在網絡安全領域，DDoS 攻擊一直是熱門話題，隨著網絡技術的不斷發展和網絡環境的復雜化演變，DDoS 攻擊變得愈加頻繁、更具破壞性。根據 2023 年網絡安全態勢研判分析年度綜合報告，全年全網網絡層的 DDoS 攻擊次數達 2.51 億次！

DDoS攻擊，即分布式拒絕服務攻擊（Distributed Denial of Service），是指攻擊者利用一臺或多臺不同位置的計算機對一個或多個目標同時發動攻擊，消耗目標服務器性能或網絡帶寬，使服務器運行緩慢或者宕機，從而造成服務器無法正常地提供服務的網絡攻擊類型。

DDoS攻擊是一種常見的網絡攻擊類型，也是當前最主要的互聯網安全威脅之一。

DDOS攻擊技術

常見的流量直接攻擊（SYN，ACK，ICMP，udp flood），利用特定應用或協議進行反射性的流量攻擊，基于應用的CC，慢速HTTP等。

ICMP Flood

攻擊者發送大量的ICMP Echo請求到目標服務器，使服務器資源耗盡，無法正常響應其他網絡請求。

ICMP反射泛洪攻擊

指Smurf IP利用廣播地址發送ICMP包，一旦廣播出去，就會被廣播域內的所有主機回應，當然這些包都回應給了偽裝的IP地址（指向目標主機）。偽裝IP地址可以是互聯網上的任何地址，不一定在本地。假如黑客不停地發送ICMP包，就會造成拒絕服務。

?UDP Flood?

攻擊者發送大量的UDP數據包到目標服務器，使服務器無法處理這些大量的無效數據包，從而導致服務癱瘓。這種攻擊利用UDP協議的特性，通過向目標服務器發送大量UDP數據包，使其資源耗盡?

SYN Flood

以多個隨機的源主機地址向目的主機發送syn包，而在收到目的主機的syn+ ack包后并不回應，目的主機為這些源主機建立大量的連接隊列，由于沒有收到ack一直維護這些連接隊列，造成資源的大量消耗而不能向正常的請求提供服務。

NTP Flood

NTP攻擊是一種利用被攻擊的NTP服務器來攻擊目標系統的DDoS攻擊方式。攻擊者發送大量的偽造的NTP查詢請求到NTP服務器，服務器會向目標系統發送大量的NTP響應數據，從而占用目標系統的帶寬和系統資源。

CC攻擊

CC攻擊，英文Challenge Collapsar，是分布式拒絕服務（DDoS）攻擊的一種類型，其通過向一些目標網絡服務器發送偽造的HTTP 請求，這些請求往往需要復雜耗時的計算或數據庫操作，以耗盡目標網絡服務器的資源，導致目標服務器停止響應請求，造成用戶訪問速度慢甚至無法訪問。

NTP（Network Time Protocol，網絡時間協議）Flood

NTP是標準的基于UDP協議傳輸的網絡時間同步協議，由于UDP協議的無連接性，方便偽造源地址。攻擊者使用特殊的數據包，也就是IP地址指向作為反射器的服務器，源IP地址被偽造成攻擊目標的IP，反射器接收到數據包時就被騙了，會將響應數據發送給被攻擊目標，耗盡目標網絡的帶寬資源。

一般的NTP服務器都有很大的帶寬，攻擊者可能只需要1Mbps的上傳帶寬欺騙NTP服務器，就可給目標服務器帶來幾百上千Mbps的攻擊流量。因此，“問-答”方式的協議都可以被反射型攻擊利用，將質詢數據包的地址偽造為攻擊目標地址，應答的數據包就會都被發送至目標，一旦協議具有遞歸效果，流量就被顯著放大了，堪稱一種“借刀殺人”的流量型攻擊。

DNS Query Flood

DNS作為互聯網的核心服務之一，自然也是DDoS攻擊的一大主要目標。

DNS Query Flood采用的方法是操縱大量傀儡機器，向目標服務器發送大量的域名解析請求。服務器在接收到域名解析請求時，首先會在服務器上查找是否有對應的緩存，若查找不到且該域名無法直接解析時，便向其上層DNS服務器遞歸查詢域名信息。

通常，攻擊者請求解析的域名是隨機生成或者是網絡上根本不存在的域名，由于在本地無法查到對應的結果，服務器必須使用遞歸查詢向上層域名服務器提交解析請求，引起連鎖反應。解析過程給服務器帶來很大的負載，每秒鐘域名解析請求超過一定的數量就會造成DNS服務器解析域名超時。

