DDoS 攻擊使黑客能夠用虛假流量淹沒網(wǎng)絡(luò)或服務(wù)器。過多的流量會使資源過載并中斷連接，從而阻止系統(tǒng)處理真正的用戶請求。服務(wù)變得不可用，目標(biāo)公司遭受長時(shí)間停機(jī)、收入損失和客戶不滿意。本文介紹了企業(yè)如何防止 DDoS 攻擊并領(lǐng)先于潛在的黑客。我們在下面展示的做法有助于最大限度地減少 DDoS 的影響并確保從攻擊嘗試中快速恢復(fù)。

什么是 DDoS 攻擊？

DDoS（分布式拒絕服務(wù)）是一種網(wǎng)絡(luò)攻擊，旨在通過用虛假流量淹沒系統(tǒng)來使網(wǎng)絡(luò)、服務(wù)或服務(wù)器崩潰。消息、連接請求或數(shù)據(jù)包的突然激增使目標(biāo)的基礎(chǔ)設(shè)施不堪重負(fù)，并導(dǎo)致系統(tǒng)變慢或崩潰。

雖然一些黑客使用 DDoS 攻擊勒索企業(yè)支付贖金（類似于勒索軟件），但 DDoS 背后更常見的動機(jī)是：

• 中斷服務(wù)或通信。
• 造成品牌損害。
• 在競爭對手的網(wǎng)站關(guān)閉時(shí)獲得業(yè)務(wù)優(yōu)勢。
• 分散事件響應(yīng)團(tuán)隊(duì)的注意力。

DDoS 攻擊對各種規(guī)模的企業(yè)都是一種威脅，從財(cái)富 500 強(qiáng)公司到小型電子零售商。據(jù)統(tǒng)計(jì)，DDoS 黑客最常針對：

• 在線零售商。
• IT 服務(wù)提供商。
• 金融和金融科技公司。
• 政府實(shí)體。
• 在線游戲和賭博公司。

攻擊者通常使用僵尸網(wǎng)絡(luò)來引發(fā) DDoS。僵尸網(wǎng)絡(luò)是在攻擊者控制下的受惡意軟件感染的計(jì)算機(jī)、移動設(shè)備和物聯(lián)網(wǎng)小工具的鏈接網(wǎng)絡(luò)。黑客使用這些“僵尸”設(shè)備向目標(biāo)網(wǎng)站或服務(wù)器的 IP 地址發(fā)送過多的請求。

一旦僵尸網(wǎng)絡(luò)發(fā)送了足夠多的請求，在線服務(wù)（電子郵件、網(wǎng)站、Web 應(yīng)用程序等）就會變慢或失敗。根據(jù) Radware 報(bào)告，以下是 DDoS 攻擊的平均長度：

• 33% 的人讓服務(wù)在一個(gè)小時(shí)內(nèi)不可用。
• 60% 持續(xù)不到一整天。
• 15% 持續(xù)一個(gè)月。

雖然 DDoS 通常不會直接導(dǎo)致數(shù)據(jù)泄露或泄露，但受害者會花費(fèi)時(shí)間和金錢讓服務(wù)重新上線。業(yè)務(wù)損失、購物車被遺棄、用戶沮喪和名譽(yù)受損是未能阻止 DDoS 攻擊的常見后果。

DDoS 攻擊的類型

雖然所有 DDoS 攻擊的目的都是使活動過多的系統(tǒng)不堪重負(fù)，但黑客有不同的策略來導(dǎo)致分布式拒絕服務(wù)。

三種主要的攻擊類型是：

• 應(yīng)用層攻擊。
• 協(xié)議攻擊。
• 體積攻擊。

這三種方法依賴于不同的技術(shù)，但熟練的黑客可以使用所有三種策略來壓倒一個(gè)目標(biāo)。

應(yīng)用層攻擊

應(yīng)用程序?qū)庸翎槍Σ⑵茐奶囟☉?yīng)用程序，而不是整個(gè)網(wǎng)絡(luò)。黑客生成大量 HTTP 請求，耗盡了目標(biāo)服務(wù)器的響應(yīng)能力。

