什么是分布式拒绝服务 (DDoS) 攻击？

DDoS 攻击通过向目标资源注入大量流量、使其超载到无法运行的程度，或发送削弱应用性能的特制消息，从而降低基础设施的性能。 DDoS 攻击可以针对网络基础设施（例如防火墙状态表）以及应用资源（例如服务器和 CPU）。 DDoS 攻击可能会造成严重后果，损害在线服务的可用性和完整性并造成严重破坏，还可能造成财务损失和声誉损害。 这些攻击还可以被用作烟幕，以分散安全团队的注意力并降低数据泄露的风险。 

DDoS 攻击就像成千上万的人同时挤进一扇门口一样。 结果是，没有人能够通过这扇门，包括那些有正当理由通过另一边的人。 或者，这种攻击可以像一个人拿着钥匙，通过后锁门，阻止任何人进入。 

此类攻击通常由大量客户端计算机和其他网络连接设备协同发起。 这些攻击者控制的资源可能就是为此目的而设置的，或者更有可能感染了恶意软件，使攻击者能够远程控制设备并发动攻击。

由于攻击来自许多不同的来源，因此阻止起来极其困难。 再想象一下，门口挤满了一大群人。 简单地阻止一个非法人员（或恶意流量源）通过是没有用的，因为还有成千上万的人可以替代它。 自动化框架的进步使得攻击能够伪造 IP 地址、自治系统编号 (ASN)、浏览器用户代理和其他遥测数据，从而绕过传统的安全控制。 

区分分布式拒绝服务（DDoS）攻击和拒绝服务（DoS）攻击非常重要。 两者都是旨在破坏目标系统或网络可用性的网络攻击，但攻击方式有所不同。 

DoS 攻击通常由单一来源或少数几个来源发起，攻击者利用大量流量或请求淹没目标系统或网络，超出其处理能力。

另一方面，DDoS 攻击涉及多个来源或僵尸网络，即攻击者控制的受感染计算机或设备的网络。 攻击者协调这些多个源，同时对目标发动攻击。 DDoS 攻击通常比 DoS 攻击更难缓解，因为它们来自多个来源，因此很难区分合法流量和恶意流量。

虽然 DDoS 威胁形势不断演变，但 F5 发现大多数攻击可分为以下几大类。 

容量耗尽攻击是最常见的 DDoS 攻击类型之一。 这些攻击的目的是通过向目标网络注入大量数据或流量来压垮目标网络带宽。 这些技术包括 UDP（用户数据报协议）洪水、ICMP（互联网控制消息协议）洪水，以及利用 NTP（网络时间协议）、Memcached 和 DNS 等协议的反射攻击来放大目标接收的流量。 巨大的流量使目标网络基础设施饱和，导致合法用户无法使用。 基于洪水的攻击通常以第 3 层、第 4 层或第 7 层为目标，其中 SYN 洪水是一种非常常见的攻击，可以压垮网络防火墙和其他关键网络基础设施。 

• 作为容量攻击的一个例子，2018 年，软件开发平台 GitHub 遭受了大规模容量攻击，导致其服务中断。 此次攻击的峰值达到了前所未有的 1.35 TBps，成为当时有记录以来最大规模的 DDoS 攻击之一。 结果，GitHub 的网站和服务出现间歇性中断和性能下降。  

协议攻击，例如针对 TCP/IP 协议栈（互联网通信的基础）中的弱点的攻击。 这些攻击专门针对网络基础设施跟踪和处理流量的能力。 例如，SYN 洪水攻击会用大量 TCP SYN 数据包淹没目标，使目标无法建立合法连接。 这些也被称为“计算”攻击，因为它们经常使路由器和防火墙等网络设备的计算能力超载。

• 2021 年 11 月，F5 观察并缓解了公司有史以来最大的协议攻击。 此次攻击针对的是金融服务客户，仅持续了四分钟，并在短短 1.5 分钟内达到了近 1.4 TBps 的最大攻击带宽。 

应用漏洞攻击（也称为第 7 层攻击）专门针对网络堆栈的应用层。 这些攻击主要利用目标服务器上运行的应用或服务中的软件漏洞来耗尽服务器的资源，例如 CPU、内存或数据库连接。 应用层攻击的示例包括 HTTP GET 洪水（发送大量 HTTP 请求）、slowloris 攻击（通过部分请求保持连接打开）、HTTP POST 洪水、TLS 重新协商和 DNS 查询。

• 2023 年 2 月，一个名为 Killnet 的著名亲俄黑客组织对一家大型欧洲组织发动了复杂的 L7 DDoS 攻击。 此次攻击的目的是通过大量流量压垮该公司的服务器，使用户难以访问该网站，攻击流量峰值达到每秒 120,000 个请求。 此次特定的 DDoS 攻击分布在 35 个不同的 IP 地址和 19 个国家/地区，并且主要集中在应用层。 

