客戶(hù)喜歡運(yùn)行良好且順利的事情。分布式拒絕服務(wù) (DDoS) 攻擊使服務(wù)器和數(shù)據(jù)中心無(wú)法響應(yīng)所有請(qǐng)求。這就是網(wǎng)絡(luò)犯罪分子繼續(xù)依賴(lài)這些攻擊的原因，旨在損害受害者產(chǎn)品和服務(wù)的性能和可用性。

為了降低失去客戶(hù)信任的風(fēng)險(xiǎn)并維護(hù)企業(yè)聲譽(yù)，在開(kāi)發(fā)新產(chǎn)品時(shí)優(yōu)先考慮 DDoS 緩解非常重要。在本文中，我們將討論最常見(jiàn)的 DDoS 攻擊類(lèi)型以及有助于檢測(cè)它們的技術(shù)。我們還提供了一些建議，以幫助您的開(kāi)發(fā)團(tuán)隊(duì)及時(shí)進(jìn)行必要的調(diào)整并構(gòu)建安全且有彈性的 Web 應(yīng)用程序。

DDoS攻擊的類(lèi)型和方法

想象一下有人一遍又一遍地?fù)艽蚰碾娫挘褂貌煌碾娫捥?hào)碼，因此您無(wú)法將他們列入黑名單。您可能最終會(huì)關(guān)閉手機(jī)并變得無(wú)法訪問(wèn)。這就是通常的 DDoS 攻擊的樣子。

分布式拒絕服務(wù)(DDoS) 攻擊是一種旨在使受害者的資源無(wú)法使用的協(xié)同攻擊。DDoS 攻擊通常針對(duì)網(wǎng)站、Web 應(yīng)用程序或 API，可以由黑客執(zhí)行，也可以在連接到互聯(lián)網(wǎng)的多個(gè)受感染設(shè)備（僵尸網(wǎng)絡(luò)）的幫助下執(zhí)行。

早在史蒂夫喬布斯推出第一款 iPhone 之前，DDoS 攻擊就已經(jīng)出現(xiàn)。而且它們?cè)诤诳椭腥匀环浅Ｊ軞g迎，因?yàn)樗鼈冇行А⒁子趩?dòng)并且?guī)缀醪涣艉圹E。

一次 DDoS 攻擊可能會(huì)持續(xù)幾分鐘、幾小時(shí)甚至幾天。但是，攻擊的影響通常不是根據(jù)它持續(xù)的時(shí)間來(lái)計(jì)算的，而是根據(jù)攻擊受害者的流量來(lái)計(jì)算的。迄今為止報(bào)告的最大事件之一是Microsoft 在 2022 年初阻止的每秒 3.47 TB 的攻擊。它針對(duì) Microsoft Azure 服務(wù)的亞洲客戶(hù)，據(jù)報(bào)道起源于全球約 10,000 個(gè)工作站。

有時(shí)，網(wǎng)絡(luò)犯罪分子發(fā)起 DDoS 攻擊只是為了提高他們的黑客技能或因?yàn)樗麄兏械綗o(wú)聊。但更多情況下，這些攻擊是出于特定原因進(jìn)行的，包括：

• 贖金——網(wǎng)絡(luò)犯罪分子可能會(huì)發(fā)起攻擊或威脅這樣做，以向受害者勒索金錢(qián)或其他利益。此類(lèi)攻擊有時(shí)也稱(chēng)為贖金拒絕服務(wù)攻擊。
• 商業(yè)競(jìng)爭(zhēng)——一些組織可以使用 DDoS 攻擊作為一種不公平競(jìng)爭(zhēng)的方法，并試圖通過(guò)損害其競(jìng)爭(zhēng)對(duì)手的業(yè)務(wù)流和聲譽(yù)來(lái)獲得優(yōu)勢(shì)。
• 黑客主義——精通技術(shù)的活動(dòng)家可能會(huì)使用 DDoS 攻擊來(lái)展示他們對(duì)某些企業(yè)、政治和社會(huì)倡議或公眾人物的不滿。
• 網(wǎng)絡(luò)戰(zhàn)——政府可以授權(quán) DDoS 攻擊來(lái)破壞敵國(guó)的關(guān)鍵在線基礎(chǔ)設(shè)施或關(guān)閉反對(duì)派網(wǎng)站。

