IT 行業(yè)最近見證了分布式拒絕服務 (DDoS) 攻擊的穩(wěn)步增長。 多年前，DDoS 攻擊被認為是新手攻擊者犯下的小麻煩，他們這樣做是為了好玩，并且相對容易緩解它們。 不幸的是，這種情況已經不復存在了。 DDoS 攻擊現(xiàn)在是一項復雜的活動，在許多情況下是一項 大生意 。

InfoSecurity Magazine 報告稱 ，2021 年第一季度有 290 萬次 DDoS 攻擊，比 2020 年同期增長 31%。

與 2020 年同期相比，2021 年第一季度的 DDoS 攻擊增加了 31%，達到 290 萬次

近年來，我們看到 呈指數(shù)級增長 ，導致企業(yè)在很長一段時間內無法運作。

• 2020 年 2 月，亞馬遜網絡服務 (AWS) 遭受了一次復雜的 DDoS 攻擊，導致其事件響應團隊持續(xù)數(shù)日忙碌，這也影響了全球客戶。
• 2021 年 2 月，EXMO 加密貨幣交易所成為 DDoS 攻擊的受害者，導致該組織近五個小時無法運營。
• 最近，澳大利亞經歷了一次重大的、 持續(xù)的、由國家支持的 DDoS 攻擊 。
• 比利時也成為針對該國議會、 警察部門和大學 。

每天都會發(fā)生數(shù)十萬次未命名、未記錄但成功的 DDoS 攻擊。 事實上，正是這些攻擊是最有效和最昂貴的。 DDoS 上升趨勢 有望繼續(xù) ，這使得具有緩解技能的 IT 專業(yè)人員需求量很大。

激烈的 IT 戰(zhàn)：什么是 DDoS 攻擊？

盡管變得越來越普遍，但 DDoS 攻擊可能非常先進且難以打擊。 但究竟什么是 DDoS 攻擊，DDoS 代表什么？

DDoS 是分布式拒絕服務的縮寫。 當威脅參與者使用來自多個遠程位置的資源來攻擊組織的在線操作時，就會發(fā)生 DDoS 攻擊。 通常，DDoS 攻擊側重于生成操縱 網絡設備和服務（例如，路由器、命名服務或緩存服務）的默認設置，甚至正常工作。 事實上，這是主要問題。

復雜的 DDoS 攻擊不一定要利用默認設置或開放中繼。 他們利用正常行為并利用在當今設備上運行的協(xié)議最初是如何設計運行的。 就像社會工程師操縱人類交流的默認運作方式一樣，DDoS 攻擊者操縱我們都依賴和信任的網絡服務的正常運作。

當發(fā)生 DDoS 攻擊時，目標組織的一項或多項服務會遭受嚴重中斷，因為攻擊已經用 HTTP 請求和流量淹沒了他們的資源，從而拒絕了合法用戶的訪問。 DDoS 攻擊 ，被列為我們這個時代四大網絡安全威脅之一 社會工程 、 勒索 和供應鏈攻擊中

現(xiàn)代戰(zhàn)爭：避免混淆 DDoS 攻擊

將 DDoS 攻擊與其他網絡威脅相混淆相對容易。 事實上，IT 專業(yè)人員甚至網絡安全專業(yè)人員都非常缺乏關于 DDoS 攻擊究竟如何工作的知識。

在 DDoS 攻擊中，網絡犯罪分子利用網絡設備和服務器之間發(fā)生的正常行為，通常 針對 與 Internet 建立連接的網絡設備。 因此，攻擊者關注的是邊緣網絡設備（例如路由器、交換機），而不是單個服務器。 DDoS 攻擊使網絡管道（帶寬）或提供 那個帶寬。

