一、簡介

1、中文名稱：分布式拒絕服務(wù)，英文全稱：distributed denial-of-service 。

2、具體含義

通過大規(guī)模互聯(lián)網(wǎng)流量淹沒目標(biāo)服務(wù)器或其周邊基礎(chǔ)設(shè)施，以破壞目標(biāo)服務(wù)器、服務(wù)或網(wǎng)絡(luò)正常流量的惡意行為。

更加形象的比喻：

如果把互聯(lián)網(wǎng)上的網(wǎng)站或服務(wù)器看作一個個商店（比如淘寶、京東、微信等等），每個訪問網(wǎng)站的網(wǎng)民看作是商店里的顧客。DDoS 就相當(dāng)于一堆小混混裝成正常顧客涌入商店，逛來逛去賴著不走讓正常的顧客進(jìn)不來，或者跟售賣員有一搭沒一搭地說話，占用他們的時間，讓他們無法正常服務(wù)客戶。

作者：謝幺
鏈接：https://www.zhihu.com/question/22259175/answer/394917916
來源：知乎
著作權(quán)歸作者所有。商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權(quán)，非商業(yè)轉(zhuǎn)載請注明出處。?

二、DDoS 攻擊的工作原理

DDoS 攻擊是通過連接互聯(lián)網(wǎng)的計算機網(wǎng)絡(luò)進(jìn)行的。

這些網(wǎng)絡(luò)由計算機和其他設(shè)備（例如 IoT 設(shè)備）組成，它們感染了惡意軟件，從而被攻擊者遠(yuǎn)程控制。這些個體設(shè)備稱為機器人（或僵尸），一組機器人則稱為僵尸網(wǎng)絡(luò)。

一旦建立了僵尸網(wǎng)絡(luò)，攻擊者就可通過向每個機器人發(fā)送遠(yuǎn)程指令來發(fā)動攻擊。

當(dāng)僵尸網(wǎng)絡(luò)將受害者的服務(wù)器或網(wǎng)絡(luò)作為目標(biāo)時，每個機器人會將請求發(fā)送到目標(biāo)的?IP 地址，這可能導(dǎo)致服務(wù)器或網(wǎng)絡(luò)不堪重負(fù)，從而造成對正常流量的拒絕服務(wù)。

由于每個機器人都是合法的互聯(lián)網(wǎng)設(shè)備，因而可能很難區(qū)分攻擊流量與正常流量。

（圖片來源：什么是 DDoS 攻擊？ - 知乎）?

三、如何識別 DDoS 攻擊

DDoS 攻擊最明顯的癥狀是網(wǎng)站或服務(wù)突然變慢或不可用。但是，造成類似性能問題的原因有多種（如合法流量激增），因此通常需要進(jìn)一步調(diào)查。流量分析工具可以幫助您發(fā)現(xiàn) DDoS 攻擊的一些明顯跡象：

• 來自單個 IP 地址或 IP 范圍的可疑流量
• 來自共享單個行為特征（例如設(shè)備類型、地理位置或 Web 瀏覽器版本）的用戶的大量流量
• 對單個頁面或端點的請求數(shù)量出現(xiàn)不明原因的激增
• 奇怪的流量模式，例如一天中非常規(guī)時間段的激增或看似不自然的模式（例如，每 10 分鐘出現(xiàn)一次激增）

DDoS 攻擊還有其他更具體的跡象，具體取決于攻擊的類型。

四、常見的 DDoS 攻擊有哪幾類？

1、應(yīng)用程序?qū)庸?/span>

攻擊目標(biāo)：

此類攻擊有時稱為第 7 層?DDoS 攻擊（指 OSI 模型第 7 層），其目標(biāo)是耗盡目標(biāo)資源。

攻擊目標(biāo)是生成網(wǎng)頁并傳輸網(wǎng)頁響應(yīng)?HTTP?請求的服務(wù)器層。在客戶端執(zhí)行一項 HTTP 請求的計算成本比較低，但目標(biāo)服務(wù)器做出響應(yīng)卻可能非常昂貴，因為服務(wù)器通常必須加載多個文件并運行數(shù)據(jù)庫查詢才能創(chuàng)建網(wǎng)頁。