根據(jù)他們的目標(biāo)和動(dòng)機(jī)，網(wǎng)絡(luò)犯罪分子使用各種工具進(jìn)行各種類(lèi)型的攻擊。通常，DDoS 攻擊通過(guò)以下方式執(zhí)行：

• 利用軟件漏洞——黑客可以針對(duì)已知和未知的軟件漏洞并發(fā)送格式錯(cuò)誤的數(shù)據(jù)包以試圖破壞受害者的系統(tǒng)。
• 消耗計(jì)算或通信資源——攻擊者可以發(fā)送大量看起來(lái)合法的數(shù)據(jù)包。因此，它們會(huì)消耗受害者的網(wǎng)絡(luò)帶寬、CPU 或內(nèi)存，直到目標(biāo)系統(tǒng)無(wú)法再處理來(lái)自合法用戶(hù)的請(qǐng)求。

雖然 DDoS 攻擊沒(méi)有標(biāo)準(zhǔn)分類(lèi)，但我們可以將它們分為四大類(lèi)：

讓我們仔細(xì)看看這些類(lèi)型的攻擊。

1. 容量攻擊

容量攻擊旨在通過(guò)大量流量來(lái)阻止對(duì)受害者資源的訪問(wèn)，通常借助僵尸網(wǎng)絡(luò)和放大技術(shù)。這些攻擊的規(guī)模通常以每秒比特?cái)?shù) (bps) 來(lái)衡量。

最常見(jiàn)的容量攻擊類(lèi)型是：

• UDP 泛洪——攻擊者將使用受害者的源地址偽造的用戶(hù)數(shù)據(jù)報(bào)協(xié)議 (UDP) 數(shù)據(jù)包發(fā)送到隨機(jī)端口。主機(jī)生成大量回復(fù)流量并將其發(fā)送回受害者。
• DNS 放大- 網(wǎng)絡(luò)犯罪分子破壞和操縱可公開(kāi)訪問(wèn)的域名系統(tǒng) (DNS)，以用 DNS 響應(yīng)流量淹沒(méi)受害者的系統(tǒng)。
• 濫用應(yīng)用程序攻擊——黑客入侵客戶(hù)端計(jì)算機(jī)，這些計(jì)算機(jī)可以發(fā)送大量看似合法的流量，并將該流量重定向到受害者的服務(wù)器，耗盡其資源并最終將其關(guān)閉。

2020 年， Amazon Web Services 遭受了使用無(wú)連接輕量級(jí)目錄訪問(wèn)協(xié)議 (CLDAP) 反射技術(shù)執(zhí)行的?2.3 TBps 的大規(guī)模攻擊。

2.協(xié)議攻擊

協(xié)議攻擊針對(duì)不同互聯(lián)網(wǎng)通信協(xié)議工作方式的弱點(diǎn)。通常，此類(lèi) DDoS 攻擊的規(guī)模以每秒網(wǎng)絡(luò)數(shù)據(jù)包數(shù) (pps) 來(lái)衡量。最常見(jiàn)的協(xié)議攻擊類(lèi)型是：

• SYN 洪水——黑客利用了 TCP 三次握手機(jī)制中的一個(gè)弱點(diǎn)。客戶(hù)端向服務(wù)器發(fā)送一個(gè) SYN 數(shù)據(jù)包，接收一個(gè) SYN-ACK 數(shù)據(jù)包，并且永遠(yuǎn)不會(huì)向主機(jī)發(fā)送一個(gè) ACK?? 數(shù)據(jù)包。因此，受害者的服務(wù)器會(huì)留下大量未完成的 SYN-ACK 請(qǐng)求，并最終崩潰。
• ICMP 洪水— 惡意行為者使用大量 Internet 控制消息協(xié)議 (ICMP) 請(qǐng)求或 ping，試圖耗盡受害者的服務(wù)器帶寬。
• Ping of?death——黑客使用簡(jiǎn)單的 ping 命令發(fā)送超大數(shù)據(jù)包，導(dǎo)致受害者的系統(tǒng)凍結(jié)或崩潰。

2020 年，Akamai 報(bào)告說(shuō)，它與針對(duì)歐洲銀行的每秒 8.09 億個(gè)數(shù)據(jù)包 (Mpps) 的大規(guī)模 DDoS 攻擊作斗爭(zhēng)。