這是一個有用的類比：想象有幾個人同時給您打電話，這樣您就無法撥打或接聽電話或將您的電話用于任何其他目的。 這個問題一直存在，直到您通過您的提供商阻止這些呼叫。

請注意，您不會對您的實際移動設備進行修復、升級或以其他方式進行調整。 相反，您可以使用手機提供商的攔截服務來修復攻擊者與您的手機之間的連接。

在 DDoS 攻擊期間也會發(fā)生類似的事情。 您無需修改??受到攻擊的資源，而是在您的網絡和威脅參與者之間應用修復程序（也稱為緩解措施）。

DDoS 與 DoS 攻擊：有什么區(qū)別？

避免將 DDoS（分布式拒絕服務）攻擊與 DoS（拒絕服務）攻擊混淆是很重要的。 盡管只有一個詞將兩者分開，但這些攻擊的性質差異很大。

• 嚴格定義，典型的 DDoS 攻擊操縱攻擊者和受害者之間的許多分布式網絡設備發(fā)動不知情的攻擊，利用合法行為。
• 傳統(tǒng)的 DoS 攻擊不使用多個分布式設備，也不關注攻擊者和組織之間的設備。 這些攻擊也往往不使用多個互聯(lián)網設備。

典型的 DoS 攻擊可能包括以下內容：

• 單源 SYN 泛洪： 當攻擊者使用單個系統(tǒng)發(fā)出 SYN 數(shù)據(jù)包泛洪攻擊，操縱典型的 TCP 三向握手時，就會發(fā)生這種情況。 例如，某人可能使用 Kali Linux 生成的 SYN 洪水 計算機不是真正的 DDoS 攻擊，因為所進行的攻擊僅來自一個設備。 即使攻擊者使用 IP 地址欺騙也是如此。 對于網絡級設備，真正的 DDoS 攻擊是由網絡級設備生成的。 換句話說，您使用多個路由器或 Memcached 服務器來攻擊網絡。
• “死亡 ping”： 多年前，一些網絡驅動程序包含有缺陷的代碼，如果它收到包含某些參數(shù)的 ICMP 數(shù)據(jù)包，則會導致系統(tǒng)崩潰。
• ： slow loris 攻擊 ， slow loris 攻擊通常稱為 DDoS 攻擊，但因為攻擊針對的是特定服務器（在這種情況下 web 服務器）并且通常不使用中間網絡設備，它通常是傳統(tǒng)的 DoS 攻擊。

上述每種 DoS 攻擊都利用了特定主機中的軟件或內核弱點。 要解決此問題，您需要修復主機和/或過濾掉流量。 如果您可以升級服務器以減輕攻擊，那么它不符合條件 作為傳統(tǒng)的 DDoS 攻擊。

請記住，在 DDoS 攻擊中，威脅行為者采用資源消耗策略。 該策略涉及使用看似合法的請求來壓倒實際上不合法的系統(tǒng)，從而導致系統(tǒng)問題。

攻擊策略：DDoS 攻擊的類型

DDoS 攻擊一般分為三種類型。

1. 應用層

2.協(xié)議

3. 體積

在某些情況下，IT 和網絡安全專家將基于協(xié)議和應用程序的 DDoS 攻擊視為一類。

收集英特爾：為什么您需要了解 DDoS 攻擊

DDoS 攻擊的問題越來越嚴重，IT 專業(yè)人員需要做好準備。

• ，到 2020 年，到 2021 年，第 7 層攻擊有所增加 據(jù) CloudFlare 稱 。
• ，在 2020 年第一季度，超過 100 GB/s 的 DDoS 攻擊數(shù)量增加了近十倍 (967%) 根據(jù) Comparitech 。
• 體積攻擊的絕對規(guī)模已增加到壓倒性的比例。 CloudFlare 還報告 說 500 Mbps DDoS 攻擊已成為容量的標準 攻擊。
• DDoS 攻擊正變得越來越普遍。 2021 年 據(jù) ZDNet 報道 DDoS 攻擊在前兩年至少增長了 154%。
• 攻擊變得更加復雜。 攻擊者將 DDoS 與其他類型的攻擊（ 包括勒索軟件 。
• DDoS 攻擊者采用復雜的人工智能 (AI) 和機器學習方法來幫助進行攻擊。 例如，DDoS 僵尸網絡應用機器學習方法進行復雜的網絡偵察，以找到 最脆弱的系統(tǒng)。 他們還使用人工智能重新配置自己，以阻止檢測和改變攻擊策略。 現(xiàn)代攻擊很可能表現(xiàn)為防御者和攻擊者將啟用人工智能的系統(tǒng)相互對抗。
• DDoS 攻擊者采用了混合攻擊策略。 他們將各種攻擊方法與社會工程、憑證竊取和物理攻擊相結合，使實際的 DDoS 攻擊只是多方面方法中的一個因素。

