來源：https://sucuri.net/guides/what-is-a-ddos-attack/

分布式拒絕服務(wù)(DDoS)攻擊是一種非侵入性的互聯(lián)網(wǎng)攻擊炉爆，通過虛假流量充斥網(wǎng)絡(luò)、服務(wù)器或應(yīng)用程序，使目標(biāo)網(wǎng)站癱瘓或減慢其速度油宜。當(dāng)針對(duì)脆弱的資源密集型端點(diǎn)時(shí)湾蔓，即使很小的流量也足以使攻擊成功瓤湘。

分布式拒絕服務(wù)(DDoS)攻擊是網(wǎng)站所有者必須熟悉的威脅，因?yàn)樗鼈兪前踩I(lǐng)域的重要組成部分。處理各種類型的DDoS攻擊可能很有挑戰(zhàn)性，也很耗時(shí)挽懦。為了幫助您理解什么是DDoS攻擊以及如何防止它二跋，我們編寫了以下指南。

1 什么是DDoS攻擊?

1.1 了解DDoS攻擊

DDoS攻擊的目的是阻止合法用戶訪問您的網(wǎng)站缩挑。DDoS攻擊要想成功但两，攻擊者需要發(fā)送超過受害服務(wù)器處理能力的請(qǐng)求。另一種成功的攻擊發(fā)生的方式是攻擊者發(fā)送虛假請(qǐng)求供置。

1.2 DDoS攻擊是如何工作的?

DDoS攻擊通過發(fā)送虛假流量峰值來測試web服務(wù)器谨湘、網(wǎng)絡(luò)和應(yīng)用程序資源的極限。有些攻擊只是對(duì)脆弱的端點(diǎn)(如搜索功能)發(fā)出短時(shí)間的惡意請(qǐng)求。DDoS攻擊使用被稱為僵尸網(wǎng)絡(luò)的僵尸設(shè)備大軍紧阔。這些僵尸網(wǎng)絡(luò)通常由受威脅的物聯(lián)網(wǎng)設(shè)備谎僻、網(wǎng)站和計(jì)算機(jī)組成。

當(dāng)發(fā)生DDoS攻擊時(shí)寓辱，僵尸網(wǎng)絡(luò)會(huì)攻擊目標(biāo)艘绍，耗盡應(yīng)用資源。一次成功的DDoS攻擊可以阻止用戶訪問一個(gè)網(wǎng)站秫筏，或者降低訪問速度诱鞠，從而增加跳出率，從而造成經(jīng)濟(jì)損失和性能問題这敬。

1.3 - DDoS攻擊的目的是什么?

攻擊者利用拒絕服務(wù)(DoS)攻擊方法的主要目標(biāo)是破壞網(wǎng)站的可用性:

（1）網(wǎng)站對(duì)合法請(qǐng)求的響應(yīng)可能會(huì)變慢航夺。

（2）該網(wǎng)站可以完全關(guān)閉，使合法用戶無法訪問它崔涂。

（3）根據(jù)您的配置阳掐，任何類型的破壞都可能對(duì)您的業(yè)務(wù)造成毀滅性的影響。

（4）跳到第4節(jié)來學(xué)習(xí)其中的一些原因冷蚂。

1.4 DoS攻擊和DDoS攻擊有什么區(qū)別?

DoS (Denial of Service)攻擊和DDoS (Distributed Denial of Service)攻擊非常相似缭保。它們之間唯一的區(qū)別是它們的規(guī)模。單一的DoS攻擊來自一個(gè)源蝙茶，而DDoS(分布式)攻擊來自多個(gè)位置艺骂，通常是欺騙。

無論是DoS攻擊還是DDoS攻擊隆夯，攻擊者都使用一臺(tái)或多臺(tái)計(jì)算機(jī)钳恕。DoS攻擊屬于這一范圍的低端，而DDoS攻擊屬于高端蹄衷。非常大的DDoS攻擊可以跨越數(shù)百或數(shù)千個(gè)系統(tǒng)忧额。DoS/DDoS攻擊的激增直接歸因于DDoS出租服務(wù)市場的激增，也被稱為Booter服務(wù)愧口。

1.5 DDoS攻擊可以竊取信息嗎?

DDoS攻擊無法竊取網(wǎng)站訪問者的信息睦番。DDoS攻擊的唯一目的是使網(wǎng)站資源過載。然而调卑，DDoS攻擊可以被用作敲詐勒索的一種方式抡砂。例如，網(wǎng)站所有者可能被要求為攻擊者支付贖金以阻止DDoS攻擊恬涧。

DDoS攻擊可能有許多其他動(dòng)機(jī)注益，包括政治、黑客溯捆、恐怖分子和商業(yè)競爭丑搔。任何出于經(jīng)濟(jì)或意識(shí)形態(tài)動(dòng)機(jī)的人都可以通過對(duì)一個(gè)組織發(fā)起DDoS攻擊來破壞它厦瓢。

1.6 DDoS攻擊的特征是什么?

DDoS攻擊的特征包括:

