客戶喜歡運行良好且順利的事情。分布式拒絕服務(wù) (DDoS) 攻擊使服務(wù)器和數(shù)據(jù)中心無法響應(yīng)所有請求。這就是網(wǎng)絡(luò)犯罪分子繼續(xù)依賴這些攻擊的原因，旨在損害受害者產(chǎn)品和服務(wù)的性能和可用性。

為了降低失去客戶信任的風(fēng)險并維護(hù)企業(yè)聲譽(yù)，在開發(fā)新產(chǎn)品時優(yōu)先考慮 DDoS 緩解非常重要。在本文中，我們將討論最常見的 DDoS 攻擊類型以及有助于檢測它們的技術(shù)。我們還提供了一些建議，以幫助您的開發(fā)團(tuán)隊及時進(jìn)行必要的調(diào)整并構(gòu)建安全且有彈性的 Web 應(yīng)用程序。

DDoS攻擊的類型和方法

想象一下有人一遍又一遍地?fù)艽蚰碾娫?，使用不同的電話號碼，因此您無法將他們列入黑名單。您可能最終會關(guān)閉手機(jī)并變得無法訪問。這就是通常的 DDoS 攻擊的樣子。

分布式拒絕服務(wù)(DDoS) 攻擊是一種旨在使受害者的資源無法使用的協(xié)同攻擊。DDoS 攻擊通常針對網(wǎng)站、Web 應(yīng)用程序或 API，可以由黑客執(zhí)行，也可以在連接到互聯(lián)網(wǎng)的多個受感染設(shè)備（僵尸網(wǎng)絡(luò)）的幫助下執(zhí)行。

早在史蒂夫喬布斯推出第一款 iPhone 之前，DDoS 攻擊就已經(jīng)出現(xiàn)。而且它們在黑客中仍然非常受歡迎，因為它們有效、易于啟動并且?guī)缀醪涣艉圹E。

一次 DDoS 攻擊可能會持續(xù)幾分鐘、幾小時甚至幾天。但是，攻擊的影響通常不是根據(jù)它持續(xù)的時間來計算的，而是根據(jù)攻擊受害者的流量來計算的。迄今為止報告的最大事件之一是Microsoft 在 2022 年初阻止的每秒 3.47 TB 的攻擊。它針對 Microsoft Azure 服務(wù)的亞洲客戶，據(jù)報道起源于全球約 10,000 個工作站。

有時，網(wǎng)絡(luò)犯罪分子發(fā)起 DDoS 攻擊只是為了提高他們的黑客技能或因為他們感到無聊。但更多情況下，這些攻擊是出于特定原因進(jìn)行的，包括：

• 贖金——網(wǎng)絡(luò)犯罪分子可能會發(fā)起攻擊或威脅這樣做，以向受害者勒索金錢或其他利益。此類攻擊有時也稱為贖金拒絕服務(wù)攻擊。
• 商業(yè)競爭——一些組織可以使用 DDoS 攻擊作為一種不公平競爭的方法，并試圖通過損害其競爭對手的業(yè)務(wù)流和聲譽(yù)來獲得優(yōu)勢。
• 黑客主義——精通技術(shù)的活動家可能會使用 DDoS 攻擊來展示他們對某些企業(yè)、政治和社會倡議或公眾人物的不滿。
• 網(wǎng)絡(luò)戰(zhàn)——政府可以授權(quán) DDoS 攻擊來破壞敵國的關(guān)鍵在線基礎(chǔ)設(shè)施或關(guān)閉反對派網(wǎng)站。

根據(jù)他們的目標(biāo)和動機(jī)，網(wǎng)絡(luò)犯罪分子使用各種工具進(jìn)行各種類型的攻擊。通常，DDoS 攻擊通過以下方式執(zhí)行：

• 利用軟件漏洞——黑客可以針對已知和未知的軟件漏洞并發(fā)送格式錯誤的數(shù)據(jù)包以試圖破壞受害者的系統(tǒng)。
• 消耗計算或通信資源——攻擊者可以發(fā)送大量看起來合法的數(shù)據(jù)包。因此，它們會消耗受害者的網(wǎng)絡(luò)帶寬、CPU 或內(nèi)存，直到目標(biāo)系統(tǒng)無法再處理來自合法用戶的請求。

雖然 DDoS 攻擊沒有標(biāo)準(zhǔn)分類，但我們可以將它們分為四大類：

讓我們仔細(xì)看看這些類型的攻擊。

1. 容量攻擊

容量攻擊旨在通過大量流量來阻止對受害者資源的訪問，通常借助僵尸網(wǎng)絡(luò)和放大技術(shù)。這些攻擊的規(guī)模通常以每秒比特數(shù) (bps) 來衡量。