戰(zhàn)術戰(zhàn)：DDoS 攻擊者如何避免檢測

眾所周知，DDoS 攻擊很狡猾，因此很難確定。 它們如此狡猾的原因之一是難以確定原產地。 威脅行為者通常采用三種主要策略來發(fā)起 DDoS 攻擊：

1. 欺騙

默認情況下，IPv4 和 IPv6 無法驗證和跟蹤流量。 特別是對于 IPv4 網絡，欺騙源地址和目標地址非常簡單。 DDoS 攻擊者通過偽造具有 偽造的源地址。 因此，攻擊者有可能通過向最初從未真正發(fā)出請求的受害主機發(fā)送數(shù)百萬個回復來欺騙合法設備響應這些數(shù)據(jù)包。

2. 反思

攻擊者通常希望隱藏他們參與 DDoS 攻擊的任何痕跡。 為此，他們操縱互聯(lián)網服務的默認行為，以便服務有效地隱藏實際的攻擊者。 這些類型的攻擊中經常使用的服務 包括數(shù)千個域名系統(tǒng) (DNS)、網絡時間協(xié)議 (NTP) 和簡單網絡管理 (SNMP) 服務器。 這是攻擊者被 DDoS 策略吸引的主要原因之一。 互聯(lián)網服務不僅提供 流量，但它們也往往使防御者更難追蹤攻擊的來源，因為大多數(shù)服務器不保留使用它們的服務的詳細日志。

3. 放大

放大是一種策略，它讓 DDoS 攻擊者使用源倍增器生成大量流量，然后可以針對受害主機。 放大攻擊不使用僵尸網絡，它只是一種策略，允許攻擊者 發(fā)送一個偽造的數(shù)據(jù)包，然后欺騙合法服務向受害者網絡或服務器發(fā)送數(shù)百甚至數(shù)千條回復。

了解 DDoS 攻擊使用正常的互聯(lián)網操作來進行惡作劇非常重要。 這些設備不一定配置錯誤，它們實際上表現(xiàn)得像它們應該表現(xiàn)的那樣。 攻擊者只需 找到了一種方法來利用這種行為并操縱它來進行 DDoS 攻擊。

此外，網絡設備和服務通常會在不知情的情況下成為 DDoS 攻擊的參與者。 這三種策略利用了全球網絡資源的默認行為。 這些資源包括：

• 路由器
• 開關
• 防火墻
• 負載均衡器
• 緩存服務器
• 邊緣網絡設備
• 移動信號塔（包括4G和5G）

戰(zhàn)斗持續(xù)時間：DDoS 攻擊持續(xù)多長時間？

DDoS 攻擊的長度和復雜程度差異很大。 DDoS 攻擊可能會持續(xù)很長時間，也可能非常短暫：

• 長期攻擊： 在數(shù)小時或數(shù)天內發(fā)動的攻擊被視為長期攻擊。 例如，對 AWS 的 DDoS 攻擊造成了三天的中斷，最終得到緩解。
• 突發(fā)攻擊： 這些 DDoS 攻擊在很短的時間內發(fā)動，僅持續(xù)一分鐘甚至幾秒鐘。

不要被欺騙。 盡管速度非?？?，但爆發(fā)攻擊實際上可能極具破壞性。 隨著物聯(lián)網 (IoT) 設備和功能日益強大的計算設備的出現(xiàn)，有可能產生比 以往。 因此，攻擊者可以在很短的時間內創(chuàng)建更多的流量。 突發(fā) DDoS 攻擊通常對攻擊者有利，因為它更難追蹤。

技術戰(zhàn)：僵尸網絡和 DDoS 攻擊

僵尸網絡是龐大的計算機網絡，可用于發(fā)動 DDoS 攻擊。 它們通常由受感染的計算機（例如， 物聯(lián)網設備 、服務器、工作站、 路由器等）或僵尸，由中央服務器控制。