非对称攻击，也称为反射攻击或放大攻击，利用某些网络协议的功能来放大攻击流量。 在非对称 DDoS 攻击中，攻击者向易受攻击的网络或服务发送少量特制的网络数据包，通常使用伪造的源 IP 地址。 这些数据包会触发目标系统或网络产生更大的响应，从而产生显著的放大效应。  

• 2021 年 2 月，威胁行为者威胁一家为游戏和赌博组织提供信息安全服务的科技公司，如果该公司不支付赎金，他们将遭到 DDoS 攻击。 攻击者立即发动 4 Gbps SYN 洪水攻击作为警告；此后五天内，DDoS 攻击就开始了。 持续了近一个月的时间，攻击接二连三，威胁行为者添加了越来越多的载体。 最终，攻击峰值达到 500 Gbps，并包括多向量容量 UDP、LDAP 反射、DNS 反射、NTP 反射和 UDP 碎片攻击。

利用上述多种方法的多向量攻击正变得越来越普遍。 通过采用多种攻击技术，攻击者能够放大影响并增加同时防御多种攻击媒介的难度。

• 2016 年 10 月，管理和引导互联网流量的 DNS 提供商 Dyn 遭受了大规模 DDoS 攻击，导致许多热门网站和服务中断，包括 Twitter、Reddit、Netflix 和 Spotify。 攻击者采用了多种 DDoS 技术，包括 DNS 反射和放大攻击以及僵尸网络。 此次攻击利用了网络摄像头和路由器等易受攻击的物联网设备，这些设备的安全措施较弱或具有默认登录凭据。 通过攻击这些设备，攻击者创建了一个能够产生大量流量的庞大僵尸网络。

以下是与 DDoS 攻击、缓解和预防相关的几个关键概念和定义。

• 僵尸网络是受攻击者控制的受感染计算机、服务器或设备的网络。 这些被感染的设备通常被称为机器人或僵尸，用于集体发起 DDoS 攻击。 攻击者可以远程命令僵尸网络向目标发送大量流量或请求，从而放大攻击的影响。
• 欺骗涉及伪造或伪装网络数据包或通信的真实来源或身份。 在 DDoS 攻击中，通常使用欺骗来隐藏攻击流量的来源。 
• SYN 泛洪是一种 DDoS 攻击，它利用 TCP 的三次握手过程来压垮目标的资源。 攻击者向目标发送大量 SYN 数据包，但不响应 SYN-ACK 数据包或欺骗源 IP 地址。 这会导致目标系统等待永远不会到达的 ACK 数据包，从而占用其资源并阻止建立合法连接。
• UDP（用户数据报协议）泛洪是一种针对 UDP 协议的 DDoS 攻击，该协议无连接且不需要握手。 在这种攻击中，攻击者向目标网络或服务发送大量 UDP 数据包，从而压倒其资源。 
• DNS（域名系统）放大是一种 DDoS 攻击，它利用 DNS 服务器中的漏洞来产生大量攻击流量。 攻击者向易受攻击的开放 DNS 解析器发送带有欺骗源 IP 地址的小型 DNS 查询。 这些解析器没有意识到欺骗行为，而是以更大的 DNS 响应进行响应，从而放大针对目标的流量，并使目标的资源不堪重负，并可能导致服务中断。 
• DDoS 缓解是指用于防御和尽量减少 DDoS 攻击影响的策略和技术。 缓解解决方案可以结合网络基础设施升级、流量过滤、速率限制、异常检测和流量转移来吸收和缓解攻击流量。 云提供的 DDoS 缓解解决方案对于在攻击到达网络基础设施和应用之前检测和缓解攻击特别有效。 然而，鉴于最近应用/L7 DoS 的增加，安全控制也需要在受保护资源附近部署。 
• 事件响应是指检测、分析和应对 DDoS 攻击的过程。 它涉及识别正在进行的攻击的迹象、调查攻击的来源和性质、实施缓解措施以及恢复正常运行。 事件响应计划可帮助组织有效地处理 DDoS 攻击并最大限度地减少其影响。

DDoS 攻击可能对企业、组织和个人造成严重影响。 

DDoS 攻击可能导致重大的财务损失。 当服务中断或无法访问时，企业可能会因交易中断、客户参与度降低或错失机会而遭受收入影响。 此外，组织还可能产生与减轻攻击、开展事件响应和恢复活动以及潜在的监管处罚相关的成本。

成功的 DDoS 攻击会损害组织的声誉并削弱客户信任。 如果公司的服务屡屡中断或不可用，客户可能会对该公司提供可靠服务的能力失去信心。 重建信任和恢复受损的声誉可能是一个具有挑战性且耗时的过程。

DDoS 攻击可能造成严重的运营中断。 严重依赖在线服务的组织可能会面临生产力损失，因为员工无法访问关键系统或有效协作。 服务中断会影响供应链、客户支持和整体业务运营，导致延误、效率低下和运营成本增加。

