自動(dòng)修改代碼，因此盡管有保護(hù)措施，攻擊仍然有效。
• 舊設(shè)備的利用： 較舊的硬件通常面臨更多漏洞，并且經(jīng)常成為目標(biāo)和利用。

偵察的作用：跟蹤 DDoS 攻擊

DDoS 攻擊者每天都變得越來(lái)越精明。 攻擊的規(guī)模和持續(xù)時(shí)間都在擴(kuò)大，沒(méi)有放緩的跡象。 組織需要密切關(guān)注事件的脈搏，以了解他們對(duì) DDoS 攻擊的敏感程度。

以下是一些可以幫助您跟蹤最新 DDoS 攻擊的資源：

• Mazebolt 全球 DDoS 攻擊列表 ： 該資源提供了一個(gè)正在運(yùn)行的攻擊列表，其中包含日期、原產(chǎn)國(guó)、停機(jī)時(shí)間等信息， 攻擊細(xì)節(jié)，甚至鏈接到有關(guān)事件的新聞信息。
• 網(wǎng)絡(luò)安全威脅情報(bào) (CTI) 共享資源：
  • CompTIA ISAO ： CompTIA 擁有一個(gè)組織，致力于共享與威脅相關(guān)的情報(bào)并提供可操作的洞察力以減輕威脅 并解決網(wǎng)絡(luò)安全挑戰(zhàn)。
  • 美國(guó) CISA 自動(dòng)指標(biāo)共享 ： CISA 提供的工具可以實(shí)時(shí)共享網(wǎng)絡(luò)威脅信息，以幫助限制攻擊的普遍性。
  • FBI Infragard ： 作為 FBI 和私營(yíng)部門之間的合作伙伴，InfraGard 支持共享有關(guān)攻擊和緩解技術(shù)的信息。
• 數(shù)字攻擊地圖 ： 該地圖顯示了全球 DDoS 攻擊的實(shí)時(shí)信息，并允許您按類型、源端口、持續(xù)時(shí)間和目標(biāo)端口進(jìn)行過(guò)濾。
• AlienVault Open Threat Exchange ： 這個(gè)威脅情報(bào)社區(qū)提供對(duì)威脅指標(biāo)的免費(fèi)訪問(wèn)，并允許與他人共享威脅研究。
• Threatbutt Internet Hacking Attack Attribution Map ： 該地圖提供對(duì)全球 DDoS 攻擊的實(shí)時(shí)跟蹤。
• 它現(xiàn)在下降了嗎？ ： 當(dāng)您懷疑有攻擊時(shí)，此資源是一個(gè)很好的起點(diǎn)。 通過(guò)輸入域和此工具檢查網(wǎng)站是否已關(guān)閉 將立即返回結(jié)果。

已確定目標(biāo)：DDoS 攻擊者最常針對(duì)什么？

盡管任何行業(yè)的組織都容易受到攻擊，但這些行業(yè)最常受到 DDoS 攻擊：

• 衛(wèi)生保健
• 政府
• 互聯(lián)網(wǎng)服務(wù)提供商 (ISP)
• 云服務(wù)提供商

盯上敵人：識(shí)別 DDoS 攻擊

從戰(zhàn)術(shù) DDoS 緩解的角度來(lái)看，您需要具備的主要技能之一是模式識(shí)別。 能夠發(fā)現(xiàn)表示 DDoS 攻擊正在發(fā)生的重復(fù)是關(guān)鍵，尤其是在初始階段。 自動(dòng)化應(yīng)用程序和 人工智能通常被用作助手，但通常公司需要熟練的 IT 專業(yè)人員來(lái)區(qū)分合法流量和 DDoS 攻擊。

工作人員通常會(huì)尋找以下警告信號(hào)，表明 DDoS 攻擊正在發(fā)生：

• 來(lái)自現(xiàn)有緩解設(shè)備（例如負(fù)載平衡器、基于云的服務(wù)）的報(bào)告
• 客戶報(bào)告服務(wù)緩慢或不可用
• 使用相同連接的員工也會(huì)遇到速度問(wèn)題
• 在短時(shí)間內(nèi)來(lái)自特定 IP 地址的多個(gè)連接請(qǐng)求
• 未執(zhí)行維護(hù)時(shí)收到 503 服務(wù)不可用錯(cuò)誤
• 由于生存時(shí)間 (TTL) 超時(shí)，對(duì)技術(shù)資源的 Ping 請(qǐng)求超時(shí)
• 日志顯示流量異常巨大