第 7 層攻擊很難防御，因為難以區(qū)分惡意流量和合法流量。

應(yīng)用程序?qū)庸羰纠?#xff1a;

HTTP 洪水

HTTP 洪水攻擊類似于同時在大量不同計算機的 Web 瀏覽器中一次又一次地按下刷新 ——大量 HTTP 請求涌向服務(wù)器，導(dǎo)致拒絕服務(wù)。

這種類型的攻擊有簡單的，也有復(fù)雜的。

較簡單的實現(xiàn)可以使用相同范圍的攻擊 IP 地址、referrer 和用戶代理訪問一個 URL。復(fù)雜版本可能使用大量攻擊性 IP 地址，并使用隨機 referrer 和用戶代理來針對隨機網(wǎng)址。

2、協(xié)議攻擊

攻擊目標(biāo)：

協(xié)議攻擊也稱為狀態(tài)耗盡攻擊，這類攻擊會過度消耗服務(wù)器資源和/或防火墻和負(fù)載平衡器之類的網(wǎng)絡(luò)設(shè)備資源，從而導(dǎo)致服務(wù)中斷。

協(xié)議攻擊利用協(xié)議堆棧第 3 層和第 4 層的弱點致使目標(biāo)無法訪問。

協(xié)議攻擊示例：

SYN 洪水

SYN 洪水就好比補給室中的工作人員從商店的柜臺接收請求。

工作人員收到請求，前去取包裹，再等待確認(rèn)，然后將包裹送到柜臺。工作人員收到太多包裹請求，但得不到確認(rèn)，直到無法處理更多包裹，實在不堪重負(fù)，致使無人能對請求做出回應(yīng)。

此類攻擊利用?TCP 握手（兩臺計算機發(fā)起網(wǎng)絡(luò)連接時要經(jīng)過的一系列通信），通過向目標(biāo)發(fā)送大量帶有偽造源 IP 地址的 TCP“初始連接請求”SYN 數(shù)據(jù)包來實現(xiàn)。

目標(biāo)計算機響應(yīng)每個連接請求，然后等待握手中的最后一步，但這一步確永遠(yuǎn)不會發(fā)生，因此在此過程中耗盡目標(biāo)的資源。

3、容量耗盡攻擊

攻擊目標(biāo)：

此類攻擊試圖通過消耗目標(biāo)與較大的互聯(lián)網(wǎng)之間的所有可用帶寬來造成擁塞。攻擊運用某種放大攻擊或其他生成大量流量的手段（如僵尸網(wǎng)絡(luò)請求），向目標(biāo)發(fā)送大量數(shù)據(jù)。

放大示例：

DNS 放大

DNS 放大就好比有人打電話給餐館說“每道菜都訂一份，請給我回電話復(fù)述整個訂單”，而提供的回電號碼實際上屬于受害者。幾乎不費吹灰之力，就能產(chǎn)生很長的響應(yīng)并發(fā)送給受害者。

利用偽造的 IP 地址（受害者的 IP 地址）向開放式?DNS 服務(wù)器發(fā)出請求后，目標(biāo) IP 地址將收到服務(wù)器發(fā)回的響應(yīng)。

五、如何防護 DDoS 攻擊？

若要緩解 DDoS 攻擊，關(guān)鍵在于區(qū)分攻擊流量與正常流量。

例如，如果因發(fā)布某款產(chǎn)品導(dǎo)致公司網(wǎng)站涌現(xiàn)大批熱情客戶，那么全面切斷流量是錯誤之舉。如果公司從已知惡意用戶處收到的流量突然激增，或許需要努力緩解攻擊。

難點在于區(qū)分真實客戶流量與攻擊流量。

在現(xiàn)代互聯(lián)網(wǎng)中，DDoS 流量以多種形式出現(xiàn)。流量設(shè)計可能有所不同，從非欺騙性單源攻擊到復(fù)雜的自適應(yīng)多方位攻擊無所不有。

多方位 DDoS 攻擊采用多種攻擊手段，以期通過不同的方式擊垮目標(biāo)，很可能分散各個層級的緩解工作注意力。

同時針對協(xié)議堆棧的多個層級（如 DNS 放大（針對第 3/4 層）外加?HTTP 洪水（針對第 7 層））發(fā)動攻擊就是多方位 DDoS 攻擊的一個典型例子。