3.應(yīng)用層攻擊

應(yīng)用程序攻擊利用 6 級(jí)和 7 級(jí)協(xié)議棧中的弱點(diǎn)，針對(duì)特定應(yīng)用程序而不是整個(gè)服務(wù)器。此類(lèi) DDoS 攻擊的威力通常以每秒請(qǐng)求數(shù)來(lái)衡量。

應(yīng)用層攻擊通常針對(duì)常見(jiàn)的端口和服務(wù)，例如 DNS 或 HTTP。最常見(jiàn)的應(yīng)用程序級(jí)攻擊是：

• HTTP 泛濫——攻擊者使用僵尸網(wǎng)絡(luò)向應(yīng)用程序或 Web 服務(wù)器充斥大量標(biāo)準(zhǔn) GET 和 POST 請(qǐng)求。由于這些請(qǐng)求通常表現(xiàn)為合法流量，因此檢測(cè) HTTP 泛洪攻擊是一個(gè)相當(dāng)大的挑戰(zhàn)。
• Slowloris?— 顧名思義，Slowloris 緩慢地使受害者的服務(wù)器崩潰。攻擊者以定時(shí)間隔和小部分向受害者的服務(wù)器發(fā)送 HTTP 請(qǐng)求。服務(wù)器一直在等待這些請(qǐng)求完成，而這永遠(yuǎn)不會(huì)發(fā)生。最終，這些未完成的請(qǐng)求會(huì)耗盡受害者的帶寬，使合法用戶(hù)無(wú)法訪問(wèn)服務(wù)器。

根據(jù)Cloudflare 最近的一份聲明， 2022 年，一項(xiàng)未命名的加密貨幣服務(wù)遭到每秒 1530 萬(wàn)次請(qǐng)求的攻擊。

4. 零日 DDoS 攻擊

除了眾所周知的攻擊之外，還有所謂的零日DDoS 攻擊。他們利用尚未修補(bǔ)的以前未知的軟件漏洞或使用不常見(jiàn)的攻擊媒介，因此更難以檢測(cè)和保護(hù)。

現(xiàn)在讓我們談?wù)剻z測(cè) DDoS 攻擊的方法。

檢測(cè) DDoS 攻擊

雖然完全阻止 DDoS 攻擊是不可能的，但有一些有效的做法和方法可以幫助您檢測(cè)和阻止已經(jīng)發(fā)生的 DDoS 攻擊。下面，我們列出了幾種最常見(jiàn)的 DDoS 保護(hù)方法，您可以依靠它來(lái)檢測(cè)攻擊并保護(hù)您的產(chǎn)品或服務(wù)。

異常檢測(cè)

檢測(cè)潛在 DDoS 攻擊的一種方法是分析網(wǎng)絡(luò)流量并將流量模式分類(lèi)為正常或潛在威脅。您可以借助傳統(tǒng)的靜態(tài)分析或更復(fù)雜的技術(shù)（如機(jī)器學(xué)習(xí)和人工智能）來(lái)做到這一點(diǎn)。除了網(wǎng)絡(luò)流量分析之外，您還可以搜索其他網(wǎng)絡(luò)性能因素中的異常情況，例如設(shè)備 CPU 利用率或帶寬使用情況。

基于知識(shí)的方法

您還可以通過(guò)將流量與已知攻擊的特定模式進(jìn)行比較來(lái)檢測(cè)類(lèi)似 DDoS 的活動(dòng)。常見(jiàn)的 DDoS 防護(hù)技術(shù)包括簽名分析、狀態(tài)轉(zhuǎn)換分析、專(zhuān)家系統(tǒng)、描述腳本和自組織圖。

ACL 和防火墻

除了入口/出口流量過(guò)濾之外，您還可以使用訪問(wèn)控制列表 (ACL) 和防火墻規(guī)則來(lái)增強(qiáng)流量可見(jiàn)性。特別是，您可以分析 ACL 日志以了解通過(guò)您的網(wǎng)絡(luò)運(yùn)行的流量類(lèi)型。您還可以配置您的 Web 應(yīng)用程序防火墻，以根據(jù)特定規(guī)則、簽名和模式阻止可疑的傳入流量。

入侵防御和檢測(cè)

入侵防御系統(tǒng) (IPS) 和入侵檢測(cè)系統(tǒng) (IDS) 也增強(qiáng)了流量可見(jiàn)性。IPS 和 IDS 警報(bào)可作為異常和潛在惡意流量的早期指標(biāo)。但請(qǐng)記住，這些系統(tǒng)往往會(huì)提供很多誤報(bào)。