響應(yīng)威脅：用于緩解 DDoS 攻擊的響應(yīng)技術(shù)、服務(wù)和策略

DDoS 緩解與緩解其他網(wǎng)絡(luò)攻擊（例如源自勒索軟件的攻擊）完全不同。 DDoS 攻擊通常通過(guò)能夠處理這些類型攻擊的設(shè)備和服務(wù)來(lái)緩解。 例如，今天的 負(fù)載均衡器有時(shí)能夠通過(guò)識(shí)別 DDoS 模式然后采取行動(dòng)來(lái)處理 DDoS 攻擊。 其他設(shè)備可用作中介，包括防火墻和專用洗滌器設(shè)備。

在嘗試緩解 DDoS 攻擊時(shí)，您希望專注于在您的網(wǎng)絡(luò)和用于攻擊您的系統(tǒng)之間放置服務(wù)和設(shè)備。 由于攻擊者通過(guò)利用合法的網(wǎng)絡(luò)和互聯(lián)網(wǎng)行為來(lái)產(chǎn)生 DDoS 流量，任何 連接的設(shè)備或服務(wù)器很容易受到攻擊，因?yàn)樗举|(zhì)上不被認(rèn)為是惡意的。 您必須創(chuàng)建一個(gè)中間緩解解決方案來(lái)響應(yīng)該攻擊。 在勒索軟件或惡意軟件攻擊中，安全專業(yè)人員 通常通過(guò)升級(jí)端點(diǎn)上的軟件或從備份恢復(fù)來(lái)解決問(wèn)題。

應(yīng)對(duì)威脅：DDoS 攻擊響應(yīng)的 5 個(gè)步驟

響應(yīng) DDoS 攻擊的典型步驟包括：

1、檢測(cè)

早期檢測(cè)對(duì)于防御 DDoS 攻擊至關(guān)重要。 尋找上面提供的警告標(biāo)志，表明您可能成為目標(biāo)。 DDoS 檢測(cè)可能涉及調(diào)查數(shù)據(jù)包的內(nèi)容以檢測(cè)第 7 層和基于協(xié)議的攻擊或利用 基于速率的措施來(lái)檢測(cè)容量攻擊。 當(dāng)談到 DDoS 攻擊時(shí)，通常首先討論基于速率的檢測(cè)，但大多數(shù)有效的 DDoS 攻擊并不能使用基于速率的檢測(cè)來(lái)阻止。

2.過(guò)濾

透明的過(guò)濾過(guò)程有助于丟棄不需要的流量。 這是通過(guò)在網(wǎng)絡(luò)設(shè)備上安裝有效規(guī)則以消除 DDoS 流量來(lái)完成的。

3. 導(dǎo)流和重定向：

此步驟涉及轉(zhuǎn)移流量，使其不會(huì)影響您的關(guān)鍵資源。 您可以通過(guò)將 DDoS 流量發(fā)送到清理中心或其他充當(dāng)污水坑的資源來(lái)重定向 DDoS 流量。 通常建議您透明地 溝通正在發(fā)生的事情，這樣員工和客戶就不需要為了適應(yīng)緩慢而改變他們的行為。

4、轉(zhuǎn)發(fā)與分析：

了解 DDoS 攻擊的來(lái)源很重要。 這些知識(shí)可以幫助您開(kāi)發(fā)協(xié)議以主動(dòng)防御未來(lái)的攻擊。 雖然試圖殺死僵尸網(wǎng)絡(luò)可能很誘人，但它可能會(huì)造成后勤問(wèn)題，并可能 導(dǎo)致法律后果。 一般不推薦。

