DDoS 攻擊由各種犯罪程序員、犯罪團(tuán)伙甚至政府機(jī)構(gòu)實(shí)施。這種情況可能看起來像 DDoS 攻擊，當(dāng)它只是框架執(zhí)行中的計劃外失誤，在無助的編碼、缺少補(bǔ)丁或框架不穩(wěn)定的情況下。

什么是 DDoS 攻擊？

在傳送拒絕管理攻擊 (DDoS) 期間，許多受感染的 PC 框架攻擊目標(biāo)并放棄對目標(biāo)資產(chǎn)客戶的管理。目標(biāo)可以是工作人員、站點(diǎn)或其他組織資產(chǎn)。如果目標(biāo)框架被接近的消息、組織請求或變形的包裝包裹所淹沒，它可能會退縮甚至關(guān)閉，從而拒絕向其真實(shí)客戶或框架提供幫助。

DDoS 攻擊如何運(yùn)作？

在一般的 DDoS 攻擊中，攻擊者濫用一個 PC 框架的弱點(diǎn)，使其成為 DDoS 王牌。攻擊王牌框架識別其他弱框架并通過使用惡意軟件污染它們或通過諸如推測廣泛使用的框架或小工具上的默認(rèn)秘密詞等策略繞過驗證控制來監(jiān)督它們。

受網(wǎng)關(guān)破壞者嚴(yán)重影響的 PC 或組織小工具被稱為僵尸或機(jī)器人。攻擊者讓所謂的命令和控制工作者來命令機(jī)器人的組織，也稱為僵尸網(wǎng)絡(luò)。負(fù)責(zé)僵尸網(wǎng)絡(luò)的個人被稱為Botmaster。該術(shù)語同樣被用來暗示加入僵尸網(wǎng)絡(luò)的主要框架，因為它被用來控制僵尸網(wǎng)絡(luò)中不同框架的傳播和行動。

幾乎可以使用任意數(shù)量的僵尸程序來形成僵尸網(wǎng)絡(luò)；擁有數(shù)萬個集線器的僵尸網(wǎng)絡(luò)越來越普遍。它們的大小可能沒有最大斷點(diǎn)。一旦僵尸網(wǎng)絡(luò)被收集，攻擊者就可以使用受感染設(shè)備產(chǎn)生的流量來淹沒目標(biāo)區(qū)域并使其離線。

DDoS 攻擊的目標(biāo)通常不是唯一的受害者，因為 DDoS 攻擊包括并影響許多小工具。盡管它們不是主要目標(biāo)，但用于將有害流量路由到目標(biāo)的小工具同樣可能會受到貶低管理。

DDoS 攻擊的種類

存在三種基本類型的 DDoS 攻擊：

1. 組織驅(qū)動或容量攻擊

這些攻擊通過使用包裹洪水來燒毀可訪問的數(shù)據(jù)傳輸，從而使指定資產(chǎn)負(fù)擔(dān)過重。空間名稱系統(tǒng)強(qiáng)化攻擊在嘗試聯(lián)系 DNS 工作人員時使用目標(biāo)計算機(jī)的 Internet 協(xié)議 (IP) 地址。在那之后，工人用他們的反應(yīng)壓倒目標(biāo)。

2. 約定攻擊

這種客觀的組織層或傳輸層約定利用約定中的缺陷來壓倒指定的資產(chǎn)。例如，SYN 洪水攻擊將目標(biāo) IP 發(fā)送到使用模仿源 IP 地址的大量“介紹性關(guān)聯(lián)需求”包裹。不斷涌現(xiàn)的請求使 TCP 握手無法完成，該握手由涉及多個協(xié)議命令的握手組成。

3. 應(yīng)用層攻擊

在這里，應(yīng)用程序管理或信息庫因大量使用調(diào)用而不堪重負(fù)。包裹的浸泡會導(dǎo)致拒絕管理。這方面的一個例子是超文本傳輸??協(xié)議 (HTTP) 泛洪攻擊，可以將其與一次又一次地恢復(fù)大量頁面進(jìn)行比較。

