什么是 DDoS 攻击？完整指南

分布式拒绝服务 (DDoS) 攻击是指网络犯罪分子用恶意流量淹没目标网络，从而使其不可用。 DDoS 攻击的数量正在增加，并且变得越来越复杂和破坏性。据《InfoSecurity》杂志报道，2021 年第一季度发生了近 300 万次 DDoS 攻击，比 2020 年同期增长了 31%。攻击者也在寻找从 DDoS 攻击中获利的方法。以前，DDoS 攻击通常是为了造成破坏和/或损害目标组织的声誉而进行的。现在，在某些情况下，攻击者会要求受害者付款以阻止攻击。

DDoS 攻击如何运作？

Web 服务器和其他网络资源在任何时候只能处理一定数量的请求。如果对服务器或网络资源的请求数量超过这些限制，它们将逐渐停止，从而阻止任何新请求得到服务。 DDoS 攻击通常使用“僵尸网络”来传递大量流量。换句话说，黑客将尝试通过危害远程设备来创建计算机网络或“僵尸网络”，通常是在临时基础上，通过社会工程或其他技术。一旦被感染，它们就会被命令同时发起攻击，从而压垮目标服务器。值得注意的是，很少有网络安全专业人士真正了解 DDoS 攻击的工作原理，更不用说如何阻止它们了。这是因为 DDoS 攻击源自网络外部，不需要使用恶意软件或直接网络钓鱼尝试即可有效。

DDoS 攻击有哪些常见类型？

为了帮助我们更好地理解 DDoS 攻击是如何工作的，了解一些有关网络连接是如何建立的知识会有所帮助。互联网上的网络连接由 OSI 模型定义的层组成。这些层如下：

下面简要描述了不同类型的 DDoS 攻击以及它们与 OSI 模型的关系；

应用层攻击

应用程序层攻击也称为第 7 层或 HTTP 洪水攻击，目标是在服务器上生成网页的层。由于服务器加载多个文件并运行数据库查询以创建网页，因此相对于 HTTP 请求，单个 HTTP 响应的计算成本较高。防御应用层攻击很困难，因为没有一种简单的方法来区分恶意流量和合法流量。

协议攻击

协议攻击针对网络设备，例如防火墙和负载平衡器。这些攻击的目标是淹没网络资源，使其不可用。协议攻击针对网络层和传输层，进而导致应用层无法访问。

体积攻击

流量攻击的目标是消耗目标网络上的所有可用带宽。在许多情况下，他们使用 DNS 放大来利用开放 DNS 解析器的功能来放大发送到目标网络的流量，从而使其无法访问。然而，在某些情况下，僵尸网络被用来使网络充满流量。虽然带宽与物理层相关，但容量攻击将针对数据链路层、传输层和网络层。

如何缓解 DDoS 攻击？

如上所述，我们在缓解 DDoS 攻击方面遇到的最大问题是很难区分合法流量和 DDoS 流量。这是因为 DDoS 流量可以以多种形式从许多不同的位置到达，并针对许多不同的网络资源。例如，某些 DDoS 攻击媒介使用多种攻击途径，其中可能包括 HTTP 泛洪和 DNS 放大。因此，我们需要采用分层方法，可能涉及以下技术：

黑洞路由

这就是您将流量引入“黑洞”的地方，流量基本上被丢弃。如果限制标准配置正确，此方法可能会很有效。否则，合法和恶意的网络流量都会丢失，从而导致网络无法访问。

速率限制

限制服务器在特定时间范围内接受的请求数量也是最大程度减少 DDoS 攻击造成的损害的有效方法。然而，仅靠速率限制并不能完全防止 DDoS 攻击。

Web应用防火墙

Web 应用程序防火墙 (WAF) 重点保护应用程序层。通过在互联网和您的网络之间放置 WAF，您可以过滤掉某些类型的恶意流量。现代 WAF 解决方案还使用机器学习技术来学习异常活动模式。

任播网络扩散

任播是一种网络寻址和路由方法，可以将传入请求路由到各种不同的位置。它本质上是将流量分散到分布式服务器网络中，从而防止 DDoS 攻击导致任何特定服务器或资源无法访问。任播网络扩散的有效性取决于攻击的规模和网络的规模。当然，分布式服务器网络越大，它的效率就越高。

DDoS 和 DoS 攻击有什么区别？

尽管 DDoS（分布式拒绝服务）和 DoS（拒绝服务）攻击都是为了用恶意流量淹没网络，但它们之间存在一些细微的区别。与 DDoS 攻击不同，DoS 攻击不依赖于创建分布式设备的僵尸网络来执行攻击。相反，它使用单源 SYN 洪水来操纵 TCP 三向握手。 DoS 攻击往往集中于特定服务器而不是整个网络，并且它们不针对攻击者和组织之间的设备。鉴于 DDoS 攻击比 DoS 攻击更有效，因此近年来它们变得更加流行。

结论

DDoS 攻击可能会对您的组织造成极大的破坏和破坏，因此制定适当的事件响应计划至关重要。借助 Lepide，您可以实时审核 Active Directory 和数据存储中的更改和交互，并使用预定义的威胁模型即时响应威胁。