攻擊者不一定需要僵尸網絡來進行 DDoS 攻擊。 威脅者可以簡單地操縱互聯(lián)網上數(shù)以萬計的網絡設備，這些設備要么配置錯誤，要么按設計運行。 盡管如此，重要的是 了解基于僵尸網絡的 DDoS 攻擊是如何發(fā)生的。

更復雜的數(shù)字敵人：DDoS 攻擊的演變

網絡安全的現(xiàn)實之一是，大多數(shù)攻擊者都是中等天賦的人，他們以某種方式想出了如何操縱特定的網絡條件或情況。 盡管經常討論高級持續(xù)性威脅 （APT）和越來越老練的黑客，現(xiàn)實往往要平凡得多。

例如，大多數(shù) DDoS 攻擊者只是找到特定的協(xié)議。 他們會發(fā)現(xiàn)他們可以操縱傳輸控制協(xié)議 (TCP) 握手來創(chuàng)建 SYN 數(shù)據(jù)包或特定類型的服務器（例如內存）的洪水攻擊 緩存守護進程（它通常被稱為“Memcached”，用于內存緩存守護進程）。 Memcached 服務是一種經常用于幫助加速 Web 應用程序的合法服務。 攻擊者經常利用 Memcached 實現(xiàn) 沒有正確固定，甚至那些運行正常的。

攻擊者還發(fā)現(xiàn)他們可以破壞物聯(lián)網設備，例如網絡攝像頭或嬰兒監(jiān)視器。 但今天，攻擊者得到了更多幫助。 最近的進步催生了具有前所未有潛力的人工智能和連接能力。 喜歡合法的 系統(tǒng)管理員、攻擊者現(xiàn)在擁有語音識別、機器學習和數(shù)字路線圖，可以讓他們操縱您家中或辦公室中的集成設備，例如智能恒溫器、電器和家庭安全系統(tǒng)。

攻擊計劃：基于僵尸網絡的 DDoS 攻擊剖析

DDoS 流量有很多不同的種類。 在基于僵尸網絡的攻擊的情況下，DDoS 威脅參與者正在使用僵尸網絡來幫助協(xié)調攻擊。 了解流量類型將有助于選擇主動識別措施 和緩解。 單擊紅色加號以了解有關每種 DDoS 流量的更多信息。

1. 指揮與控制 (C&C)

2. 協(xié)調

3. 信標/心跳流量

4.攻擊流量

5. 運營技術（OT）/物聯(lián)網

6. 異常流量

7. 多向量

組裝武器：了解 DDoS 攻擊如何工作的工具

DDoS 攻擊有多種形式，并且一直在發(fā)展以包含各種攻擊策略。 IT 專業(yè)人員必須具備有關攻擊工作原理的知識。

有三種模型可以幫助深入了解 DDoS 攻擊的內部運作：

• Lockheed Martin Cyber?? Kill Chain ： 用于幫助提供攻擊策略框架，該模型概述了七個步驟 黑客可能會采取長期持續(xù)的 DDoS 攻擊。 該模型不考慮使用僵尸網絡來破壞系統(tǒng)。
• Mitre ATT&CK 模型 ： 該模型描述了現(xiàn)實世界的攻擊，并提供了已知對抗策略和技術的知識庫，以幫助 IT 專業(yè)人員分析和預防 未來的事件。 此模型對于希望防御 DDoS 攻擊的個人特別有用，因為它允許您分析攻擊者并確定他們的策略。
• 入侵分析 ： 鉆石模型幫助組織權衡對手的能力和能力 受害者，正如 CompTIA 博客中關于 三種主要網絡安全模型 。 即使創(chuàng)建了 Diamond 模型 為了模擬實際入侵，它對于識別 DDoS 攻擊也很有用。

作為一名 IT 專業(yè)人員，了解如何應對 DDoS 攻擊至關重要，因為隨著時間的推移，大多數(shù)組織都必須管理各種類型的攻擊。 安全分析師和威脅獵手經常使用 ATT&CK 模型和 Mitre ATT&CK 導航器可幫助識別允許 DDoS 攻擊特別成功的條件。