為防護多方位 DDoS 攻擊，需要部署多項不同策略，從而緩解不同層級的攻擊。

一般而言，攻擊越復(fù)雜，越難以區(qū)分攻擊流量與正常流量 —— 攻擊者的目標(biāo)是盡可能混入正常流量，從而盡量減弱緩解成效。

如果緩解措施不加選擇地丟棄或限制流量，很可能將正常流量與攻擊流量一起丟棄，同時攻擊還可能進(jìn)行修改調(diào)整以規(guī)避緩解措施。為克服復(fù)雜的破壞手段，采用分層解決方案效果最理想。

1、黑洞路由

有一種解決方案幾乎適用于所有網(wǎng)絡(luò)管理員：創(chuàng)建黑洞路由，并將流量匯入該路由。在最簡單的形式下，當(dāng)在沒有特定限制條件的情況下實施黑洞過濾時，合法網(wǎng)絡(luò)流量和惡意網(wǎng)絡(luò)流量都將路由到空路由或黑洞，并從網(wǎng)絡(luò)中丟棄。

如果互聯(lián)網(wǎng)設(shè)備遭受 DDoS 攻擊，則該設(shè)備的互聯(lián)網(wǎng)服務(wù)提供商（ISP）可能會將站點的所有流量發(fā)送到黑洞中作為防御。這不是理想的解決方案，因為它相當(dāng)于讓攻擊者達(dá)成預(yù)期的目標(biāo)：使網(wǎng)絡(luò)無法訪問。

2、速率限制

限制服務(wù)器在某個時間段接收的請求數(shù)量也是防護拒絕服務(wù)攻擊的一種方法。

雖然速率限制對于減緩 Web 爬蟲竊取內(nèi)容及防護暴力破解攻擊很有幫助，但僅靠速率限制可能不足以有效應(yīng)對復(fù)雜的 DDoS 攻擊。

3、Web 應(yīng)用程序防火墻

Web 應(yīng)用程序防火墻（WAF）?是一種有效工具，有助于緩解第 7 層 DDoS 攻擊。在互聯(lián)網(wǎng)和源站之間部署 WAF 后，WAF 可以充當(dāng)反向代理，保護目標(biāo)服務(wù)器，防止其遭受特定類型的惡意流量入侵。

通過基于一系列用于識別 DDoS 工具的規(guī)則過濾請求，可以阻止第 7 層攻擊。有效的 WAF 的一個關(guān)鍵價值是能夠快速實施自定義規(guī)則以應(yīng)對攻擊。了解?Cloudflare 的 WAF。

4、Anycast 網(wǎng)絡(luò)擴散

此類緩解方法使用 Anycast 網(wǎng)絡(luò)，將攻擊流量分散至分布式服務(wù)器網(wǎng)絡(luò)，直到網(wǎng)絡(luò)吸收流量為止。

這種方法就好比將湍急的河流引入若干獨立的小水渠，將分布式攻擊流量的影響分散到可以管理的程度，從而分散破壞力。

Anycast 網(wǎng)絡(luò)在緩解 DDoS 攻擊方面的可靠性取決于攻擊規(guī)模及網(wǎng)絡(luò)規(guī)模和效率。采用 Anycast 分布式網(wǎng)絡(luò)是 Cloudflare 實施 DDoS防護策略的一個重要組成部分。

Cloudflare 擁有 121 Tbps 的網(wǎng)絡(luò)，比有記錄的最大 DDoS 攻擊大一個數(shù)量級。

如果您目前恰好受到攻擊，可以采取一些措施擺脫壓力。如果已使用 Cloudflare，則可按照以下步驟緩解攻擊。

我們在 Cloudflare 實施多方位 DDoS 保護，從而緩解可能采用的大量攻擊手段。了解有關(guān) Cloudflare?DDoS 防護及其工作原理的更多信息。

轉(zhuǎn)載：https://www.cloudflare.com/zh-cn/learning/ddos/what-is-a-ddos-attack/

（SAW：Game Over！）

總結(jié)

以上是生活随笔為你收集整理的什么是 DDos 攻击的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。