最常見的容量攻擊類型是：

• UDP 泛洪——攻擊者將使用受害者的源地址偽造的用戶數(shù)據(jù)報協(xié)議 (UDP) 數(shù)據(jù)包發(fā)送到隨機(jī)端口。主機(jī)生成大量回復(fù)流量并將其發(fā)送回受害者。
• DNS 放大- 網(wǎng)絡(luò)犯罪分子破壞和操縱可公開訪問的域名系統(tǒng) (DNS)，以用 DNS 響應(yīng)流量淹沒受害者的系統(tǒng)。
• 濫用應(yīng)用程序攻擊——黑客入侵客戶端計算機(jī)，這些計算機(jī)可以發(fā)送大量看似合法的流量，并將該流量重定向到受害者的服務(wù)器，耗盡其資源并最終將其關(guān)閉。

2020 年， Amazon Web Services 遭受了使用無連接輕量級目錄訪問協(xié)議 (CLDAP) 反射技術(shù)執(zhí)行的?2.3 TBps 的大規(guī)模攻擊。

2.協(xié)議攻擊

協(xié)議攻擊針對不同互聯(lián)網(wǎng)通信協(xié)議工作方式的弱點。通常，此類 DDoS 攻擊的規(guī)模以每秒網(wǎng)絡(luò)數(shù)據(jù)包數(shù) (pps) 來衡量。最常見的協(xié)議攻擊類型是：

• SYN 洪水——黑客利用了 TCP 三次握手機(jī)制中的一個弱點?？蛻舳讼蚍?wù)器發(fā)送一個 SYN 數(shù)據(jù)包，接收一個 SYN-ACK 數(shù)據(jù)包，并且永遠(yuǎn)不會向主機(jī)發(fā)送一個 ACK?? 數(shù)據(jù)包。因此，受害者的服務(wù)器會留下大量未完成的 SYN-ACK 請求，并最終崩潰。
• ICMP 洪水— 惡意行為者使用大量 Internet 控制消息協(xié)議 (ICMP) 請求或 ping，試圖耗盡受害者的服務(wù)器帶寬。
• Ping of?death——黑客使用簡單的 ping 命令發(fā)送超大數(shù)據(jù)包，導(dǎo)致受害者的系統(tǒng)凍結(jié)或崩潰。

2020 年，Akamai 報告說，它與針對歐洲銀行的每秒 8.09 億個數(shù)據(jù)包 (Mpps) 的大規(guī)模 DDoS 攻擊作斗爭。

3.應(yīng)用層攻擊

應(yīng)用程序攻擊利用 6 級和 7 級協(xié)議棧中的弱點，針對特定應(yīng)用程序而不是整個服務(wù)器。此類 DDoS 攻擊的威力通常以每秒請求數(shù)來衡量。

應(yīng)用層攻擊通常針對常見的端口和服務(wù)，例如 DNS 或 HTTP。最常見的應(yīng)用程序級攻擊是：

• HTTP 泛濫——攻擊者使用僵尸網(wǎng)絡(luò)向應(yīng)用程序或 Web 服務(wù)器充斥大量標(biāo)準(zhǔn) GET 和 POST 請求。由于這些請求通常表現(xiàn)為合法流量，因此檢測 HTTP 泛洪攻擊是一個相當(dāng)大的挑戰(zhàn)。
• Slowloris?— 顧名思義，Slowloris 緩慢地使受害者的服務(wù)器崩潰。攻擊者以定時間隔和小部分向受害者的服務(wù)器發(fā)送 HTTP 請求。服務(wù)器一直在等待這些請求完成，而這永遠(yuǎn)不會發(fā)生。最終，這些未完成的請求會耗盡受害者的帶寬，使合法用戶無法訪問服務(wù)器。

根據(jù)Cloudflare 最近的一份聲明， 2022 年，一項未命名的加密貨幣服務(wù)遭到每秒 1530 萬次請求的攻擊。

4. 零日 DDoS 攻擊

除了眾所周知的攻擊之外，還有所謂的零日DDoS 攻擊。他們利用尚未修補(bǔ)的以前未知的軟件漏洞或使用不常見的攻擊媒介，因此更難以檢測和保護(hù)。

現(xiàn)在讓我們談?wù)剻z測 DDoS 攻擊的方法。

檢測 DDoS 攻擊

雖然完全阻止 DDoS 攻擊是不可能的，但有一些有效的做法和方法可以幫助您檢測和阻止已經(jīng)發(fā)生的 DDoS 攻擊。下面，我們列出了幾種最常見的 DDoS 保護(hù)方法，您可以依靠它來檢測攻擊并保護(hù)您的產(chǎn)品或服務(wù)。