主要攻擊簡史：DDoS 示例

多年來，分布式拒絕服務攻擊的數(shù)量非常多。 讓我們從主要 DDoS 攻擊的簡短列表開始，它們背后的動機以及它們對我們數(shù)字世界的持久影響。 點擊 紅色加號以了解有關這些主要 DDoS 攻擊的更多信息。

1.愛沙尼亞：2007年4月27日

2. 格魯吉亞共和國：2008 年 7 月 20 日

3. Spamhaus：2013 年 3 月 18 日

4.占中：2014年6月

5. 動態(tài)：2016 年 10 月 21 日

6. GitHub：2018 年 2 月 28 日

7. 亞馬遜網絡服務 (AWS)：2020 年 2 月

8. 谷歌：2017 年 9 月（2020 年 10 月報告）

9. 特定部門的攻擊：2019-2021

攻擊者簡介：誰執(zhí)行 DDoS 攻擊？

您經?？吹叫皭旱?、戴著黑頭巾的人的圖像來象征惡意威脅者。 實際上，這些攻擊者群體通常為當局所熟知，并使用 DDoS 策略來獲得影響力，擾亂政府和軍事行動 或導致人們對市場部門、公司品牌或歷史悠久的機構失去信心。

無論驅動這些攻擊的動機如何，黑客都可以很容易地被雇傭來幫助發(fā)起 DDoS 攻擊——就像雇傭槍支一樣。 租用個人或整個商業(yè)團體 暗網上 ， 通常在服務模式下，類似于 基礎設施即服務 (IaaS) 或 軟件即服務 (SaaS) 的 。 事實上，Radware 于 2020 年 8 月發(fā)布了全球安全警報，以應對日益流行的 DDoS 出租攻擊。

是什么激發(fā)了攻擊：DDoS 攻擊背后的原因

為了阻止 DDoS 攻擊，了解導致事件的原因很重要。 雖然 DDoS 攻擊在戰(zhàn)術和方法方面的性質差異很大，但 DDoS 攻擊者也可能有多種動機，包括以下內容。

• 財務動機： DDoS 攻擊通常與勒索軟件攻擊相結合。 攻擊者發(fā)送消息通知受害者，如果受害者支付費用，攻擊將停止。 這些攻擊者通常是有組織犯罪集團的一部分。 然而，今天，這些辛迪加可以小到十幾個人，擁有網絡知識和額外的時間。 有時，競爭對手的企業(yè)甚至會相互進行 DDoS 攻擊以獲得競爭優(yōu)勢。
• 意識形態(tài)動機： 攻擊通常針對政治局勢中的壓迫性管理機構或抗議者。 此類 DDoS 攻擊通常用于支持特定的政治利益或信仰體系，例如宗教。
• 國家支持的動機： 當政治動蕩或分歧變得明顯時，DDoS 攻擊通常會引起軍隊或平民的混亂。
• 戰(zhàn)術動機： 在這種情況下，DDoS 攻擊是作為更大活動的一部分發(fā)動的。 在某些情況下，該活動包括物理攻擊或其他一系列基于軟件的攻擊。 例如，眾所周知，軍隊會結合 DDoS 攻擊 與物理的。 戰(zhàn)術攻擊用于轉移對正常 IT 任務的注意力，以利用不同的目標——舊的誘餌和轉換網絡攻擊。
• 商業(yè)/經濟動機： 這種類型的 DDoS 攻擊有助于收集信息或對特定行業(yè)造成損害。 例如，對索尼、英國航空公司和 Equifax 等公司的攻擊導致消費者對整個 行業(yè)。
• 勒索動機： 其他攻擊用于通過勒索手段獲得一些個人或金錢利益。

導彈發(fā)射：執(zhí)行 DDoS 攻擊的工具

攻擊者使用多種設備來攻擊組織。 以下是 DDoS 攻擊中使用的一些常用工具：

• 服務： 包括 Memcached（用于加速數(shù)據(jù)庫和基于 Web 的事務）、DNS 服務器、NTP 和 SNMP。
• 網絡設備： 網絡設備包括路由器和交換機等項目。
• 僵尸網絡： DDoS 攻擊中常用的受感染系統(tǒng)的集合。
• 物聯(lián)網設備： 網絡犯罪分子可以利用聯(lián)網設備的弱點，將其變成僵尸。 臭名昭著的 Mirai 僵尸網絡被用來使用不安全的嬰兒監(jiān)視器發(fā)起一系列攻擊。
• AI： 黑客正在使用人工智能在 DDoS 攻擊期間自動修改代碼，因此盡管有保護措施，攻擊仍然有效。
• 舊設備的利用： 較舊的硬件通常面臨更多漏洞，并且經常成為目標和利用。