通过投资强大的 DDoS 缓解策略并聘请网络安全专业人员设计和实施安全措施，组织可以显著降低成功的 DDoS 攻击的风险和影响，维护其财务稳定和声誉，并确保其运营的连续性。

以下是一些用于防御攻击的常见 DDoS 缓解技术。 组织通常会采用这些方法的组合来创建分层防御策略，以有效减轻 DDoS 攻击的影响。 早期发现也是启动迅速事件响应和缓解措施的关键，使组织能够在事件升级之前控制影响。

流量过滤涉及检查传入的网络流量并应用过滤器来阻止或允许特定类型的流量。 该技术可以在不同层面使用，例如网络边缘路由器、防火墙或专用 DDoS 缓解设备。 通过过滤恶意或不必要的流量，组织可以减少 DDoS 攻击的影响，并有助于确保合法流量到达预定目的地。

速率限制限制来自特定来源或在指定时间范围内的传入请求或数据包的数量。 通过实施速率限制，组织可以阻止大量流量的涌入，从而减轻 DDoS 攻击的影响。 

异常检测涉及监控网络流量模式和行为以识别与正常模式的偏差。 它利用统计分析和机器学习算法来建立基线行为并检测可能表明 DDoS 攻击的异常活动。 异常检测系统可以识别异常流量峰值、数据包泛滥或其他表明正在发生攻击的模式。 

行为分析侧重于监视用户、系统或网络实体的行为，以检测和识别可疑或恶意活动。 行为分析技术有助于区分合法流量和攻击流量，使组织能够有效应对 DDoS 攻击，同时最大限度地减少误报。 该分析可以在客户端和服务器端通过智能代理执行，检测可能表明存在拒绝服务攻击的系统压力。 

部署内容分发网络 (CDN)可以帮助减轻容量攻击的影响并提供增强的可用性和性能。 CDN 可以利用其分布式网络基础设施来识别和阻止恶意流量，确保合法请求到达目标。

负载均衡器和应用交付控制器 (ADC)还可以通过智能分配和管理流量充当抵御 DDoS 攻击的防御机制。 负载均衡器可以通过应用速率限制、流量整形或将流量重定向到专门的 DDoS 防护解决方案等各种技术来检测和缓解 DDoS 攻击。 

实施基于云的 DDoS 防护服务可以帮助提供专用且可扩展的缓解功能来防御 DDoS 攻击。 通过这些服务重定向流量，组织可以受益于先进的缓解技术、实时威胁情报和专业提供商的专业知识。

防范 DDoS 攻击的其他最佳实践包括启用传输控制协议 (TCP) 和用户数据报协议 (UDP) 请求管理，以确保仅处理合法请求。 定期监控和记录有助于及早发现攻击并减轻任何负面影响。 流量增加、错误或异常活动的模式可以触发警报以供进一步调查。 加密应用和客户端之间的流量可以使攻击者更难以拦截和修改流量。 定期的软件更新可确保您的系统受到最新安全功能和补丁的保护，以减轻已知威胁，包括 DDoS 攻击。

随着 DDoS 攻击的规模和复杂性不断增长，组织需要多层保护来阻止这些攻击进入企业网络。 通常，这些攻击将大容量流量与隐秘、低速、慢速、针对应用程序的攻击技术相结合，由自动僵尸网络或人工工具提供支持。 随着这些攻击的频率和中断成本不断上升，全面、分层的防御对于减轻这些攻击的重要性现在变得至关重要。

通过观看或阅读以下案例研究，了解现实生活中的 DDoS 攻击以及如何缓解这些攻击。

• 了解F5 如何阻止针对电子邮件提供商的 26 Gbps 容量 DDoS 攻击。
• 了解澳大利亚 Heritage Bank 如何部署一套F5 产品来提供全天候 DDoS 保护并满足银行的监管准则。

随着 DDoS 攻击不断演变，组织需要了解最新趋势和发展。 

最近的趋势是物联网（IoT）僵尸网络日益盛行。 智能摄像头、路由器和联网设备等物联网设备通常安全措施较弱，容易受到攻击。 攻击者利用这些设备的漏洞，用恶意软件感染它们，并将其纳入僵尸网络的一部分。 数千台受感染的物联网设备的综合计算能力可以产生大量 DDoS 攻击流量。 

应用层攻击旨在耗尽服务器资源或利用特定应用中的漏洞，通常会模仿合法用户行为，这使得它们更难被检测和缓解。 应用层攻击尤其难以防御，因为它们需要更深入地了解应用行为并需要专门的保护机制。

DDoS 即服务平台的出现使得技术水平较低的个人更容易发起 DDoS 攻击。 这些平台位于暗网上，提供易于使用的界面，允许用户租用和部署 DDoS 攻击资源，通常利用租用的僵尸网络。