1 互聯網安全現狀
隨著網絡世界的高速發展，各行業數字化轉型也在如火如荼的進行。但由于TCP/IP網絡底層的安全性缺陷，釣魚網站、木馬程序、DDoS攻擊等層出不窮的惡意攻擊和高危漏洞正隨時入侵企業的網絡，如何保障網絡安全成為網絡建設中的剛性需求。
在線追劇界面卡頓、點個外賣網絡飛到外星球、秒殺搶購支付頁面永遠打不開，這些熟悉的現象背后可能正在經歷DDoS攻擊。

2 DDoS簡介
2.1   DDoS攻擊原理
DDoS攻擊（Distributed Denial of Service Attack，分布式拒絕服務攻擊）的前身是DoS攻擊（Denial of Service Attack，拒絕服務攻擊），是指一種通過各種技術手段導致目標系統進入拒絕服務狀態的攻擊。
DDoS攻擊可以看作DoS攻擊的Plus版本，它可以將分布在不同地方的多臺計算機聯合起來形成攻擊平臺，對一個或多個目標發動攻擊，從而產生成倍的拒絕服務攻擊的威力。
一個完整的DDoS攻擊體系包括攻擊者、主控端、代理機和攻擊目標四部分組成，示意如圖1-1所示。
圖1-1    DDoS攻擊體系

 
攻擊者發起攻擊并向代理機發送控制指令，代理機就會向被攻擊目標主機發送大量的服務請求數據包，這些數據包經過偽裝，無法識別它的來源，而且這些數據包所請求的服務往往要消耗大量的系統資源，造成被攻擊目標主機無法為用戶提供正常服務，甚至導致系統崩潰。

2.2   常見DDoS攻擊形式
DDoS攻擊有以下幾種攻擊形式：
●    容量耗盡攻擊
容量耗盡攻擊（Volumetric attacks）通常借助僵尸網絡和放大技術，通過向終端資源注入大量流量來阻止正常用戶對終端資源的訪問。最常見的容量耗盡攻擊類型有：
○    UDP洪水攻擊
黑客使用大量的互聯網控制消息協議（ICMP）請求或ping命令，試圖耗盡被受害者服務器帶寬。
○    ICMP洪水攻擊
黑客將大量的用戶數據報協議（UDP）數據包發送到受害主機，受害主機的資源由于UDP報文泛濫而耗盡，導致設備無法處理和響應對合法流量的服務。
●    協議攻擊
協議攻擊是利用議工作方式的漏洞發起攻擊，這是第二大最常見的攻擊媒介。最常見的協議攻擊類型有：
○    SYN洪水攻擊
黑客利用了TCP三次握手機制的漏洞。客戶端將SYN數據包發送到服務器，接收服務器返回的SYN-ACK數據包，但是永遠不會將ACK數據包發送回服務器。因此，受害者的服務器留下了許多未完成的SYN-ACK請求，并最終導致崩潰。
○    死亡之Ping攻擊
黑客使用簡單的Ping命令發送超大數據包，從而導致受害者的系統凍結或崩潰。
●    應用程序攻擊
應用程序攻擊是利用協議棧（六），協議棧（七）中的漏洞發起攻擊，主要針對特定的應用程序而不是整個服務器。它們通常針對公共端口和服務，例如DNS或HTTP。最常見的應用程序攻擊類型有：
○    HTTP洪水攻擊
黑客利用大量的標準GET和POST請求淹沒應用程序或Web服務器。由于這些請求通常顯示為合法流量，因此檢測HTTP洪水攻擊是一個相當大的挑戰。
○    Slowloris
正如其名，Slowloris攻擊緩慢地使受害者的服務器崩潰。攻擊者按一定時間間隔向受害者的服務器發送HTTP請求。服務器一直在等待這些請求完成，最終，這些未完成的請求耗盡了受害者的帶寬，使合法用戶無法訪問服務器。

2.3   DDoS攻擊影響
上面說了那么多理論，舉一個生活中的例子來簡單解釋下什么是拒絕服務攻擊。例如：一個酒店對用戶的接待能力的固定的，100個房間都住滿人后，如果再有新的用戶想住進來，就必須要等之前入住的用戶先退房。如果之前入住的乘客蓄意搗亂一直不退房，那么酒店就無法迎接新的用戶，導致酒店負荷過載。這種情況就是“拒絕服務”。
生活中的“拒絕服務”會給人們的生活帶來不便，當企業的網絡不斷遭受DDoS攻擊，無法提供正常服務時，企業同樣會遭遇無可估量的重大損失：
●    因為無法提供正常的在線業務，企業的收入將會遭到重大損失。
●    因為無法及時響應用戶請求，企業會失去客戶信任，聲譽下降。
●    因為數據泄露，企業的重要信息資產會遭到竊取，競爭力下降。

3 總結
過去的DDoS攻擊以Flood型攻擊為主，更多的針對運營商的網絡和基礎架構。而當前的DDoS攻擊越來越多的是針對具體應用和業務，例如：針對企業門戶應用、在線購物、在線視頻、在線游戲、DNS、E-mail等。攻擊的目標更加廣泛，攻擊手段更為復雜和仿真，造成DDoS攻擊檢測和防御更加困難。
為了精準檢測、有效防御，DDoS防御技術更加專業化，從單一的防御技術向系統的防御系統演進，人工智能、機器學習等智能化的方法逐漸應用到攻擊防御中。下一期文章將介紹如何有效防御DDoS攻擊，DDoS防御技術發展趨勢。

相關推薦：

如何有效防御DDoS攻擊