該網(wǎng)站反應(yīng)緩慢。

網(wǎng)站反應(yīng)遲鈍啤月。

用戶在訪問網(wǎng)站時(shí)遇到了問題煮仇。

網(wǎng)絡(luò)連接問題，如果你是一個(gè)目標(biāo)谎仲。

根據(jù)您的配置浙垫，任何類型的破壞都可能對(duì)您的業(yè)務(wù)造成毀滅性的影響。

跳到第4節(jié)來學(xué)習(xí)其中的一些原因郑诺。

1.7 DDoS攻擊的放大效應(yīng)

每次我們談到DDoS攻擊夹姥，我們不得不提到它的放大效應(yīng)。為了實(shí)現(xiàn)放大辙诞，大多數(shù)攻擊者利用僵尸網(wǎng)絡(luò)組成的受損計(jì)算機(jī)辙售，允許他們擴(kuò)大他們的攻擊跨越僵尸網(wǎng)絡(luò)的規(guī)模。一個(gè)攻擊者可以控制1000個(gè)機(jī)器人飞涂，然后可以用來DDoS攻擊受害者旦部。這是1000個(gè)機(jī)器人對(duì)1個(gè)服務(wù)器，使得攻擊者更容易獲勝较店。然而士八，攻擊者并不總是需要控制僵尸網(wǎng)絡(luò)。它們還可以使主機(jī)向錯(cuò)誤的目的地發(fā)送響應(yīng)泽西。例如曹铃，脆弱的memcached服務(wù)器被用來關(guān)閉Github，它們沒有一個(gè)真正被黑客攻擊捧杉，只是被攻擊者愚弄了。

放大的另一個(gè)方面與網(wǎng)絡(luò)層和欺騙請(qǐng)求有關(guān)秘血。如果僵尸網(wǎng)絡(luò)上的每臺(tái)計(jì)算機(jī)只需要發(fā)送1個(gè)字節(jié)就能得到100個(gè)字節(jié)的響應(yīng)呢?這叫做100倍放大味抖。當(dāng)請(qǐng)求被欺騙時(shí)，回復(fù)會(huì)返回給互聯(lián)網(wǎng)上的其他人灰粮，而不是攻擊者仔涩。這意味著服務(wù)器的網(wǎng)口正在處理1字節(jié)輸入+ 100字節(jié)輸出，而攻擊者在他們的端只處理1字節(jié)輸出粘舟。

當(dāng)使用正確的放大方法時(shí)熔脂，一個(gè)理論上由1000個(gè)僵尸程序組成的小型僵尸網(wǎng)絡(luò)可以很容易地產(chǎn)生接近100 Gbps的數(shù)據(jù)。

放大效應(yīng)還不止于此柑肴。大多數(shù)人傾向于只從網(wǎng)絡(luò)的gb來考慮它們霞揉，但是在應(yīng)用程序?qū)右舶l(fā)生了一些變化。

如果攻擊者僅通過僵尸網(wǎng)絡(luò)的一個(gè)HTTP請(qǐng)求就可以迫使web應(yīng)用程序執(zhí)行大量工作晰骑，那該怎么辦呢?比如昂貴的搜索或者需要大量資源的搜索?這是我們所看到的許多第七層(HTTP flood)攻擊的基礎(chǔ)适秩。

1.8? DDoS攻擊時(shí)會(huì)發(fā)生什么?

你有沒有想過DDoS攻擊過程中會(huì)發(fā)生什么，以及它在技術(shù)方面是什么樣子的?

DDoS攻擊會(huì)消耗服務(wù)器資源，增加網(wǎng)站加載時(shí)間秽荞。當(dāng)DDoS攻擊攻擊一個(gè)網(wǎng)站時(shí)骤公，它可能會(huì)導(dǎo)致性能問題，或者通過壓倒服務(wù)器資源(如CPU扬跋、內(nèi)存甚至整個(gè)網(wǎng)絡(luò))而使服務(wù)器完全崩潰阶捆。如今，大多數(shù)DDoS攻擊源自由易受攻擊物聯(lián)網(wǎng)設(shè)備組成的黑客控制的僵尸網(wǎng)絡(luò)钦听。這包括聯(lián)網(wǎng)的安全攝像頭洒试、家用電器、智能電視彪见、家庭照明系統(tǒng)儡司，甚至冰箱。

DDoS攻擊的指數(shù)級(jí)增長主要是由于對(duì)物聯(lián)網(wǎng)設(shè)備完全缺乏監(jiān)管控制余指，這使它們成為僵尸網(wǎng)絡(luò)的優(yōu)秀新兵捕犬。被劫持的一組擁有唯一IP地址的物聯(lián)網(wǎng)設(shè)備可以被重定向，對(duì)網(wǎng)站發(fā)出惡意請(qǐng)求酵镜，從而引發(fā)DDoS攻擊碉碉。

2 DDoS攻擊類型

DDoS攻擊主要用于消耗web服務(wù)器資源。其結(jié)果是淮韭，他們減慢或完全停止您的服務(wù)器或網(wǎng)站垢粮。

物聯(lián)網(wǎng)(IoT)是嵌入在電子、軟件靠粪、傳感器蜡吧、執(zhí)行器和連接性中的物理設(shè)備的網(wǎng)絡(luò)。這些對(duì)象能夠連接和交換數(shù)據(jù)占键，這些數(shù)據(jù)也可以用于惡意攻擊昔善。