異常檢測

檢測潛在 DDoS 攻擊的一種方法是分析網(wǎng)絡(luò)流量并將流量模式分類為正?；驖撛谕{。您可以借助傳統(tǒng)的靜態(tài)分析或更復(fù)雜的技術(shù)（如機(jī)器學(xué)習(xí)和人工智能）來做到這一點。除了網(wǎng)絡(luò)流量分析之外，您還可以搜索其他網(wǎng)絡(luò)性能因素中的異常情況，例如設(shè)備 CPU 利用率或帶寬使用情況。

基于知識的方法

您還可以通過將流量與已知攻擊的特定模式進(jìn)行比較來檢測類似 DDoS 的活動。常見的 DDoS 防護(hù)技術(shù)包括簽名分析、狀態(tài)轉(zhuǎn)換分析、專家系統(tǒng)、描述腳本和自組織圖。

ACL 和防火墻

除了入口/出口流量過濾之外，您還可以使用訪問控制列表 (ACL) 和防火墻規(guī)則來增強(qiáng)流量可見性。特別是，您可以分析 ACL 日志以了解通過您的網(wǎng)絡(luò)運行的流量類型。您還可以配置您的 Web 應(yīng)用程序防火墻，以根據(jù)特定規(guī)則、簽名和模式阻止可疑的傳入流量。

入侵防御和檢測

入侵防御系統(tǒng) (IPS) 和入侵檢測系統(tǒng) (IDS) 也增強(qiáng)了流量可見性。IPS 和 IDS 警報可作為異常和潛在惡意流量的早期指標(biāo)。但請記住，這些系統(tǒng)往往會提供很多誤報。

至于處理可能涉及 DDoS 攻擊的流量的方法，我們可以概述三種常見策略：

• 空路由或黑洞路由- 所有流量和會話都被重定向到?jīng)]有最終目的地的 IP 地址。結(jié)果，服務(wù)器無法接收或發(fā)送數(shù)據(jù)。一旦 DDoS 攻擊結(jié)束，就會恢復(fù)正常的流量處理。雖然這種方法很容易實施，但它會對所有合法流量產(chǎn)生負(fù)面影響，并且基本上可以幫助攻擊者實現(xiàn)他們的初始目標(biāo)——使受害者的服務(wù)器不可用。
• 清理中心——這種方法基于將流量從受害服務(wù)器重定向到遠(yuǎn)程清理中心，在該中心對流量進(jìn)行分析和過濾。任何具有潛在危險的流量（例如 DDoS 請求）都會被阻止，而合法請求則會照常處理。
• 內(nèi)聯(lián)過濾——在這種方法中，通過網(wǎng)絡(luò)的所有流量都經(jīng)過分析，并與不同的規(guī)則和攻擊指標(biāo)進(jìn)行比較。與已識別的 DDoS 攻擊相關(guān)的流量會立即被阻止，而合法請求會得到正常處理。

特定方法和技術(shù)的選擇將取決于特定服務(wù)或解決方案的特性。但是，確保及早發(fā)現(xiàn) DDoS 攻擊對于任何項目都至關(guān)重要，因為它可以幫助您顯著減輕攻擊的后果并保持服務(wù)或解決方案的正常性能。?

在接下來的部分中，我們將討論您可以嘗試防止 DDoS 攻擊的幾種方法，并概述針對您的 Web 應(yīng)用程序或服務(wù)的某些類型的 DDoS 保護(hù)措施。

構(gòu)建 DDoS 彈性應(yīng)用程序的最佳實踐

預(yù)防勝于治療。因此，在開始構(gòu)建之前，請考慮如何確保 Web 應(yīng)用程序或服務(wù)的 DDoS 彈性。

1. 應(yīng)用 DDoS 防御機(jī)制

即使您無法阻止 DDoS 攻擊的發(fā)生，您也有能力讓攻擊者更難關(guān)閉您的網(wǎng)站或應(yīng)用程序。這就是 DDoS 攻擊預(yù)防技術(shù)發(fā)揮作用的地方。?

您可以使用兩組 DDoS 預(yù)防機(jī)制：?