至于處理可能涉及 DDoS 攻擊的流量的方法，我們可以概述三種常見(jiàn)策略：

• 空路由或黑洞路由- 所有流量和會(huì)話都被重定向到?jīng)]有最終目的地的 IP 地址。結(jié)果，服務(wù)器無(wú)法接收或發(fā)送數(shù)據(jù)。一旦 DDoS 攻擊結(jié)束，就會(huì)恢復(fù)正常的流量處理。雖然這種方法很容易實(shí)施，但它會(huì)對(duì)所有合法流量產(chǎn)生負(fù)面影響，并且基本上可以幫助攻擊者實(shí)現(xiàn)他們的初始目標(biāo)——使受害者的服務(wù)器不可用。
• 清理中心——這種方法基于將流量從受害服務(wù)器重定向到遠(yuǎn)程清理中心，在該中心對(duì)流量進(jìn)行分析和過(guò)濾。任何具有潛在危險(xiǎn)的流量（例如 DDoS 請(qǐng)求）都會(huì)被阻止，而合法請(qǐng)求則會(huì)照常處理。
• 內(nèi)聯(lián)過(guò)濾——在這種方法中，通過(guò)網(wǎng)絡(luò)的所有流量都經(jīng)過(guò)分析，并與不同的規(guī)則和攻擊指標(biāo)進(jìn)行比較。與已識(shí)別的 DDoS 攻擊相關(guān)的流量會(huì)立即被阻止，而合法請(qǐng)求會(huì)得到正常處理。

特定方法和技術(shù)的選擇將取決于特定服務(wù)或解決方案的特性。但是，確保及早發(fā)現(xiàn) DDoS 攻擊對(duì)于任何項(xiàng)目都至關(guān)重要，因?yàn)樗梢詭椭@著減輕攻擊的后果并保持服務(wù)或解決方案的正常性能。?

在接下來(lái)的部分中，我們將討論您可以嘗試防止 DDoS 攻擊的幾種方法，并概述針對(duì)您的 Web 應(yīng)用程序或服務(wù)的某些類(lèi)型的 DDoS 保護(hù)措施。

構(gòu)建 DDoS 彈性應(yīng)用程序的最佳實(shí)踐

預(yù)防勝于治療。因此，在開(kāi)始構(gòu)建之前，請(qǐng)考慮如何確保 Web 應(yīng)用程序或服務(wù)的 DDoS 彈性。

1. 應(yīng)用 DDoS 防御機(jī)制

即使您無(wú)法阻止 DDoS 攻擊的發(fā)生，您也有能力讓攻擊者更難關(guān)閉您的網(wǎng)站或應(yīng)用程序。這就是 DDoS 攻擊預(yù)防技術(shù)發(fā)揮作用的地方。?

您可以使用兩組 DDoS 預(yù)防機(jī)制：?

• 通用 DDoS 預(yù)防機(jī)制
• 過(guò)濾機(jī)制

通用 DDoS 預(yù)防機(jī)制是可以幫助您使您的 Web 應(yīng)用程序或服務(wù)器對(duì) DDoS 攻擊更具彈性的常用措施。這些措施包括：

• 使用防火墻——雖然防火墻不能保護(hù)您的應(yīng)用程序或服務(wù)器免受復(fù)雜的 DDoS 攻擊，但它們?nèi)匀豢梢杂行У靥幚砗?jiǎn)單的攻擊。
• 安裝最新的安全補(bǔ)丁——大多數(shù)攻擊針對(duì)特定的軟件或硬件漏洞，因此按時(shí)部署所有補(bǔ)丁可以幫助您降低攻擊風(fēng)險(xiǎn)。
• 禁用未使用的服務(wù)——黑客可以攻擊的應(yīng)用程序和服務(wù)越少越好。確保禁用所有不需要和未使用的服務(wù)和應(yīng)用程序，以提高網(wǎng)絡(luò)的安全性。

過(guò)濾機(jī)制使用不同的方法來(lái)過(guò)濾流量并阻止?jié)撛诘奈ｋU(xiǎn)請(qǐng)求。這些機(jī)制包括入口/出口過(guò)濾、基于歷史的 IP 過(guò)濾和基于路由器的數(shù)據(jù)包過(guò)濾。