你的設(shè)備，比如家用路由器畔乙，可能會(huì)被攻擊君仆，成為DDoS攻擊的僵尸網(wǎng)絡(luò)。

我們發(fā)現(xiàn)了大量與物聯(lián)網(wǎng)設(shè)備相關(guān)的大規(guī)模DDoS攻擊牲距。你可以在這里閱讀相關(guān)文章:

大型閉路電視僵尸網(wǎng)絡(luò)利用DDoS攻擊

物聯(lián)網(wǎng)家庭路由器僵尸網(wǎng)絡(luò)在大型DDoS攻擊中發(fā)揮作用

在下面的部分中返咱，我們將介紹一些類型的DDoS攻擊。

2.1 基于容量的DDoS攻擊

顧名思義牍鞠，基于容量的DDoS攻擊依賴于流入流量的大小咖摹。這種類型的攻擊的目的是使網(wǎng)站的帶寬過載或?qū)е翪PU或IOPS使用問題。

攻擊者使用一個(gè)基本的戰(zhàn)術(shù)-更多的資源贏得這場游戲皮服。如果他們能超載你的資源楞艾，攻擊就是成功的参咙。

攻擊者很容易達(dá)到他們的目標(biāo)。大多數(shù)網(wǎng)站所有者都使用共享主機(jī)硫眯，而擁有虛擬專用服務(wù)器(VPS)環(huán)境的網(wǎng)站通常設(shè)置在最小的層和配置中蕴侧。

這種攻擊可以用每秒比特?cái)?shù)（?bits per second）來衡量。

基于容量的DDoS攻擊包括:

UDP洪水

用戶數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol, UDP) DoS攻擊會(huì)隨機(jī)淹沒各種端口两入，導(dǎo)致主機(jī)服務(wù)器返回一個(gè)ICMP報(bào)文净宵。這是一種協(xié)議，用于在出現(xiàn)問題阻止IP包發(fā)送時(shí)生成到IP地址的錯(cuò)誤消息裹纳。UDP泛洪是通過數(shù)據(jù)包進(jìn)行的——也稱為3 / 4層攻擊择葡。這會(huì)迫使web服務(wù)器響應(yīng)，進(jìn)而吞噬您的web服務(wù)器資源剃氧，迫使它停止或完全死亡敏储。UDP是一種無連接協(xié)議，這意味著它不驗(yàn)證源IP地址朋鞍。正因?yàn)槿绱艘烟恚琔DP攻擊通常與分布式反射拒絕服務(wù)(DRDoS)攻擊相關(guān)聯(lián)。

ICMP洪水

攻擊者通過大量源ip發(fā)送欺騙的ICMP報(bào)文滥酥，使服務(wù)器泛濫更舞。這種攻擊的結(jié)果是耗盡服務(wù)器資源和處理請(qǐng)求失敗，導(dǎo)致服務(wù)器重新啟動(dòng)或?qū)ζ湫阅茉斐蓮V泛影響坎吻。ICMP flood攻擊可以針對(duì)特定的服務(wù)器缆蝉，也可以是隨機(jī)的。它基本上消耗帶寬到精疲力盡的程度瘦真。

Ping洪水

攻擊者通過大量源ip向服務(wù)器發(fā)送欺騙ping報(bào)文刊头。它是ICMP flood攻擊的演化。攻擊者的目標(biāo)是使服務(wù)器充斥诸尽，直到它離線芽偏。對(duì)網(wǎng)站所有者來說，這種攻擊最大的缺點(diǎn)是很難檢測到弦讽，會(huì)被誤認(rèn)為是合法的流量。

Ping flood膀哲，也被稱為ICMP flood往产，是一種常見的拒絕服務(wù)(DoS)攻擊，攻擊者通過ICMP響應(yīng)請(qǐng)求(也被稱為Ping)使受害者的計(jì)算機(jī)癱瘓某宪。

這種攻擊包括向受害者的網(wǎng)絡(luò)發(fā)送大量請(qǐng)求包仿村，而知道網(wǎng)絡(luò)將以相同數(shù)量的應(yīng)答包進(jìn)行響應(yīng)。使用ICMP請(qǐng)求關(guān)閉目標(biāo)的其他方法包括使用自定義工具或代碼兴喂，如hping和scapy蔼囊。

這對(duì)網(wǎng)絡(luò)的傳入和傳出通道都造成了壓力焚志，消耗了大量的帶寬并導(dǎo)致拒絕服務(wù)。

2.2 基于協(xié)議的DDoS攻擊

互聯(lián)網(wǎng)是基于協(xié)議的畏鼓〗闯辏基于協(xié)議的DDoS攻擊利用了第3層和第4層協(xié)議棧的弱點(diǎn)。這種類型的攻擊會(huì)消耗服務(wù)器資源或任何其他網(wǎng)絡(luò)硬件的處理能力云矫。其結(jié)果是服務(wù)中斷膳沽。

這些攻擊試圖通過發(fā)送超過服務(wù)器能夠處理的包或超過網(wǎng)絡(luò)端口能夠處理的帶寬來利用您的網(wǎng)絡(luò)堆棧。

攻擊次數(shù)以Pps (packet per second)為單位让禀。

基于協(xié)議的DDoS攻擊包括:

Ping of Death

攻擊者向服務(wù)器發(fā)送惡意ping信號(hào)挑社，操縱IP協(xié)議。這種襲擊在20世紀(jì)90年代非常常見巡揍。如今痛阻，盡管攻擊已經(jīng)發(fā)展，但仍有一些形式的Ping of Death攻擊可以針對(duì)應(yīng)用程序或硬件腮敌。這種攻擊的結(jié)果是重新引導(dǎo)或服務(wù)器完全崩潰阱当。這正是DoS攻擊不能被低估的原因:單個(gè)攻擊者可以使整個(gè)數(shù)據(jù)中心癱瘓。

Ping of Death是對(duì)計(jì)算機(jī)系統(tǒng)的一種攻擊缀皱，涉及向計(jì)算機(jī)發(fā)送畸形或惡意的ping斗这。一個(gè)正確的ping報(bào)文大小通常是56字節(jié)，考慮ICMP報(bào)頭時(shí)是64字節(jié)啤斗，包括Internet協(xié)議版本4報(bào)頭時(shí)是84字節(jié)表箭。但是，任何IPv4報(bào)文(包括ping)都可能高達(dá)65,535字節(jié)钮莲。一些計(jì)算機(jī)系統(tǒng)從來沒有被設(shè)計(jì)成能夠正確處理大于最大包大小的ping包免钻，因?yàn)樗`反了RFC 791中記錄的互聯(lián)網(wǎng)協(xié)議。與其他大型但格式良好的數(shù)據(jù)包一樣崔拥，Ping of Death在傳輸前被分成8個(gè)字節(jié)的組极舔。但是，當(dāng)目標(biāo)計(jì)算機(jī)重新組裝畸形數(shù)據(jù)包時(shí)链瓦，可能會(huì)發(fā)生緩沖區(qū)溢出拆魏，導(dǎo)致系統(tǒng)崩潰，并可能允許注入惡意代碼慈俯。

SYN洪水

攻擊者利用傳輸控制協(xié)議(TCP)連接三次握手中的弱點(diǎn)渤刃，這是客戶端、主機(jī)和服務(wù)器之間的通信過程贴膘。攻擊者向目標(biāo)服務(wù)器發(fā)送SYN包作為欺騙消息卖子，直到服務(wù)器的表內(nèi)存連接耗盡，導(dǎo)致整個(gè)服務(wù)關(guān)閉刑峡。

2.3 應(yīng)用層攻擊

這種攻擊的基礎(chǔ)通常是像Web服務(wù)器(即Windows IIS, Apache等)這樣的應(yīng)用程序;然而洋闽，應(yīng)用層攻擊已經(jīng)發(fā)展到WordPress玄柠、Joomla、Drupal诫舅、Magento等應(yīng)用平臺(tái)羽利。

應(yīng)用層攻擊的目標(biāo)是攻擊應(yīng)用程序、在線服務(wù)或網(wǎng)站骚勘。

這些攻擊通常比我們以前見過的要小铐伴。然而，應(yīng)用層攻擊的后果可能是有害的俏讹，因?yàn)樗鼈兛赡懿槐蛔⒁獾降毖纾钡絹聿患白鞒龇磻?yīng)。這就是為什么它們被稱為“低而慢的攻擊”——“l(fā)ow and slow attacks”泽疆，甚至是“慢速攻擊”——“slow-rate attacks”户矢。它們可能是無聲的、小規(guī)模的殉疼，特別是與網(wǎng)絡(luò)層攻擊相比梯浪，但它們也可能具有破壞性。

例如瓢娜，Linode挂洛、Digital Ocean或AWS (Amazon)上的小型VPS每秒可以輕松處理10萬到20萬個(gè)SYN包。然而眠砾，運(yùn)行在WordPress或Joomla CMS上的同一臺(tái)服務(wù)器在不關(guān)閉的情況下每秒只能中斷500個(gè)HTTP請(qǐng)求虏劲。這就是為什么應(yīng)用層攻擊可以造成與網(wǎng)絡(luò)應(yīng)用程序攻擊一樣大的破壞。

當(dāng)您考慮我們?cè)?.4節(jié)中討論的放大效應(yīng)時(shí)褒颈，即使是一個(gè)HTTP請(qǐng)求(攻擊者不需要花費(fèi)很多金錢或資源就可以執(zhí)行)也會(huì)導(dǎo)致服務(wù)器執(zhí)行大量內(nèi)部請(qǐng)求并加載大量文件來創(chuàng)建頁面柒巫。

應(yīng)用層攻擊(通常稱為第七層攻擊)可以是攻擊的一部分，它不僅針對(duì)應(yīng)用程序谷丸，也針對(duì)帶寬和網(wǎng)絡(luò)堡掏。

這些攻擊上升的原因之一是，惡意行為者實(shí)現(xiàn)它們的成本往往較低刨疼。在應(yīng)用層攻擊中泉唁，放大是基于CPU、內(nèi)存或資源的揩慕，而不是基于網(wǎng)絡(luò)的游两。