網(wǎng)絡(luò)安全專家以每秒請求數(shù) (?RPS?) 衡量應(yīng)用層攻擊。這些攻擊的常見目標(biāo)包括：

• 網(wǎng)絡(luò)應(yīng)用程序。
• 聯(lián)網(wǎng)應(yīng)用程序。
• 云服務(wù)。

試圖阻止這種類型的 DDoS 攻擊具有挑戰(zhàn)性，因?yàn)榘踩珗F(tuán)隊(duì)經(jīng)常難以區(qū)分合法和惡意的 HTTP 請求。與其他 DDoS 策略相比，這些攻擊使用的資源更少，一些黑客甚至可以僅使用單個(gè)設(shè)備來編排應(yīng)用層攻擊。

應(yīng)用級 DDoS 的另一個(gè)常見名稱是第 7 層攻擊。

協(xié)議攻擊

協(xié)議 DDoS 攻擊（或網(wǎng)絡(luò)層攻擊）利用了管理互聯(lián)網(wǎng)通信的協(xié)議或程序中的弱點(diǎn)。雖然應(yīng)用程序級 DDoS 針對特定應(yīng)用程序，但協(xié)議攻擊的目標(biāo)是降低整個(gè)網(wǎng)絡(luò)的速度。

兩種最常見的基于協(xié)議的 DDoS 攻擊是：

• SYN 泛洪：此攻擊利用 TCP 握手過程。攻擊者向目標(biāo)發(fā)送帶有虛假 IP 地址的 TCP 請求。目標(biāo)系統(tǒng)響應(yīng)并等待發(fā)送方確認(rèn)握手。由于攻擊者從不發(fā)送響應(yīng)以完成握手，因此不完整的進(jìn)程堆積并最終導(dǎo)致服務(wù)器崩潰。
• Smurf DDoS：黑客使用惡意軟件創(chuàng)建附加到虛假 IP 地址的網(wǎng)絡(luò)數(shù)據(jù)包（欺騙）。該包包含一個(gè) ICMP ping 消息，該消息要求網(wǎng)絡(luò)發(fā)回回復(fù)。黑客再次將響應(yīng)（回顯）發(fā)送回網(wǎng)絡(luò) IP 地址，從而形成無限循環(huán)，最終導(dǎo)致系統(tǒng)崩潰。

網(wǎng)絡(luò)安全專家以每秒數(shù)據(jù)包 (?PPS?) 或每秒比特?cái)?shù) (?BPS?) 來衡量協(xié)議攻擊。協(xié)議 DDoS 如此普遍的主要原因是這些攻擊可以輕松繞過配置不當(dāng)?shù)姆阑饓Α?/p>

體積攻擊

基于容量的 DDoS 攻擊通過虛假數(shù)據(jù)請求消耗目標(biāo)的可用帶寬并造成網(wǎng)絡(luò)擁塞。攻擊者的流量阻止合法用戶訪問服務(wù)，阻止流量流入或流出。

最常見的容量 DDoS 攻擊類型是：

• UDP 泛洪：這些攻擊允許黑客使用包含無狀態(tài) UDP 協(xié)議的 IP 數(shù)據(jù)包淹沒目標(biāo)主機(jī)上的端口。
• DNS 放大（或 DNS 反射）：此攻擊將大量 DNS 請求重定向到目標(biāo)的 IP 地址。
• ICMP 泛洪：此策略使用 ICMP 錯(cuò)誤錯(cuò)誤請求來使網(wǎng)絡(luò)帶寬過載。

所有體積攻擊都依賴于僵尸網(wǎng)絡(luò)。黑客使用大量受惡意軟件感染的設(shè)備來導(dǎo)致流量激增并耗盡所有可用帶寬。容量攻擊是最常見的 DDoS 類型。

防止 DDoS 攻擊的 7 個(gè)最佳實(shí)踐

雖然沒有辦法阻止黑客嘗試造成 DDoS，但適當(dāng)?shù)挠?jì)劃和主動措施可以降低攻擊的風(fēng)險(xiǎn)和潛在影響。

創(chuàng)建 DDoS 響應(yīng)計(jì)劃

您的安全團(tuán)隊(duì)?wèi)?yīng)制定事件響應(yīng)計(jì)劃，以確保員工在發(fā)生 DDoS 時(shí)迅速有效地做出響應(yīng)。該計(jì)劃應(yīng)包括：