偵察的作用：跟蹤 DDoS 攻擊

DDoS 攻擊者每天都變得越來越精明。 攻擊的規(guī)模和持續(xù)時間都在擴大，沒有放緩的跡象。 組織需要密切關注事件的脈搏，以了解他們對 DDoS 攻擊的敏感程度。

以下是一些可以幫助您跟蹤最新 DDoS 攻擊的資源：

• Mazebolt 全球 DDoS 攻擊列表 ： 該資源提供了一個正在運行的攻擊列表，其中包含日期、原產國、停機時間等信息， 攻擊細節(jié)，甚至鏈接到有關事件的新聞信息。
• 網絡安全威脅情報 (CTI) 共享資源：
  • CompTIA ISAO ： CompTIA 擁有一個組織，致力于共享與威脅相關的情報并提供可操作的洞察力以減輕威脅 并解決網絡安全挑戰(zhàn)。
  • 美國 CISA 自動指標共享 ： CISA 提供的工具可以實時共享網絡威脅信息，以幫助限制攻擊的普遍性。
  • FBI Infragard ： 作為 FBI 和私營部門之間的合作伙伴，InfraGard 支持共享有關攻擊和緩解技術的信息。
• 數(shù)字攻擊地圖 ： 該地圖顯示了全球 DDoS 攻擊的實時信息，并允許您按類型、源端口、持續(xù)時間和目標端口進行過濾。
• AlienVault Open Threat Exchange ： 這個威脅情報社區(qū)提供對威脅指標的免費訪問，并允許與他人共享威脅研究。
• Threatbutt Internet Hacking Attack Attribution Map ： 該地圖提供對全球 DDoS 攻擊的實時跟蹤。
• 它現(xiàn)在下降了嗎？ ： 當您懷疑有攻擊時，此資源是一個很好的起點。 通過輸入域和此工具檢查網站是否已關閉 將立即返回結果。

已確定目標：DDoS 攻擊者最常針對什么？

盡管任何行業(yè)的組織都容易受到攻擊，但這些行業(yè)最常受到 DDoS 攻擊：

• 衛(wèi)生保健
• 政府
• 互聯(lián)網服務提供商 (ISP)
• 云服務提供商

盯上敵人：識別 DDoS 攻擊

從戰(zhàn)術 DDoS 緩解的角度來看，您需要具備的主要技能之一是模式識別。 能夠發(fā)現(xiàn)表示 DDoS 攻擊正在發(fā)生的重復是關鍵，尤其是在初始階段。 自動化應用程序和 人工智能通常被用作助手，但通常公司需要熟練的 IT 專業(yè)人員來區(qū)分合法流量和 DDoS 攻擊。

工作人員通常會尋找以下警告信號，表明 DDoS 攻擊正在發(fā)生：

• 來自現(xiàn)有緩解設備（例如負載平衡器、基于云的服務）的報告
• 客戶報告服務緩慢或不可用
• 使用相同連接的員工也會遇到速度問題
• 在短時間內來自特定 IP 地址的多個連接請求
• 未執(zhí)行維護時收到 503 服務不可用錯誤
• 由于生存時間 (TTL) 超時，對技術資源的 Ping 請求超時
• 日志顯示流量異常巨大

響應威脅：用于緩解 DDoS 攻擊的響應技術、服務和策略

DDoS 緩解與緩解其他網絡攻擊（例如源自勒索軟件的攻擊）完全不同。 DDoS 攻擊通常通過能夠處理這些類型攻擊的設備和服務來緩解。 例如，今天的 負載均衡器有時能夠通過識別 DDoS 模式然后采取行動來處理 DDoS 攻擊。 其他設備可用作中介，包括防火墻和專用洗滌器設備。