這些攻擊也比網(wǎng)絡(luò)層攻擊更難檢測。

你的設(shè)備漩绵，比如家用路由器，可能會(huì)被攻擊肛炮，成為DDoS攻擊的僵尸網(wǎng)絡(luò)止吐。我們發(fā)現(xiàn)了大量與物聯(lián)網(wǎng)設(shè)備相關(guān)的大規(guī)模DDoS攻擊宝踪。

應(yīng)用層攻擊包括:

針對(duì)DNS服務(wù)器的攻擊:

域名系統(tǒng)(DNS)是至關(guān)重要的網(wǎng)站基礎(chǔ)設(shè)施。DNS將信息與域名關(guān)聯(lián)起來碍扔，它們也可能成為DDoS攻擊的目標(biāo)瘩燥。

這些攻擊使用欺騙、反射和放大不同，這意味著一個(gè)很小的查詢可以在很大程度上被放大厉膀，從而產(chǎn)生以字節(jié)為單位的更大的響應(yīng)。

僵尸網(wǎng)絡(luò)被用來發(fā)送DNS請(qǐng)求二拐。如果攻擊者想要攻擊DNS服務(wù)器服鹅，它會(huì)利用網(wǎng)絡(luò)中的所有僵尸網(wǎng)絡(luò)發(fā)送DNS請(qǐng)求消息，獲取打開的遞歸DNS服務(wù)器的放大記錄百新，這些DNS服務(wù)器將域名轉(zhuǎn)換為IP地址企软。當(dāng)這是一個(gè)新的請(qǐng)求時(shí)，服務(wù)器立即向受感染的服務(wù)器發(fā)出自己的請(qǐng)求饭望，以獲取放大記錄仗哨。這種攻擊是通過欺騙來完成的，因此即使服務(wù)器從未發(fā)送過請(qǐng)求铅辞，它也會(huì)因?yàn)轫憫?yīng)而負(fù)擔(dān)過重厌漂。

這些攻擊在今天非常流行。它們發(fā)生在第3 / 4層斟珊，使用世界各地的公開可訪問的DNS服務(wù)器苇倡，以DNS響應(yīng)流量淹沒您的web服務(wù)器。您的web服務(wù)器被大量的響應(yīng)淹沒了倍宾，從而使其資源耗盡而難以正常工作雏节，使其無法響應(yīng)合法的DNS流量。

第三層DNS放大(Layer 3 DNS Amplification)是一種DDoS攻擊高职，攻擊者通過反射第三方的攻擊钩乍，隱藏目標(biāo)站點(diǎn)的攻擊源。它使用放大技術(shù)怔锌，這意味著受害者接收到的字節(jié)數(shù)超過了攻擊者發(fā)送的字節(jié)數(shù)寥粹，從而增加了攻擊的威力。

如果這些攻擊成功埃元，目標(biāo)站點(diǎn)將關(guān)閉并不可用涝涤。

第七層HTTP Flood - Cache Bypass:

第七層HTTP Flood - Cache Bypass是最聰明的攻擊類型。攻擊者試圖使用造成最大破壞的url岛杀，使網(wǎng)站在沒有緩存的情況下耗盡所有資源阔拳。例如，攻擊可以對(duì)“news”类嗤、“gov”糊肠、“faith”進(jìn)行隨機(jī)字典搜索辨宠，這將消耗網(wǎng)站的大量資源，而且不容易被發(fā)現(xiàn)货裹，因?yàn)樗雌饋硐衿胀ㄓ脩舻乃阉髁?xí)慣嗤形。

第七層HTTP Flood攻擊:

第七層HTTP Flood攻擊是一種DDoS攻擊，其主要目的是使站點(diǎn)或服務(wù)器的特定部分過載弧圆。它們很復(fù)雜赋兵，很難檢測，因?yàn)榘l(fā)送的請(qǐng)求看起來像合法的流量搔预。這些請(qǐng)求消耗服務(wù)器的資源霹期，導(dǎo)致站點(diǎn)宕機(jī)。這些請(qǐng)求也可以由機(jī)器人發(fā)送斯撮，增加攻擊的威力经伙。

關(guān)于第7層DDOS攻擊(又稱HTTP flood攻擊)，一個(gè)有趣的地方是勿锅，它們對(duì)帶寬的依賴很小帕膜，允許它們通過超載服務(wù)器資源來輕松關(guān)閉服務(wù)器。根據(jù)web服務(wù)器和應(yīng)用程序棧的不同溢十，即使是每秒少量的請(qǐng)求也會(huì)阻塞應(yīng)用程序和后端數(shù)據(jù)庫垮刹。平均來說，每秒超過100個(gè)請(qǐng)求的攻擊有可能使大多數(shù)中等規(guī)模的網(wǎng)站癱瘓张弛。

這種類型的攻擊的問題是荒典，服務(wù)器級(jí)緩存無法阻止它。傳入的url是動(dòng)態(tài)的吞鸭，對(duì)于每個(gè)不在緩存中的新請(qǐng)求寺董，應(yīng)用程序強(qiáng)制從數(shù)據(jù)庫重新加載內(nèi)容，這將創(chuàng)建一個(gè)新頁面刻剥。攻擊者知道這一點(diǎn)遮咖，這使得它成為當(dāng)今第七層DDoS攻擊的首選攻擊方法。