• 通用 DDoS 預(yù)防機(jī)制
• 過濾機(jī)制

通用 DDoS 預(yù)防機(jī)制是可以幫助您使您的 Web 應(yīng)用程序或服務(wù)器對 DDoS 攻擊更具彈性的常用措施。這些措施包括：

• 使用防火墻——雖然防火墻不能保護(hù)您的應(yīng)用程序或服務(wù)器免受復(fù)雜的 DDoS 攻擊，但它們?nèi)匀豢梢杂行У靥幚砗唵蔚墓簟?/span>
• 安裝最新的安全補(bǔ)丁——大多數(shù)攻擊針對特定的軟件或硬件漏洞，因此按時部署所有補(bǔ)丁可以幫助您降低攻擊風(fēng)險。
• 禁用未使用的服務(wù)——黑客可以攻擊的應(yīng)用程序和服務(wù)越少越好。確保禁用所有不需要和未使用的服務(wù)和應(yīng)用程序，以提高網(wǎng)絡(luò)的安全性。

過濾機(jī)制使用不同的方法來過濾流量并阻止?jié)撛诘奈ｋU請求。這些機(jī)制包括入口/出口過濾、基于歷史的 IP 過濾和基于路由器的數(shù)據(jù)包過濾。

2. 明智地選擇您的 CSP

在選擇云服務(wù)提供商 (CSP) 時，請選擇擁有自己的 DDoS 緩解策略的提供商。確保此策略確保檢測和緩解基于協(xié)議、基于容量和應(yīng)用程序級的攻擊。

此外，研究您的 CSP 關(guān)于 DDoS 緩解的建議，并在構(gòu)建您的 Web 產(chǎn)品時實施它們。大多數(shù)云服務(wù)提供商都有詳細(xì)的指導(dǎo)方針，以及保護(hù)您的 Web 產(chǎn)品和服務(wù)免受常見 DDoS 攻擊的最佳實踐。您可以先看看Google Cloud、Microsoft Azure和Amazon Web Services的建議。

3. 以可擴(kuò)展性為目標(biāo)

通過將足夠的計劃和資源投入到其可擴(kuò)展性中，使您的 Web 應(yīng)用程序能夠有效地處理突然的負(fù)載變化。您可以部署應(yīng)用程序和網(wǎng)絡(luò)負(fù)載均衡器或內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN)，通過跨多個實例分發(fā)所有流量來保護(hù)您的解決方案免受流量過載的影響。通過這種方式，您將能夠減輕基礎(chǔ)設(shè)施和應(yīng)用程序?qū)拥臐撛诠簟?/span>

4.限制弱點的數(shù)量

除非確實有必要，否則不要公開您的應(yīng)用程序和資源。通過這種方式，您可以限制基礎(chǔ)設(shè)施中可能被攻擊者攻擊的薄弱環(huán)節(jié)的數(shù)量。您還可以禁止到數(shù)據(jù)庫服務(wù)器和基礎(chǔ)設(shè)施的其他關(guān)鍵部分的直接 Internet 流量。

5. 保護(hù)您的 API

DDoS 攻擊不僅可以針對您的網(wǎng)站和應(yīng)用程序，還可以針對您的 API。有多種方法可以增強(qiáng) API 的反 DDoS 保護(hù)：應(yīng)用流量過濾工具和技術(shù)，限制 API 在給定時間段內(nèi)可以處理的請求數(shù)量，甚至部署蜜罐。

6. 使用第三方 DDoS 緩解服務(wù)

考慮將 Web 應(yīng)用程序的保護(hù)委托給第三方供應(yīng)商。DDoS 預(yù)防工具和緩解服務(wù)甚至可以在有問題的流量到達(dá)受害者的網(wǎng)絡(luò)之前將其移除。您可以尋找基于 DNS 的服務(wù)來重定向來自您的網(wǎng)絡(luò)的有問題的流量，或者尋找基于邊界網(wǎng)關(guān)協(xié)議的解決方案來處理持續(xù)攻擊。

結(jié)論

黑客不斷使用和改進(jìn) DDoS 攻擊，旨在破壞特定網(wǎng)站、應(yīng)用程序和服務(wù)的工作。在處理 Web 應(yīng)用程序時，請?zhí)貏e注意強(qiáng)化您的解決方案以抵御可能的 DDoS 攻擊。

考慮到穩(wěn)定性和彈性來構(gòu)建您的網(wǎng)絡(luò)產(chǎn)品非常重要。您可以結(jié)合不同的 DDoS 攻擊預(yù)防方法和 DDoS 防御技術(shù)，以增加有效緩解潛在攻擊的機(jī)會?；蛘?，您可以部署多個云以確保更好地提供服務(wù)。雖然大多數(shù) CSP 都提供反 DDoS 建議，但在開發(fā) Web 應(yīng)用程序時設(shè)計全面的 DDoS 緩解策略需要額外的專業(yè)知識。在 Apriorit，我們擁有由知名云和 Web 安全專家組成的團(tuán)隊，他們很樂意幫助您構(gòu)建穩(wěn)定、彈性和性能良好的 Web 產(chǎn)品。