分布式拒絕服務 (DDoS) 攻擊雖然已不是一個新概念，但其攻擊效果卻非常有效。近年來，DDoS 攻擊的強度和數量不斷上升，但攻擊時間卻通常僅持續數小時。攻擊者輕而易舉就可實施攻擊，并給目標公司帶來毀滅性打擊。特別是目前極為常見的放大攻擊，此類攻擊支持小型僵尸網絡入侵大型目標。攻擊過程中，攻擊者向第三方服務發送欺騙性流量，并向攻擊目標提供回復。為放大響應流量，攻擊者會選擇使用智能查詢技術，從而導致產生大量服務回復。例如，它可能會向DNS 服務器重復請求所有記錄，或使用NTP服務器的 monlist命令。攻擊者可通過多種協議達成這一效果，放大系數通常可達到 500。

圖 1：DDoS放大攻擊圖解

賽門鐵克發現，2014 年 1 月至 8 月期間，DNS放大攻擊增長了183%，目前已經成為賽門鐵克全球智能網絡所發現的最常見的攻擊方法。使用 NTP 的DDoS放大攻擊在第一季度尤為突出，之后呈現穩步下降的趨勢。導致下降的原因可能是用戶對服務器進行升級和重新配置。攻擊者還嘗試使用其他協議，比如簡單網絡管理協議 (SNMPv2) 或 9月份發現的簡單服務發現協議 (SSDP)。攻擊者通常使用不同方法以加大防御難度，擴大攻擊影響。不法分子只需花費不到 10 美元就可購買到地下論壇提供的 DDoS 攻擊服務。

　　圖 2 ：DDoS攻擊價格表

2014 年還呈現出另外一種趨勢，即受攻擊的 Unix 服務器的數量以及在 DDoS 攻擊中被占用的帶寬資源不斷上升。最常見的兩種威脅包括 PHP.Brobot 和 Backdoor.Piltabe。ShellShock Bash 防線在漏洞發現后數小時之內即被攻破，使這一趨勢得到再度彰顯，攻擊者借此能夠在多臺服務器上安裝 DDoS 腳本。不同 DDoS 腳本和惡意 ELF 文件可通過 Bash 漏洞下載，從而形成威力極強的 DDoS 僵尸網絡。

未來前景如何：

未來前景不容樂觀。匿名組織宣稱將在全球范圍內發起 Operation Remember 活動，我們預計 11 月 5 日蓋伊福克斯日當天會發生多次 DDoS 攻擊。然而，標榜自由和理想主義信仰的黑客并不是唯一使用 DDoS 攻擊的群體。我們還發現一些用于敲詐的案例，例如對目標實施經濟勒索。針對性攻擊還使用 DDoS 分散本土互聯網應急機構的注意力，以實施真正的攻擊。

賽門鐵克安全實踐：

雖然降低 DDoS 攻擊的影響并非易事，賽門鐵克仍推薦用戶參考以下最佳實踐以減少損失：

· 制定應急響應計劃，了解向誰求救

· 核實服務器配置并保護您的服務器

· 使用分層過濾法，并與外部服務提供商進行合作

· 確保您的環境具備出色的可擴展性和靈活性

· 了解正常網絡行為

請參考以下信息圖了解DDoS攻擊的核心要點。