4. 應(yīng)用層攻擊

有時稱為第 7 層 DDoS 攻擊（指 OSI 模型的第七層），這些攻擊旨在使目標(biāo)無法執(zhí)行其服務(wù)。攻擊針對互聯(lián)網(wǎng)站點(diǎn)頁面由工作人員生成并通過 HTTP 請求傳輸?shù)膶印Ｔ诳蛻舴矫妫瑔蝹€ HTTP 請求的計算量不大，但對于目標(biāo)工作人員來說，它通常很麻煩，因為工作人員經(jīng)常堆疊許多記錄并運(yùn)行信息庫查詢以創(chuàng)建一個互聯(lián)網(wǎng)頁面。第 7 層攻擊很難被屏蔽，因為它往往難以將有害流量與真實(shí)流量區(qū)分開來。一些更簡單的執(zhí)行可能會到達(dá)一個對 IP 位置、引薦來源和客戶專家具有類似攻擊范圍的 URL。

5. 約定攻擊

常規(guī)攻擊，也稱為狀態(tài)疲勞攻擊，會通過過度吞噬工人資產(chǎn)或可能是防火墻和負(fù)載平衡器等組織設(shè)備的資產(chǎn)而導(dǎo)致援助中斷。約定攻擊利用約定堆棧的第 3 層和第 4 層中的缺陷來傳遞被阻止的目標(biāo)。專家收到邀請，繼續(xù)拿到包裹，并在將包裹放在前面之前坐穩(wěn)等待確認(rèn)。

那時，專家在沒有確認(rèn)的情況下收到更多捆綁請求，直到他們無法再傳送捆綁包，他們變得不知所措，并且要求開始得不到答復(fù)。像這樣的攻擊利用了 TCP 握手，通過這種方法，兩臺 PC 通過從虛假源 IP 地址發(fā)送 SYN 包作為介紹性連接請求來啟動組織關(guān)聯(lián)。目標(biāo)機(jī)器對每個關(guān)聯(lián)請求作出反應(yīng)，并在握手的最后一步中保持緊繃狀態(tài)，這從未發(fā)生過，在此過程中耗盡了目標(biāo)的資產(chǎn)。

6. 容量攻擊

此類攻擊試圖通過消耗所有可用帶寬來阻止從目標(biāo)到更大 Internet 的傳輸。大量信息是通過利用一種強(qiáng)化或另一種方法來創(chuàng)建巨大流量的，例如，通過使用僵尸網(wǎng)絡(luò)，從目標(biāo)發(fā)送出去。在諷刺IP 地址的幫助下，可以向具有此人地址（即官方IP 地址）的開放DNS 工作人員發(fā)送請求。屆時，開放的 DNS 工作人員將做出響應(yīng)。

緩解 DDoS 攻擊的交互是什么？

緩解 DDoS 攻擊的關(guān)鍵在于區(qū)分攻擊流量和普通流量。例如，如果一個項目的發(fā)布讓一個組織的站點(diǎn)被焦慮的客戶淹沒，那么刪除所有流量就是一個失誤。如果該組織意外地在高峰時間遭遇來自已知攻擊者的大量僵局，那么緩解攻擊的努力可能是根本性的。

問題在于將真正的客戶端與攻擊流量區(qū)分開來。在尖端互聯(lián)網(wǎng)中，DDoS 流量有多種結(jié)構(gòu)。流量可以在計劃中從不受嘲笑的單一來源攻擊轉(zhuǎn)變?yōu)榱钊穗y以置信的多功能多向量攻擊。

多向量 DDoS 攻擊采用多種攻擊路徑來意外地壓倒目標(biāo)，從而將調(diào)節(jié)工作轉(zhuǎn)移到任何一個方向。多向量 DDoS 是一種同時針對多個層的攻擊，例如 DNS 強(qiáng)化（專注于第 3/4 層）和 HTTP 洪水（專注于第 7 層）。

緩和多向量 DDoS 攻擊需要各種方法來應(yīng)對各種方向。通常，攻擊越令人困惑，就越能確定攻擊流量將難以與普通流量隔離——攻擊者的目標(biāo)是盡可能多地混入，提出適度嘗試作為正如預(yù)期的那樣浪費(fèi)。

包括漫無目的地減少或限制流量在內(nèi)的救濟(jì)措施可能會導(dǎo)致大量流量與糟糕的情況發(fā)生沖突，并且攻擊也可能會改變并調(diào)整以繞過對策。為了克服干擾的復(fù)雜努力，分層安排將提供最大的優(yōu)勢。

物聯(lián)網(wǎng)和 DDoS 攻擊

建立物聯(lián)網(wǎng) (IoT) 的小工具可能對真正的客戶很有價值，但有時，它們對 DDoS 攻擊者的適應(yīng)性要強(qiáng)得多。與物聯(lián)網(wǎng)相關(guān)的小工具包含任何具有計算和系統(tǒng)管理限制的設(shè)備，并且非常頻繁地，這些小工具沒有為安全而設(shè)計。