5. 替代交付

在發(fā)生攻擊時(shí)，可以使用幾乎可以立即提供新內(nèi)容或打開(kāi)新網(wǎng)絡(luò)連接的替代資源。

緩解 DDoS 攻擊的最佳方法之一是在事件響應(yīng)過(guò)程中以團(tuán)隊(duì)的形式進(jìn)行響應(yīng)并進(jìn)行協(xié)作。 上述步驟只能通過(guò)服務(wù)、設(shè)備和個(gè)人的結(jié)合來(lái)實(shí)現(xiàn)。 為了 例如，為了緩解第 7 層 DDoS 攻擊，通常需要執(zhí)行以下操作：

• 檢測(cè)： 組織將結(jié)合使用安全分析師和滲透活動(dòng)來(lái)識(shí)別第 7 層攻擊模式。 滲透測(cè)試員一般會(huì)模擬DDoS攻擊，安全分析師會(huì)仔細(xì)聆聽(tīng) 識(shí)別獨(dú)特的特征。
• 流量過(guò)濾： 使用清理中心和服務(wù)來(lái)幫助重定向和遏制有害流量。
• 第 7 層控制： 驗(yàn)證碼和 cookie 質(zhì)詢通常用于確定網(wǎng)絡(luò)連接請(qǐng)求是來(lái)自機(jī)器人還是合法用戶。
• 將數(shù)據(jù)包轉(zhuǎn)發(fā)給安全專業(yè)人員進(jìn)行進(jìn)一步分析： 安全分析師將參與模式識(shí)別活動(dòng)，然后根據(jù)他們的發(fā)現(xiàn)推薦緩解措施。
• 第 7 層攻擊期間的替代交付： 當(dāng)您的資源對(duì)抗攻擊時(shí)，使用 CDN（內(nèi)容交付網(wǎng)絡(luò)）可以幫助支持額外的正常運(yùn)行時(shí)間。 需要注意的是，緩解設(shè)備可能會(huì)遇到 問(wèn)題。 它可能沒(méi)有正確更新或配置，實(shí)際上可能成為 DDoS 攻擊期間問(wèn)題的一部分。

限制損害：DDoS 緩解技術(shù)

一旦您知道自己正面臨 DDoS 攻擊，就該進(jìn)行緩解了。 準(zhǔn)備戰(zhàn)斗！

物理設(shè)備	在 DDoS 攻擊期間管理物理設(shè)備在很大程度上仍然是與其他緩解工作不同的類別。 通常稱為設(shè)備，物理設(shè)備是分開(kāi)的，因?yàn)?DDoS 模式和流量是如此獨(dú)特和困難 來(lái)正確識(shí)別。 即便如此，設(shè)備可以非常有效地保護(hù)小型企業(yè)免受 DDoS 攻擊。
云擦洗設(shè)備	這些服務(wù)通常被稱為清洗中心，插入在 DDoS 流量和受害網(wǎng)絡(luò)之間。 他們獲取針對(duì)特定網(wǎng)絡(luò)的流量，并將其路由到不同的位置，以將損害與預(yù)期來(lái)源隔離開(kāi)來(lái)。 清理中心清理數(shù)據(jù)，只允許合法的業(yè)務(wù)流量傳遞到目的地。 清理服務(wù)的示例包括由 Akamai、Radware 和 Cloudflare 提供的服務(wù)。
多個(gè)互聯(lián)網(wǎng)服務(wù)連接	由于 DDoS 攻擊經(jīng)常試圖用流量淹沒(méi)資源，因此企業(yè)有時(shí)會(huì)使用多個(gè) ISP 連接。 如果單個(gè) ISP 不堪重負(fù)，則可以從一個(gè)切換到另一個(gè)。
黑洞	這種 DDoS 緩解技術(shù)涉及使用云服務(wù)來(lái)實(shí)施稱為數(shù)據(jù)接收器的策略。 該服務(wù)將虛假數(shù)據(jù)包和大量流量引導(dǎo)到數(shù)據(jù)接收器，在那里它們不會(huì)造成任何傷害。
內(nèi)容交付網(wǎng)絡(luò) (CDN)	這是一組地理位置分散的代理服務(wù)器和網(wǎng)絡(luò)，通常用于 DDoS 緩解。 CDN 作為一個(gè)單元工作，通過(guò)多個(gè)骨干網(wǎng)和 WAN 連接快速提供內(nèi)容，從而分配網(wǎng)絡(luò)負(fù)載。 如果 當(dāng)一個(gè)網(wǎng)絡(luò)被 DDoS 流量淹沒(méi)時(shí)，CDN 可以從另一組未受影響的網(wǎng)絡(luò)傳送內(nèi)容。
負(fù)載平衡服務(wù)器	通常部署用于管理合法流量，負(fù)載平衡服務(wù)器也可用于阻止 DDoS 攻擊。 當(dāng) DDoS 攻擊正在進(jìn)行時(shí)，IT 專業(yè)人員可以利用這些設(shè)備將流量從某些資源轉(zhuǎn)移。
Web 應(yīng)用防火墻 (WAF)	WAF 用于過(guò)濾和監(jiān)控 HTTP 流量，通常用于幫助緩解 DDoS 攻擊，并且通常是 AWS、Azure 或 CloudFlare 等基于云的服務(wù)的一部分。 雖然有時(shí)有效，但專用設(shè)備或基于云的洗滌器 通常建議改為。 WAF 專注于過(guò)濾到特定 Web 服務(wù)器或應(yīng)用程序的流量。 但是，真正的 DDoS 攻擊集中在網(wǎng)絡(luò)設(shè)備上，從而拒絕最終為 Web 服務(wù)器提供的服務(wù)。 仍然， 有時(shí)可以將 WAF 與其他服務(wù)和設(shè)備結(jié)合使用以響應(yīng) DDoS 攻擊。