根據微軟的統計數據，一臺DNS服務器所能承受的動態域名查詢的上限是每秒鐘9000個請求。而一臺P3的PC機上可以輕易地構造出每秒鐘幾萬個域名解析請求，足以使一臺硬件配置極高的DNS服務器癱瘓，由此可見DNS服務器的脆弱性。

淚滴攻擊

攻擊者向目標機器發送損壞的IP包，諸如重疊的包或過大的包載荷。借由這些手段，該攻擊可以通過TCP/IP協議棧中分片重組代碼的bug來使各種不同的操作系統癱瘓。

Ping of Death

攻擊者利用單個包的長度超過了IP規范所規定的包長度的條件對目標發起攻擊。

DDOS的防御

不同的企業可以根據實際情況采用不同的防御方式，比較重要的一點就是要考慮預算問題，在大部分時候，你購買的高防服務以及流量都排不上用場。

常用的防御方式：本地設備清洗，運營商清洗，云清洗。

本地清洗設備

業內習慣稱之為ADS設備，可以旁路或者串聯部署，旁路部署時需要再發生攻擊時進行流量牽引。可以抵御一些小規模的流量攻擊，遇到大規模的攻擊就比較麻煩。比較典型時設備時綠盟的黑洞。

本地清洗最大的問題是當DDoS攻擊流量超出企業出口帶寬時，即使ADS設備處理性能夠，也無法解決這個問題。

典型的部署結構圖如下所示，檢測設備對鏡像過來的流量進行分析，檢測到DDoS攻擊后通知清洗設備，清洗設備通過BGP或OSPF協議將發往被攻擊目標主機的流量牽引到清洗設備，然后將清洗后的干凈流量通過策略路由或者MPLS LSP等方式回注到網絡中；當檢測設備檢測到DDoS攻擊停止后，會通知清洗設備停止流量牽引。

?

運營商清理

當本地流量清洗解決不了流量超過出口寬帶的問題時，往往需要借助運營商的能力，緊急擴容或者開啟清洗服務。

云清洗

內容分發系統（CDN）是指通過在網絡各處放置節點服務器，讓用戶能夠在離自己最近的地方訪問服務，以此來提高訪問速度和服務質量。CDN主要利用了四大關鍵技術：內容分發，內容路由，內存存儲，內容管理。

CDN技術的初衷是為了提高互聯網用戶對靜態網站的訪問速度，但是由于分布式，就近訪問的特點，能對攻擊流量進行稀釋，因此一些傳統的CDN廠商除了提供云加速服務，也開始推出云清洗服務。

云清洗需要注意下面的一些問題

1）云清洗需要提前配置好相應的記錄。

2）DNS修改記錄后，需要等待TTL超時才生效

3）直接對源IP的攻擊，無法使用云清洗防護。

其它方式

面臨DDOS攻擊時，如果有多條線路，可以通過負載均衡將受攻擊線路的訪問需求轉移到其它互聯網線路。

報文過濾

一個IP訪問速率限制

封IP

防御措辭

有效防御DDoS攻擊涉及多個方面的技術和策略，以下是一些常用的防御措施：

1、使用高寬帶

網絡帶寬直接決定了網絡抵抗攻擊的能力。高寬帶支持大量數據傳輸和高速互聯網連接，能夠在能夠在有大量流量涌入網站時提供強大的流量吞吐，減少網絡的擁堵。

2、采用安全防御產品

采用安全防御產品，提供DDoS防護，可有效防御畸形報文攻擊、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等網絡層攻擊以及SSL、DNS等應用層攻擊。

不僅如此，銳安盾還可提供 WAF、Bot、API安全防護服，節點識別并攔截 L3/L4/L7層各類攻擊請求；支持將靜態資源緩存到邊緣節點，達到加速效果，確保網站的安全與加速。

3、增強邊緣防御

部署在網絡邊緣的防火墻和入侵檢測系統（IDS）可以在一定程度上識別并過濾攻擊流量。防火墻可以配置規則來阻止未經授權的訪問，而IDS可以分析通過網絡傳遞的數據包以識別惡意活動。

4、設計冗余和備份計劃

準備好恢復計劃和業務連續性是對抗DDoS攻擊的關鍵。確保關鍵數據和應用程序有冗余備份，并分布在多個地理位置，可以在攻擊影響到一處資源時快速恢復服務。

閱讀原文：原文鏈接