分布式拒絕服務(wù)(DDoS)攻擊旨在耗盡網(wǎng)絡(luò)資源、應(yīng)用或服務(wù)，讓真正的用戶無(wú)法訪問(wèn)。現(xiàn)在有不同類型的DDoS攻擊，但一般來(lái)說(shuō)，DDoS攻擊會(huì)從多臺(tái)不同主機(jī)同時(shí)進(jìn)行，甚至可影響最大企業(yè)的互聯(lián)網(wǎng)服務(wù)及資源的可用性。很多企業(yè)每天都面臨DDoS攻擊;根據(jù)Arbor Networks第十次全球基礎(chǔ)設(shè)施安全報(bào)告顯示，42%的受訪者每個(gè)月發(fā)現(xiàn)超過(guò)21次DDoS攻擊，在2013年這個(gè)數(shù)據(jù)是25%。不只是這種攻擊的頻率在增加，而且規(guī)模也在擴(kuò)大。在2013年，只有不到40次攻擊超過(guò)100 Gbps，而在2014年159次攻擊超過(guò)100 Gbps，最大的是400 Gbps。

DDoS攻擊類型探討

不同類型的DDoS攻擊存在顯著不同，但一般可分為這三大類：

容量耗盡攻擊——這些攻擊的目的是通過(guò)帶寬消耗型流量或資源削弱請(qǐng)求來(lái)壓倒網(wǎng)絡(luò)的基礎(chǔ)設(shè)施。

TCP狀態(tài)表耗盡攻擊——攻擊者使用這種方法來(lái)濫用TCP協(xié)議的狀態(tài)特性，以耗盡服務(wù)器、負(fù)載均衡器和防火墻中的資源。

應(yīng)用層攻擊——這種攻擊的目標(biāo)是應(yīng)用或7層網(wǎng)絡(luò)服務(wù)的某些方面。

容量耗盡攻擊仍然是最常見(jiàn)的DDoS攻擊類型，但結(jié)合這三種攻擊方式的攻擊變得越來(lái)越常見(jiàn)，這增加了攻擊的時(shí)間長(zhǎng)度和廣度。DDoS攻擊背后的主要驅(qū)動(dòng)力仍然是：政治和意識(shí)形態(tài)、蓄意破壞和在線游戲。是的，游戲玩家會(huì)DDoS攻擊游戲基礎(chǔ)設(shè)施只是為了在游戲中獲取競(jìng)爭(zhēng)優(yōu)勢(shì)以及贏得網(wǎng)絡(luò)游戲。DDoS還是黑客分子和恐怖分子的武器，它也被用于勒索或擾亂競(jìng)爭(zhēng)對(duì)手的業(yè)務(wù)。還有越來(lái)越多的DDoS攻擊用于牽制戰(zhàn)術(shù)，例如，高級(jí)持續(xù)威脅活動(dòng)利用DDoS攻擊讓網(wǎng)絡(luò)轉(zhuǎn)移注意力同時(shí)滲出被盜數(shù)據(jù)。

隨著黑客社區(qū)將復(fù)雜而先進(jìn)的攻擊工具變成易于使用可下載的程序，即使是那些不具備必要知識(shí)的人也可以發(fā)起和控制自己的DDoS攻擊。這種情況只會(huì)變得更加糟糕，攻擊者將會(huì)開(kāi)始征召一切以增加他們可生成的攻擊流量，從游戲機(jī)到路由器和調(diào)制解調(diào)器等。這些設(shè)備具有網(wǎng)絡(luò)功能且在默認(rèn)情況下開(kāi)啟，并使用默認(rèn)賬戶和密碼，使得它們成為DDoS攻擊的目標(biāo)。大多數(shù)人還使用通用即插即用(UPnP)，其底層協(xié)議很容易被濫用。Akamai Technologies公司發(fā)現(xiàn)，410萬(wàn)面向互聯(lián)網(wǎng)的UPnP設(shè)備可能容易被用于DDoS攻擊。越來(lái)越多沒(méi)有受到適當(dāng)保護(hù)或配置的聯(lián)網(wǎng)設(shè)備增加了攻擊者生成更強(qiáng)大攻擊的能力。

如何保護(hù)系統(tǒng)?

保護(hù)聯(lián)網(wǎng)設(shè)備和服務(wù)是為了盡可能保護(hù)互聯(lián)網(wǎng)，也是為了減少被用于DDoS攻擊的設(shè)備的數(shù)量。攻擊者用于生成DDoS流量的主要協(xié)議是NTP、DNS、SSDP、Chargen、SNMP和DVMRP;任何使用這些協(xié)議的服務(wù)都應(yīng)該謹(jǐn)慎配置，并在硬化專用服務(wù)器運(yùn)行。例如，運(yùn)行DNS服務(wù)器的企業(yè)應(yīng)該遵循NIST的Special Publication 800-81安全域名系統(tǒng)(DNS)部署指南，而網(wǎng)絡(luò)時(shí)間協(xié)議網(wǎng)站提供了如何保護(hù)NTP服務(wù)器的建議。

很多攻擊可行是因?yàn)楣粽呖赏ㄟ^(guò)欺騙性源IP地址生成流量，企業(yè)需要部署IETF最佳做法文件BCP 38和BCP84中提到的反欺詐過(guò)濾器，以防止攻擊者發(fā)送聲稱來(lái)自其他網(wǎng)絡(luò)的數(shù)據(jù)包。

所有不同類型的DDoS攻擊都無(wú)法預(yù)測(cè)或避免，即使只有有限資源的攻擊者都可能生成大量流量破壞大型嚴(yán)密防護(hù)的網(wǎng)站。雖然我們幾乎不可能完全消除或緩解DDoS攻擊，但長(zhǎng)期來(lái)看減少DDoS攻擊的關(guān)鍵是確保所有機(jī)器和服務(wù)都得到正確配置，讓公共可用的服務(wù)不能被攻擊者利用和濫用。通過(guò)幫助別人，我們最終將幫助我們自己。