2. 明智地選擇您的 CSP

在選擇云服務(wù)提供商 (CSP) 時(shí)，請(qǐng)選擇擁有自己的 DDoS 緩解策略的提供商。確保此策略確保檢測(cè)和緩解基于協(xié)議、基于容量和應(yīng)用程序級(jí)的攻擊。

此外，研究您的 CSP 關(guān)于 DDoS 緩解的建議，并在構(gòu)建您的 Web 產(chǎn)品時(shí)實(shí)施它們。大多數(shù)云服務(wù)提供商都有詳細(xì)的指導(dǎo)方針，以及保護(hù)您的 Web 產(chǎn)品和服務(wù)免受常見(jiàn) DDoS 攻擊的最佳實(shí)踐。您可以先看看Google Cloud、Microsoft Azure和Amazon Web Services的建議。

3. 以可擴(kuò)展性為目標(biāo)

通過(guò)將足夠的計(jì)劃和資源投入到其可擴(kuò)展性中，使您的 Web 應(yīng)用程序能夠有效地處理突然的負(fù)載變化。您可以部署應(yīng)用程序和網(wǎng)絡(luò)負(fù)載均衡器或內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN)，通過(guò)跨多個(gè)實(shí)例分發(fā)所有流量來(lái)保護(hù)您的解決方案免受流量過(guò)載的影響。通過(guò)這種方式，您將能夠減輕基礎(chǔ)設(shè)施和應(yīng)用程序?qū)拥臐撛诠簟?/span>

4.限制弱點(diǎn)的數(shù)量

除非確實(shí)有必要，否則不要公開(kāi)您的應(yīng)用程序和資源。通過(guò)這種方式，您可以限制基礎(chǔ)設(shè)施中可能被攻擊者攻擊的薄弱環(huán)節(jié)的數(shù)量。您還可以禁止到數(shù)據(jù)庫(kù)服務(wù)器和基礎(chǔ)設(shè)施的其他關(guān)鍵部分的直接 Internet 流量。

5. 保護(hù)您的 API

DDoS 攻擊不僅可以針對(duì)您的網(wǎng)站和應(yīng)用程序，還可以針對(duì)您的 API。有多種方法可以增強(qiáng) API 的反 DDoS 保護(hù)：應(yīng)用流量過(guò)濾工具和技術(shù)，限制 API 在給定時(shí)間段內(nèi)可以處理的請(qǐng)求數(shù)量，甚至部署蜜罐。

6. 使用第三方 DDoS 緩解服務(wù)

考慮將 Web 應(yīng)用程序的保護(hù)委托給第三方供應(yīng)商。DDoS 預(yù)防工具和緩解服務(wù)甚至可以在有問(wèn)題的流量到達(dá)受害者的網(wǎng)絡(luò)之前將其移除。您可以尋找基于 DNS 的服務(wù)來(lái)重定向來(lái)自您的網(wǎng)絡(luò)的有問(wèn)題的流量，或者尋找基于邊界網(wǎng)關(guān)協(xié)議的解決方案來(lái)處理持續(xù)攻擊。

結(jié)論

黑客不斷使用和改進(jìn) DDoS 攻擊，旨在破壞特定網(wǎng)站、應(yīng)用程序和服務(wù)的工作。在處理 Web 應(yīng)用程序時(shí)，請(qǐng)?zhí)貏e注意強(qiáng)化您的解決方案以抵御可能的 DDoS 攻擊。

考慮到穩(wěn)定性和彈性來(lái)構(gòu)建您的網(wǎng)絡(luò)產(chǎn)品非常重要。您可以結(jié)合不同的 DDoS 攻擊預(yù)防方法和 DDoS 防御技術(shù)，以增加有效緩解潛在攻擊的機(jī)會(huì)。或者，您可以部署多個(gè)云以確保更好地提供服務(wù)。雖然大多數(shù) CSP 都提供反 DDoS 建議，但在開(kāi)發(fā) Web 應(yīng)用程序時(shí)設(shè)計(jì)全面的 DDoS 緩解策略需要額外的專(zhuān)業(yè)知識(shí)。在 Apriorit，我們擁有由知名云和 Web 安全專(zhuān)家組成的團(tuán)隊(duì)，他們很樂(lè)意幫助您構(gòu)建穩(wěn)定、彈性和性能良好的 Web 產(chǎn)品。