我們將HTTP flood(第7層DDoS嘗試)分為4大類:

基本HTTP flood:常見和簡單的攻擊造虏，試圖一次又一次地訪問同一頁面御吞。它們通常使用相同范圍的IP地址、用戶代理和引用漓藕。

隨機(jī)HTTP flood:復(fù)雜的攻擊陶珠，利用大量的IP地址池和隨機(jī)的url，用戶代理和引用享钞。

Cache-bypass HTTP flood:隨機(jī)HTTP flood的一個(gè)子類揍诽，它也試圖繞過web應(yīng)用程序緩存。

WordPress XMLRPC flood:一個(gè)使用WordPress pingback作為攻擊反射的子類別。

任何啟用了pingback的WordPress站點(diǎn)(默認(rèn)是開啟的)都可以被用來對(duì)其他站點(diǎn)進(jìn)行DDoS攻擊寝姿。

XMLRPC用于pingback交排、trackback、通過移動(dòng)設(shè)備的遠(yuǎn)程訪問和許多其他特性饵筑。然而，它也可能被攻擊者嚴(yán)重濫用处坪。

可能發(fā)生的情況是根资，其他WordPress網(wǎng)站可能會(huì)大量發(fā)送隨機(jī)請(qǐng)求，導(dǎo)致網(wǎng)站癱瘓同窘。

一個(gè)攻擊者可以使用數(shù)千個(gè)干凈的WordPress安裝來執(zhí)行DDoS攻擊玄帕，只需對(duì)XML-RPC文件發(fā)出一個(gè)簡單的pingback請(qǐng)求。換句話說想邦，在Linux中一個(gè)簡單的命令就可以發(fā)動(dòng)大規(guī)模的攻擊裤纹。

如果你有興趣了解更多關(guān)于合法的WordPress網(wǎng)站被濫用來執(zhí)行DDoS攻擊的信息，請(qǐng)閱讀這篇博客文章:超過162,000個(gè)WordPress網(wǎng)站被用于分布式拒絕服務(wù)攻擊丧没。

3. DDoS攻擊的動(dòng)機(jī)是什么?

3.1 DDoS勒索贖金

贖金活動(dòng)可能是非秤ソ罚可怕的，特別是當(dāng)他們之后是一個(gè)巨大的DDoS活動(dòng)呕童。

一些攻擊者使用的策略是先向網(wǎng)站所有者發(fā)送一封電子郵件漆际，然后進(jìn)行小規(guī)模的DDoS攻擊，這種攻擊可以持續(xù)很短的時(shí)間夺饲。

以下是贖金活動(dòng)中使用的電子郵件的一些例子:

在發(fā)送贖金郵件之前奸汇，第一次DDoS攻擊的目的是為了表明，如果網(wǎng)站所有者不支付贖金往声，事情會(huì)變得更糟擂找。更嚴(yán)重的DDoS攻擊通常緊隨第一個(gè)攻擊之后，如果沒有可靠的WAF浩销，它們可能會(huì)讓網(wǎng)站癱瘓贯涎。

這種勒索活動(dòng)始于2014年，主要集中在比特幣交易網(wǎng)站和金融機(jī)構(gòu)撼嗓。然而柬采，這場運(yùn)動(dòng)不斷發(fā)展，已經(jīng)威脅到更多中等規(guī)模的網(wǎng)站且警。

阻止DDoS攻擊的贖金價(jià)格從小額到巨額不等粉捻。贖金通常是用比特幣支付的。

我們對(duì)所有人的建議是斑芜，永遠(yuǎn)不要支付贖金肩刃，因?yàn)閻阂庑袨檎咄ㄟ^這些活動(dòng)賺的錢越多，他們創(chuàng)造和釋放的活動(dòng)就越多。

與所有勒索軟件一樣盈包，最好的選擇是在網(wǎng)站受到攻擊之前做好備份和保護(hù)沸呐。

3.2? 黑客行動(dòng)主義

黑客行動(dòng)主義是指黑客為了傳播信息而發(fā)動(dòng)攻擊。

這種網(wǎng)站攻擊的動(dòng)機(jī)也許是最難理解的呢燥。與其他攻擊類似崭添，這些攻擊的驅(qū)動(dòng)因素是金錢或?yàn)E用。然而叛氨，當(dāng)黑客行動(dòng)主義發(fā)生時(shí)呼渣，其目的通常是為了抗議宗教或政治議程。

黑客可以通過DDoS攻擊向黑客社區(qū)的同行炫耀寞埠，以此作為炫耀的權(quán)利屁置。

許多DDoS攻擊的目標(biāo)是政府、金融或商業(yè)網(wǎng)站仁连。例如蓝角，黑客可以DDoS攻擊一個(gè)網(wǎng)站，以出于政治原因關(guān)閉它饭冬。如果發(fā)生在知名組織身上使鹅，黑客就有機(jī)會(huì)聲稱對(duì)攻擊負(fù)責(zé)，并發(fā)表聲明伍伤。