在嘗試緩解 DDoS 攻擊時，您希望專注于在您的網絡和用于攻擊您的系統(tǒng)之間放置服務和設備。 由于攻擊者通過利用合法的網絡和互聯(lián)網行為來產生 DDoS 流量，任何 連接的設備或服務器很容易受到攻擊，因為它本質上不被認為是惡意的。 您必須創(chuàng)建一個中間緩解解決方案來響應該攻擊。 在勒索軟件或惡意軟件攻擊中，安全專業(yè)人員 通常通過升級端點上的軟件或從備份恢復來解決問題。

應對威脅：DDoS 攻擊響應的 5 個步驟

響應 DDoS 攻擊的典型步驟包括：

1、檢測

早期檢測對于防御 DDoS 攻擊至關重要。 尋找上面提供的警告標志，表明您可能成為目標。 DDoS 檢測可能涉及調查數(shù)據(jù)包的內容以檢測第 7 層和基于協(xié)議的攻擊或利用 基于速率的措施來檢測容量攻擊。 當談到 DDoS 攻擊時，通常首先討論基于速率的檢測，但大多數(shù)有效的 DDoS 攻擊并不能使用基于速率的檢測來阻止。

2.過濾

透明的過濾過程有助于丟棄不需要的流量。 這是通過在網絡設備上安裝有效規(guī)則以消除 DDoS 流量來完成的。

3. 導流和重定向：

此步驟涉及轉移流量，使其不會影響您的關鍵資源。 您可以通過將 DDoS 流量發(fā)送到清理中心或其他充當污水坑的資源來重定向 DDoS 流量。 通常建議您透明地 溝通正在發(fā)生的事情，這樣員工和客戶就不需要為了適應緩慢而改變他們的行為。

4、轉發(fā)與分析：

了解 DDoS 攻擊的來源很重要。 這些知識可以幫助您開發(fā)協(xié)議以主動防御未來的攻擊。 雖然試圖殺死僵尸網絡可能很誘人，但它可能會造成后勤問題，并可能 導致法律后果。 一般不推薦。

5. 替代交付

在發(fā)生攻擊時，可以使用幾乎可以立即提供新內容或打開新網絡連接的替代資源。

緩解 DDoS 攻擊的最佳方法之一是在事件響應過程中以團隊的形式進行響應并進行協(xié)作。 上述步驟只能通過服務、設備和個人的結合來實現(xiàn)。 為了 例如，為了緩解第 7 層 DDoS 攻擊，通常需要執(zhí)行以下操作：

• 檢測： 組織將結合使用安全分析師和滲透活動來識別第 7 層攻擊模式。 滲透測試員一般會模擬DDoS攻擊，安全分析師會仔細聆聽 識別獨特的特征。
• 流量過濾： 使用清理中心和服務來幫助重定向和遏制有害流量。
• 第 7 層控制： 驗證碼和 cookie 質詢通常用于確定網絡連接請求是來自機器人還是合法用戶。
• 將數(shù)據(jù)包轉發(fā)給安全專業(yè)人員進行進一步分析： 安全分析師將參與模式識別活動，然后根據(jù)他們的發(fā)現(xiàn)推薦緩解措施。
• 第 7 層攻擊期間的替代交付： 當您的資源對抗攻擊時，使用 CDN（內容交付網絡）可以幫助支持額外的正常運行時間。 需要注意的是，緩解設備可能會遇到 問題。 它可能沒有正確更新或配置，實際上可能成為 DDoS 攻擊期間問題的一部分。