• 關(guān)于如何應(yīng)對 DDoS 攻擊的清晰分步說明。
• 如何維護(hù)業(yè)務(wù)運(yùn)營。
• 主要工作人員和主要利益相關(guān)者。
• 升級協(xié)議。
• 團(tuán)隊(duì)責(zé)任。
• 所有必要工具的清單。
• 關(guān)鍵任務(wù)系統(tǒng)列表。

確保高水平的網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全對于阻止任何 DDoS 攻擊企圖至關(guān)重要。由于攻擊只有在黑客有足夠的時(shí)間堆積請求時(shí)才會產(chǎn)生影響，因此及早識別 DDoS 的能力對于控制爆炸半徑至關(guān)重要。

您可以依靠以下類型的網(wǎng)絡(luò)安全來保護(hù)您的企業(yè)免受 DDoS 攻擊：

• 充當(dāng)網(wǎng)絡(luò)之間流量掃描屏障的防火墻和入侵檢測系統(tǒng)。
• 檢測和刪除病毒和惡意軟件的防病毒和反惡意軟件。
• 端點(diǎn)安全確保網(wǎng)絡(luò)端點(diǎn)（臺式機(jī)、筆記本電腦、移動設(shè)備等）不會成為惡意活動的入口點(diǎn)。
• Web 安全工具，可消除基于 Web 的威脅、阻止異常流量并搜索已知的攻擊特征。
• 通過檢查流量是否具有與源地址一致的源地址來防止欺騙的工具。
• 使用獨(dú)特的安全控制和協(xié)議將系統(tǒng)分成子網(wǎng)的網(wǎng)絡(luò)分段。

防御 DDoS 攻擊還需要高水平的網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性。保護(hù)網(wǎng)絡(luò)設(shè)備使您能夠?yàn)榱髁扛叻??準(zhǔn)備硬件（路由器、負(fù)載平衡器、域名系統(tǒng) (DNS)等）。

有服務(wù)器冗余

依賴多個(gè)分布式服務(wù)器使得黑客很難同時(shí)攻擊所有服務(wù)器。如果攻擊者在單個(gè)托管設(shè)備上啟動成功的 DDoS，其他服務(wù)器將不受影響并承擔(dān)額外的流量，直到目標(biāo)系統(tǒng)重新上線。

您應(yīng)該在不同地區(qū)的數(shù)據(jù)中心和托管設(shè)施中托管服務(wù)器，以確保您沒有任何網(wǎng)絡(luò)瓶頸或單點(diǎn)故障。您還可以使用內(nèi)容交付網(wǎng)絡(luò) (CDN)。由于 DDoS 攻擊通過使服務(wù)器過載來工作，因此 CDN 可以在多個(gè)分布式服務(wù)器之間平均分擔(dān)負(fù)載。

留意警告標(biāo)志

如果您的安全團(tuán)隊(duì)能夠快速識別 DDoS 攻擊的特征，您就可以及時(shí)采取行動并減輕損失。

DDoS 的常見跡象是：

• 連通性差。
• 性能緩慢。
• 對單個(gè)頁面或端點(diǎn)的高需求。
• 崩潰。
• 來自單個(gè)或一小組 IP 地址的異常流量。
• 來自具有共同配置文件（系統(tǒng)型號、地理位置、Web 瀏覽器版本等）的用戶的流量激增。

請記住，并非所有 DDoS 攻擊都伴隨著高流量。持續(xù)時(shí)間短的小批量攻擊通常作為隨機(jī)事件而受到關(guān)注。但是，這些攻擊可能是對更危險(xiǎn)的破壞（例如勒索軟件）的測試或轉(zhuǎn)移。因此，檢測少量攻擊與識別成熟的 DDoS 一樣重要。