3.3? 定向攻擊

雇傭黑客可以被用來破壞網(wǎng)站的聲譽(yù)并徘，或者給營銷團(tuán)隊(duì)帶來痛苦。這通常是為較大的企業(yè)保留的扰魂，但并不總是規(guī)則麦乞。舉個(gè)例子，想想福布斯的黑客事件劝评。最近有很多此類黑客攻擊的例子姐直，他們成為攻擊目標(biāo)的原因也很明顯。進(jìn)入這些環(huán)境所需要的努力水平是指數(shù)級(jí)的困難蒋畜。

DDoS攻擊在競爭企業(yè)中很流行声畏。它們可以用于對(duì)抗大的或小的站點(diǎn)，可以是由競爭姻成、純粹的無聊或需要挑戰(zhàn)驅(qū)動(dòng)的插龄。這些攻擊的范圍從非常簡單到非常復(fù)雜，其目的是破壞一個(gè)網(wǎng)站的可用性科展。

3.4? 純粹無聊

有些事情總是讓人們猝不及防均牢，人們攻擊一個(gè)網(wǎng)站純粹是出于無聊和娛樂。說這些黑客總是很年輕是不公平的才睹，但是這些攻擊者大部分時(shí)間都是精通計(jì)算機(jī)的青少年徘跪，他們有的是時(shí)間甘邀。

這類黑客也被稱為“腳本小子”，因?yàn)樗麄兊哪挲g垮庐，他們有時(shí)只使用腳本DDoS網(wǎng)站松邪。只需要一個(gè)預(yù)先編寫好的腳本和一些命令，就可以針對(duì)目標(biāo)網(wǎng)站啟動(dòng)受感染計(jì)算機(jī)的網(wǎng)絡(luò)哨查。

如果某人在電腦前感到無聊逗抑，那么創(chuàng)建一個(gè)大型的DDoS攻擊聽起來像是一個(gè)有趣的挑戰(zhàn)。讓整個(gè)業(yè)務(wù)下線是讓“腳本小子”(script kiddy)更強(qiáng)大寒亥。

4 DDoS攻擊對(duì)站點(diǎn)所有者的影響

大多數(shù)網(wǎng)站所有者將很難理解DDoS攻擊的復(fù)雜細(xì)節(jié)锋八。并不是說他們需要了解所有的事情，而是期望他們已經(jīng)實(shí)施的安全控制能夠充分地解決問題护盈。不幸的是，并不是所有的保護(hù)措施都能阻止DDoS攻擊的發(fā)生羞酗。

一個(gè)網(wǎng)站所有者可以嘗試登錄一天腐宋，發(fā)現(xiàn)網(wǎng)站沒有打開，或者他們可以收到一個(gè)錯(cuò)誤信息:

這對(duì)于一個(gè)依靠內(nèi)容分銷或廣告收入為生的博客寫手來說可能是災(zāi)難性的檀轨。想象一下胸竞，如果一個(gè)企業(yè)的收入依賴于他的電子商務(wù)網(wǎng)站，會(huì)發(fā)生什么参萄。

你準(zhǔn)備如何處理這件事?“我的主人會(huì)處理這件事”的答案是不正確的卫枝。

大多數(shù)主機(jī)都沒有準(zhǔn)備好解決基于應(yīng)用程序的攻擊問題。這也不是在應(yīng)用程序?qū)咏鉀Q的問題讹挎。事實(shí)上校赤，由于這些工具的資源密集型本質(zhì)以及整個(gè)宿主生態(tài)系統(tǒng)，任何試圖阻止這些問題的應(yīng)用程序安全工具都可能成為問題的一部分筒溃，因?yàn)樾枰谋镜刭Y源马篮。

這對(duì)于共享主機(jī)帳戶尤其具有挑戰(zhàn)性，因?yàn)楣敉环?wù)器上的另一個(gè)網(wǎng)站會(huì)迫使整個(gè)服務(wù)器被禁用怜奖，無意中影響到其他網(wǎng)站浑测。

5 如何防止DDoS攻擊

我們已經(jīng)詳細(xì)討論了什么是DDoS攻擊，以及DDoS攻擊的典型類型歪玲。

現(xiàn)在我們將花一些時(shí)間來討論如何保護(hù)您的站點(diǎn)免受ddos攻擊迁央。

5.1 激活網(wǎng)站應(yīng)用防火墻，防止DDoS攻擊

一個(gè)網(wǎng)站應(yīng)用防火墻(WAF)阻止惡意流量遠(yuǎn)離你的網(wǎng)站滥崩。它是位于你的網(wǎng)站和它所接收的流量之間的一層保護(hù)岖圈。

網(wǎng)站應(yīng)用程序防火墻是針對(duì)網(wǎng)站的特定應(yīng)用程序防火墻，它超越了在網(wǎng)絡(luò)級(jí)別傳輸?shù)臄?shù)據(jù)包的元數(shù)據(jù)夭委。他們關(guān)注的是傳輸中的數(shù)據(jù)幅狮。創(chuàng)建應(yīng)用程序防火墻是為了理解每種協(xié)議(如SMTP和HTTP)允許的數(shù)據(jù)類型募强。