限制損害：DDoS 緩解技術

一旦您知道自己正面臨 DDoS 攻擊，就該進行緩解了。 準備戰(zhàn)斗！

物理設備	在 DDoS 攻擊期間管理物理設備在很大程度上仍然是與其他緩解工作不同的類別。 通常稱為設備，物理設備是分開的，因為 DDoS 模式和流量是如此獨特和困難 來正確識別。 即便如此，設備可以非常有效地保護小型企業(yè)免受 DDoS 攻擊。
云擦洗設備	這些服務通常被稱為清洗中心，插入在 DDoS 流量和受害網絡之間。 他們獲取針對特定網絡的流量，并將其路由到不同的位置，以將損害與預期來源隔離開來。 清理中心清理數(shù)據(jù)，只允許合法的業(yè)務流量傳遞到目的地。 清理服務的示例包括由 Akamai、Radware 和 Cloudflare 提供的服務。
多個互聯(lián)網服務連接	由于 DDoS 攻擊經常試圖用流量淹沒資源，因此企業(yè)有時會使用多個 ISP 連接。 如果單個 ISP 不堪重負，則可以從一個切換到另一個。
黑洞	這種 DDoS 緩解技術涉及使用云服務來實施稱為數(shù)據(jù)接收器的策略。 該服務將虛假數(shù)據(jù)包和大量流量引導到數(shù)據(jù)接收器，在那里它們不會造成任何傷害。
內容交付網絡 (CDN)	這是一組地理位置分散的代理服務器和網絡，通常用于 DDoS 緩解。 CDN 作為一個單元工作，通過多個骨干網和 WAN 連接快速提供內容，從而分配網絡負載。 如果 當一個網絡被 DDoS 流量淹沒時，CDN 可以從另一組未受影響的網絡傳送內容。
負載平衡服務器	通常部署用于管理合法流量，負載平衡服務器也可用于阻止 DDoS 攻擊。 當 DDoS 攻擊正在進行時，IT 專業(yè)人員可以利用這些設備將流量從某些資源轉移。
Web 應用防火墻 (WAF)	WAF 用于過濾和監(jiān)控 HTTP 流量，通常用于幫助緩解 DDoS 攻擊，并且通常是 AWS、Azure 或 CloudFlare 等基于云的服務的一部分。 雖然有時有效，但專用設備或基于云的洗滌器 通常建議改為。 WAF 專注于過濾到特定 Web 服務器或應用程序的流量。 但是，真正的 DDoS 攻擊集中在網絡設備上，從而拒絕最終為 Web 服務器提供的服務。 仍然， 有時可以將 WAF 與其他服務和設備結合使用以響應 DDoS 攻擊。

市場上幾乎所有的 DDoS 緩解設備都使用相同的五種機制：

• 簽名
• 行為或 SYN 洪水
• 基于速率和地理位置：如上所述，這通常不可靠。
• 僵尸網絡檢測/IP 信譽列表：使用列表的成功與否取決于列表的質量。
• 挑戰(zhàn)與回應

DDoS 緩解服務

目前市面上很多應對DDOS的防御服務，這里主機吧簡單介紹幾種。

DDoS 緩解供應商	提供的服務
高防服務器	托管于高防數(shù)據(jù)中心的服務器，適合網站、游戲等服務
高防IP	通過高防機房資源配合防御軟件，可防網站、app、游戲等業(yè)務。
高防CDN	利用多地防御節(jié)點，分布式防御的服務，適用于網站、APP業(yè)務。
游戲盾	專為游戲行業(yè)定制，針對性解決游戲行業(yè)中復雜的DDoS攻擊、游戲CC攻擊等問題。
WAF防火墻	Web應用防火墻對網站或者APP的業(yè)務流量進行惡意特征識別及防護，將正常、安全的流量回源到服務器，適用于網站、APP業(yè)務。
高防DNS	顧名思義就是一種高防域名系統(tǒng)，可防御DNS攻擊。

要知道的術語

• ACK： 確認字符
• DNS： 域名系統(tǒng)
• HTTP： 超文本傳輸??協(xié)議
• ICMP： 互聯(lián)網控制消息協(xié)議
• OSI/RM： 開放系統(tǒng)互連/參考模型
• 事件響應： 管理 DDoS 攻擊時要采取的步驟。
• SYN： 同步數(shù)據(jù)包
• SYN 洪水： 攻擊者操縱三向 TCP 握手來創(chuàng)建 DDoS 攻擊。
• TCP： 傳輸控制協(xié)議
• TCP 握手： 當兩臺計算機在 TCP 會話開始時相互通信時發(fā)生的一個三步過程。 也稱為 TCP 三向握手。
• UDP： 用戶數(shù)據(jù)報協(xié)議