考慮組織一個(gè)安全意識培訓(xùn)計(jì)劃，讓全體員工了解 DDoS 攻擊的跡象。這樣，您無需等待安全團(tuán)隊(duì)成員發(fā)現(xiàn)警告標(biāo)志。

持續(xù)監(jiān)控網(wǎng)絡(luò)流量

使用持續(xù)監(jiān)控 (CM)實(shí)時(shí)分析流量是檢測 DDoS 活動痕跡的絕佳方法。CM的好處是：

• 實(shí)時(shí)監(jiān)控可確保您在攻擊全面展開之前檢測到 DDoS 嘗試。
• 團(tuán)隊(duì)可以建立對典型網(wǎng)絡(luò)活動和流量模式的強(qiáng)烈認(rèn)識。一旦您了解日常操作的外觀，團(tuán)隊(duì)就可以更輕松地識別奇怪的活動。
• 全天候監(jiān)控可確保檢測到在辦公時(shí)間以外和周末發(fā)生的攻擊跡象。

根據(jù)設(shè)置，CM 工具會在出現(xiàn)問題時(shí)聯(lián)系管理員，或者按照預(yù)定義腳本的響應(yīng)說明進(jìn)行操作。

限制網(wǎng)絡(luò)廣播

DDoS 攻擊背后的黑客可能會向您網(wǎng)絡(luò)上的每臺設(shè)備發(fā)送請求以擴(kuò)大影響。您的安全團(tuán)隊(duì)可以通過限制設(shè)備之間的網(wǎng)絡(luò)廣播來應(yīng)對這種策略。

限制（或在可能的情況下關(guān)閉）廣播轉(zhuǎn)發(fā)是破壞大量 DDoS 嘗試的有效方法。在可能的情況下，您還可以考慮指示員工禁用echo和Chargen服務(wù)。

利用云來防止 DDoS 攻擊

雖然使用本地硬件和軟件來應(yīng)對 DDoS 威脅至關(guān)重要，但基于云的緩解沒有相同的容量限制。基于云的保護(hù)可以輕松擴(kuò)展和處理大型 DDoS 攻擊。

您可以選擇將 DDoS 防護(hù)外包給云提供商。與第三方供應(yīng)商合作的一些主要好處是：

• 云提供商提供全面的網(wǎng)絡(luò)安全，配備頂級防火墻和威脅監(jiān)控軟件。
• 公共云擁有比任何私有網(wǎng)絡(luò)更大的帶寬。
• 數(shù)據(jù)中心通過數(shù)據(jù)、系統(tǒng)和設(shè)備的副本提供高網(wǎng)絡(luò)冗余。

在設(shè)置基于云的 DDoS 保護(hù)時(shí)，企業(yè)通常有兩種選擇：

• 按需云 DDoS 緩解：這些服務(wù)在內(nèi)部團(tuán)隊(duì)或提供商檢測到威脅后激活。如果您遭受 DDoS，提供商會將所有流量轉(zhuǎn)移到云資源以保持服務(wù)在線。
• 始終在線的云 DDoS 保護(hù)：這些服務(wù)通過云清理中心路由所有流量（以較小的延遲為代價(jià)）。此選項(xiàng)最適合無法承受停機(jī)時(shí)間的任務(wù)關(guān)鍵型應(yīng)用程序。

如果您的內(nèi)部團(tuán)隊(duì)擁有必要的專業(yè)知識，您可能不需要僅僅依靠云提供商來提供基于云的 DDoS 保護(hù)。您可以設(shè)置混合或多云環(huán)境并組織流量以獲得與按需或始終在線 DDoS 保護(hù)相同的效果。

不要忽視 DDoS 威脅

DDoS 威脅不僅變得更加危險(xiǎn)，而且攻擊的數(shù)量也在增加。專家預(yù)測，到 2023 年，每年 DDoS 嘗試的平均次數(shù)將上升到 1540 萬次。該數(shù)字表明幾乎每個(gè)企業(yè)都會在某個(gè)時(shí)候面臨 DDoS，因此為這種攻擊類型做準(zhǔn)備應(yīng)該是您安全待辦事項(xiàng)列表的首要任務(wù)。