考慮到保護(hù)任何網(wǎng)站免受DDoS攻擊和其他網(wǎng)站破壞，我們開發(fā)了自己的專有WAF崇摄。Sucuri防火墻是一款基于云計(jì)算的軟件即服務(wù)(SaaS)網(wǎng)站應(yīng)用防火墻(WAF)和入侵防御系統(tǒng)(IPS)擎值。

Sucuri防火墻作為反向代理，攔截和檢查所有進(jìn)入網(wǎng)站的超文本傳輸協(xié)議/安全(HTTP/HTTPS)請(qǐng)求逐抑。通過這種方式鸠儿，Sucuri WAF可以在到達(dá)服務(wù)器之前剝離Sucuri網(wǎng)絡(luò)邊緣的惡意請(qǐng)求。

您可以根據(jù)需要定制Sucuri防火墻厕氨。我們還提供緊急DDoS保護(hù)網(wǎng)站遭受DDoS攻擊进每。Sucuri WAF增加了一個(gè)瀏覽器挑戰(zhàn)，以驗(yàn)證流量是來自瀏覽器還是腳本命斧。

5.2 國家封鎖

大多數(shù)網(wǎng)站攻擊來自特定的國家田晚，如中國、俄羅斯和土耳其国葬。雖然我們沒有反對(duì)這些國家贤徒，Sucuri防火墻給你選擇阻止他們與你的網(wǎng)站互動(dòng)(POST)。

你可以很容易地在我們的防火墻儀表板上啟用這個(gè)選項(xiàng)汇四，這樣來自這些國家的IP地址仍然可以查看所有內(nèi)容接奈，但他們將不能注冊(cè)，提交評(píng)論通孽，或嘗試登錄序宦。它基本上是只讀模式。

5.3? 監(jiān)控流量

監(jiān)控你的網(wǎng)站流量背苦，了解流量高峰和DDoS攻擊是至關(guān)重要的互捌。正如我們之前所解釋的，當(dāng)有大量的流量到達(dá)服務(wù)器時(shí)糠惫，就會(huì)發(fā)生DDoS攻擊疫剃。如果你的網(wǎng)站在一天內(nèi)獲得100萬新用戶，那就太好了硼讽，但這不是很可疑嗎?

出口流量比例的急劇增加是DDoS攻擊的危險(xiǎn)信號(hào)巢价。我們強(qiáng)烈建議您使用監(jiān)視工具，并經(jīng)常檢查日志固阁。

Sucuri有一個(gè)監(jiān)控平臺(tái)壤躲，這是一個(gè)針對(duì)網(wǎng)站的基于云的危害檢測系統(tǒng)(CDS)。我們的監(jiān)控掃描儀不斷檢查您的網(wǎng)站备燃，如果它檢測到任何可疑的東西碉克，警告您。這可以讓你迅速采取行動(dòng)并齐，減少任何對(duì)你的交通的負(fù)面影響漏麦。

Sucuri還在防火墻上提供了一個(gè)入侵檢測系統(tǒng)(IDS)客税，用來防止DDoS攻擊使你的網(wǎng)站癱瘓或中斷。

5.4 阻斷應(yīng)用層DDoS攻擊

針對(duì)應(yīng)用層的DDoS攻擊通常采取謹(jǐn)慎和秘密的方式撕贞，使得它們更難被檢測到更耻。一開始，他們甚至可能被流量高峰所誤導(dǎo)捏膨。

它們是當(dāng)今最常見的攻擊秧均，影響所有的組織，無論其規(guī)模大小号涯。任何網(wǎng)站都可能成為這些攻擊的受害者目胡，因?yàn)樗鼈兇蠖嗍亲詣?dòng)化的。Sucuri防火墻的一個(gè)特性是阻止應(yīng)用層DDoS攻擊链快。

5.5 當(dāng)網(wǎng)站受到DDoS攻擊時(shí)誉己，注意其他攻擊

DDoS攻擊也可以作為其他攻擊的轉(zhuǎn)移，特別是當(dāng)惡意行為者針對(duì)金融機(jī)構(gòu)發(fā)起攻擊時(shí)域蜗。當(dāng)所有人的目光都集中在DDoS攻擊上時(shí)巫延，數(shù)據(jù)盜竊就可能發(fā)生。

5.6 DDoS攻擊怎么辦?

您需要有一個(gè)DDoS緩解計(jì)劃地消，例如網(wǎng)站應(yīng)用程序防火墻(WAF)。

Sucuri提供了一個(gè)網(wǎng)站安全平臺(tái)畏妖，這是一個(gè)管理的安全服務(wù)提供商的網(wǎng)站脉执。我們的云平臺(tái)為您提供完整的網(wǎng)站安全，包括一個(gè)反病毒和防火墻為您的網(wǎng)站戒劫。

我們監(jiān)控安全事件半夷，修復(fù)網(wǎng)站黑客，并保護(hù)您的網(wǎng)站迅细，以防止黑客巫橄。這個(gè)平臺(tái)還能讓你的網(wǎng)站快速運(yùn)行，確保運(yùn)營的連續(xù)性茵典。

我們的安全運(yùn)營團(tuán)隊(duì)每天都會(huì)調(diào)查并減輕多次拒絕服務(wù)(DDoS)攻擊湘换。