DDOS常见的类型及防御策略

什么是DDoS攻击？

分布式拒绝服务（DDoS）攻击是一种恶意攻击，是通过大量互联网流量攻击目标或其周围基础设施，导致目标服务器，服务或网络的无法正常使用。DDoS攻击通过利用多个被破坏的计算机系统作为攻击流量来源来实现攻击。被利用的机器可以包括计算机和其他网络资源，例如物联网设备。通俗的讲：DDoS攻击就像高速公路上的交通堵塞，阻碍了正常的交通到达预期的目的地。

DDoS攻击如何工作？

DDoS攻击需要攻击者控制在线计算机网络才能进行攻击。计算机和其他计算机（如物联网设备）感染了恶意软件，将每个计算机变成僵尸程序。然后，攻击者可以远程控制僵尸程序组，这称为僵尸网络。

一旦僵尸网络建立，攻击者就可以通过远程控制方法向每个机器人发送更新的指令来指导机器。当僵尸网络将受害者的IP地址作为目标时，每个僵尸网络将通过向目标发送请求来响应，从而可能导致目标服务器或网络溢出容量，从而导致对正常流量的拒绝服务。由于每个机器人都是合法的Internet设备，因此将攻击流量与正常流量分开可能很困难。

常见类型的DDoS攻击有哪些？

不同的DDoS攻击向量针对网络连接的不同组件。为了理解不同的DDoS攻击是如何工作的，必要知道如何建立网络连接。因特网上的网络连接由许多不同的组件或“层”组成。就像从头开始建造房屋一样，网络协议七层每个层都有不同的用途。

虽然几乎所有DDoS攻击都涉及压倒目标设备或网络流量，但攻击可分为三类。攻击者可以使用一个或多个不同的攻击方法，也可以根据目标所采取的对抗措施潜在地使用循环攻击向量。

1.应用层攻击
有时被称为网络协议第7层DDoS攻击，这些攻击的目标是耗尽目标的资源。攻击的目标是在服务器上生成网页并响应HTTP请求而传递的层。单个HTTP请求在客户端执行起来很便宜，并且目标服务器响应可能很昂贵，因为服务器通常必须加载多个文件并运行数据库查询才能创建网页。第7层攻击难以防御，因为流量难以识别为恶意流量。

应用层攻击示例：HTTP Flood

此攻击类似于同时在多个不同计算机上反复按Web浏览器中的刷新 - 大量HTTP请求泛滥服务器，导致拒绝服务。

这种类型的攻击范围从简单到复杂。更简单的实现可以访问具有相同范围的攻击IP地址，引用者和用户代理的一个URL。复杂版本可能使用大量攻击性IP地址，并使用随机引用和用户代理来定位随机URL。

2.协议攻击

协议攻击（也称为状态耗尽攻击）通过消耗Web应用程序服务器或防火墙和负载平衡器等中间资源的所有可用状态表容量来导致服务中断。协议攻击利用协议栈的第3层和第4层中的弱点来使目标不可访问。

协议攻击示例：SYN Flood

SYN Flood类似于接收来自商店前面的请求的供应室中的工作人员。工作人员收到请求，去取得包裹，等待确认，然后将包裹拿出来。然后，工作人员在没有确认的情况下获得更多的包请求，直到他们无法携带更多的包，变得不堪重负，并且请求开始无人接听。

此攻击通过向目标发送具有欺骗性源IP地址的大量TCP“初始连接请求”SYN数据包来利用TCP握手。目标机器响应每个连接请求，然后等待握手中的最后一步，这一步骤永远不会发生，从而耗尽了进程中的目标资源。

3.容量耗尽攻击

此类攻击试图通过消耗目标与较大Internet之间的所有可用带宽来创建拥塞。通过使用放大形式或其他创建大量流量的方式（例如来自僵尸网络的请求）将大量数据发送到目标。

扩增实例：DNS放大攻击

通过向具有欺骗IP地址（目标的真实IP地址）的开放DNS服务器发出请求，目标IP地址然后从服务器接收响应。攻击者构造请求，以便DNS服务器以大量数据响应目标。结果，目标接收到攻击者初始查询的放大。

减轻DDoS攻击的过程是什么？

减轻DDoS攻击的关键问题是区分攻击和正常流量。例如，如果刚才发布产品的公司网站，导致流量暴增，网站无法打开。如果直接关闭，肯定会受影响。如果该公司发现流量增加过大是因为攻击导致的，则可能需要努力减轻攻击。困难在于它将真实客户和攻击流量区分开来。

在现代互联网中，DDoS流​​量有多种形式。设计的流量可以从未欺骗的单一来源攻击到复杂的自适应多向量攻击。多向量DDoS攻击使用多个攻击路径以不同方式压倒目标，可能会分散任何一条轨迹上的缓解措施。同时针对7个层次协议的多个层的攻击，例如与HTTP泛洪（目标层7）耦合的DNS放大（目标是3层或则4层）是多种DDoS的示例。

减轻多种DDoS攻击需要多种策略以对抗不同的攻击轨迹。一般来说，攻击越复杂，流量就越难以与正常流量分离 - 攻击者的目标是尽可能地融合其中，使缓解攻击尽可能降低。包括不加区分地减少或限制流量的缓解尝试可能会将好的流量与坏的流量一起丢弃，攻击也可能会修改和适应以规避对策。为了克服复杂的攻击中断尝试，分层解决方案将带来最大的好处。

防御DDOS攻击的方法

1.转路由到黑洞

几乎所有网络管理员都可以使用的一种解决方案是创建一个黑洞路由并将流量汇集到该路由中。在最简单的形式中，当实施黑洞过滤而没有特定的限制标准时，合法和恶意网络流量都被路由到空路由或黑洞并从网络中丢弃。如果Internet属性正在遭受DDoS攻击，则该属性的Internet服务提供商（ISP）可能会将所有站点的流量发送到黑洞作为防御。

2.限速

限制服务器在特定时间窗口内接受的请求数量也是减轻拒绝服务攻击的一种方法。虽然速率限制有助于减缓网络抓取工具窃取内容并减少暴力登录尝试，但仅凭它可能不足以有效地处理复杂的DDoS攻击。然而，速率限制是有效DDoS缓解策略中的有用组件。

3.Web应用防火墙

Web应用防火墙（WAF）是一种工具，可以有助于减轻第7层 DDoS攻击。通过在Internet和源服务器之间放置防火墙，防火墙可以充当反向代理，保护目标服务器免受某些类型的恶意流量的影响。通过基于用于识别DDoS工具的一系列规则来过滤请求，可以阻止第7层攻击。有效防火墙的一个关键值是能够快速实施自定义规则以响应攻击。

4.Anycast网络扩散

此缓解方法使用Anycast网络将攻击流量分散到分布式服务器网络中，直至网络吸收流量。就像将一条湍急的河流引入不同的较小通道一样，这种方法将分布式攻击流量的影响扩展到可管理的程度，扩散任何破坏性功能。

本公司提供的香港高防机房方案能够对那些遭受任何类型DDoS攻击的客户提供完全保护，欢迎联系客服咨询测试。