市場(chǎng)上幾乎所有的 DDoS 緩解設(shè)備都使用相同的五種機(jī)制：

• 簽名
• 行為或 SYN 洪水
• 基于速率和地理位置：如上所述，這通常不可靠。
• 僵尸網(wǎng)絡(luò)檢測(cè)/IP 信譽(yù)列表：使用列表的成功與否取決于列表的質(zhì)量。
• 挑戰(zhàn)與回應(yīng)

DDoS 緩解服務(wù)

目前市面上很多應(yīng)對(duì)DDOS的防御服務(wù)，這里主機(jī)吧簡(jiǎn)單介紹幾種。

DDoS 緩解供應(yīng)商	提供的服務(wù)
高防服務(wù)器	托管于高防數(shù)據(jù)中心的服務(wù)器，適合網(wǎng)站、游戲等服務(wù)
高防IP	通過(guò)高防機(jī)房資源配合防御軟件，可防網(wǎng)站、app、游戲等業(yè)務(wù)。
高防CDN	利用多地防御節(jié)點(diǎn)，分布式防御的服務(wù)，適用于網(wǎng)站、APP業(yè)務(wù)。
游戲盾	專為游戲行業(yè)定制，針對(duì)性解決游戲行業(yè)中復(fù)雜的DDoS攻擊、游戲CC攻擊等問(wèn)題。
WAF防火墻	Web應(yīng)用防火墻對(duì)網(wǎng)站或者APP的業(yè)務(wù)流量進(jìn)行惡意特征識(shí)別及防護(hù)，將正常、安全的流量回源到服務(wù)器，適用于網(wǎng)站、APP業(yè)務(wù)。
高防DNS	顧名思義就是一種高防域名系統(tǒng)，可防御DNS攻擊。

要知道的術(shù)語(yǔ)

• ACK： 確認(rèn)字符
• DNS： 域名系統(tǒng)
• HTTP： 超文本傳輸??協(xié)議
• ICMP： 互聯(lián)網(wǎng)控制消息協(xié)議
• OSI/RM： 開(kāi)放系統(tǒng)互連/參考模型
• 事件響應(yīng)： 管理 DDoS 攻擊時(shí)要采取的步驟。
• SYN： 同步數(shù)據(jù)包
• SYN 洪水： 攻擊者操縱三向 TCP 握手來(lái)創(chuàng)建 DDoS 攻擊。
• TCP： 傳輸控制協(xié)議
• TCP 握手： 當(dāng)兩臺(tái)計(jì)算機(jī)在 TCP 會(huì)話開(kāi)始時(shí)相互通信時(shí)發(fā)生的一個(gè)三步過(guò)程。 也稱為 TCP 三向握手。
• UDP： 用戶數(shù)據(jù)報(bào)協(xié)議