與物聯(lián)網(wǎng)相關(guān)的小工具發(fā)現(xiàn)了巨大的攻擊面，并且經(jīng)常忽略安全最佳實(shí)踐。例如，小工具經(jīng)常與框架組織的硬編碼確認(rèn)認(rèn)證一起發(fā)送，從而簡化了攻擊者登錄小工具的過程。有時，驗證認(rèn)證無法更改。小工具還會定期傳輸而無法更新或修復(fù)產(chǎn)品，從而進(jìn)一步使它們受到利用顯著弱點(diǎn)的攻擊。

物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)正逐漸被用來發(fā)動巨大的 DDoS 攻擊。2016年，Mirai僵尸網(wǎng)絡(luò)被用來攻擊地名專家組織Dyn；攻擊量估計為每秒 600 多吉比特。2016 年末對法國促進(jìn)公司 OVH 發(fā)布的另一次攻擊達(dá)到了每秒超過 1 TB 的速度。自 Mirai 使用其代碼組件以來，眾多物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)出現(xiàn)。dark_nexus IoT 僵尸網(wǎng)絡(luò)就是其中一種模型。

識別 DDoS 攻擊

DDoS 攻擊流量會導(dǎo)致可訪問性問題。在組織中，可訪問性和管理問題很常見。應(yīng)該可以識別標(biāo)準(zhǔn)功能問題和 DDoS 攻擊。有時，每天都會發(fā)生 DDoS 攻擊，因此請了解要搜索的內(nèi)容。逐點(diǎn)流量調(diào)查對于最初確定是否發(fā)生攻擊以及隨后確定攻擊策略非常重要。

下面記錄了可能證明 DDoS 攻擊的組織和員工實(shí)踐實(shí)例。這些做法中的一種或多種應(yīng)引起關(guān)注：

• 一個或幾個明確的 IP 往往會在短時間內(nèi)進(jìn)行大量連續(xù)的請求。
• 高峰時段的大量僵局來自具有相當(dāng)社會素質(zhì)的客戶。例如，如果大量流量來自類似設(shè)備的客戶、一個孤立的地質(zhì)區(qū)域或類似的程序。
• 工作人員在嘗試使用 ping 管理對其進(jìn)行測試時超時。
• 工作人員以 503 HTTP 錯誤反應(yīng)做出反應(yīng)，這意味著工作人員負(fù)擔(dān)過重或無法獲得支持。
• 日志顯示數(shù)據(jù)傳輸中穩(wěn)定可靠的峰值。對于正常工作的工人來說，無論如何都應(yīng)該保留數(shù)據(jù)傳輸。
• 日志會在不常見的情況下或以典型的連續(xù)性顯示流量峰值。
• 日志顯示了一個端點(diǎn)或站點(diǎn)頁面在高峰時段的僵局中出現(xiàn)的異常巨大的峰值。

這些做法還可以幫助確定要執(zhí)行的攻擊類型。例如，一個 503 錯誤可能代表了一種約定或網(wǎng)絡(luò)驅(qū)動的攻擊。如果該行為似乎是流向應(yīng)用程序或網(wǎng)頁的流量，則該行為可能表明存在應(yīng)用程序級攻擊。很多時候，個人要遵循選擇攻擊類型所需的每一個因素是不切實(shí)際的，因此必須利用組織和應(yīng)用程序檢查設(shè)備來自動化該過程。

拒絕行政攻擊的跡象

分散的放棄管理攻擊的跡象類似于拒絕管理攻擊的跡象。DDoS 攻擊對企業(yè)構(gòu)成嚴(yán)重風(fēng)險并帶來長期后果。因此，請熟悉 DDoS 攻擊的風(fēng)險、弱點(diǎn)和危險。

一旦進(jìn)行，幾乎很難阻止這些攻擊。盡管如此，這些攻擊的業(yè)務(wù)影響可以通過一些中心數(shù)據(jù)安全演練來限制。作為這些策略的一部分，執(zhí)行定期安全審查以識別和解決與 Dos 相關(guān)的弱點(diǎn)，并尋求具有包含 DDoS 攻擊經(jīng)驗的云服務(wù)提供商的幫助。此外，通過實(shí)踐董事會決議、測試電子郵件網(wǎng)絡(luò)釣魚和客戶意識，以及防止互聯(lián)網(wǎng)上的 DDoS 攻擊，協(xié)會可以降低其遭受 DDoS 攻擊的風(fēng)險。