來源：https://www.cyber.nj.gov/alerts-advisories/ddos-attack-types-and-mitigation-strategies

https://us-cert.cisa.gov/sites/default/files/publications/DDoS%20Quick%20Guide.pdf

https://bdtechtalks.com/2020/09/19/top-5-ddos-attacks-in-history/

https://javapipe.com/blog/ddos-types/

https://www.globaldots.com/resources/blog/types-of-ddos-attacks/#:~:text=When%20it%20comes%20to%20measuring%20the%20DDoS%20attack,the%20magnitude%20is%20measured%20in%20bits%20per%20second.

在過去的幾個月里，NJCCIC注意到分布式拒絕服務(wù)(DDOS)攻擊的數(shù)量有了顯著的上升赡模，在這些攻擊中策橘，數(shù)千個被惡意軟件感染的系統(tǒng)被用來涌入組織的網(wǎng)絡(luò)，從而阻止或削弱了目標(biāo)網(wǎng)絡(luò)族淮、系統(tǒng)或應(yīng)用程序的授權(quán)使用。在某些情況下，這些DDOS攻擊導(dǎo)致組織無法執(zhí)行關(guān)鍵的業(yè)務(wù)功能痪枫。

新冠肺炎疫情發(fā)生以來垛吗，許多組織轉(zhuǎn)向遠(yuǎn)程辦公凹髓。企業(yè)、學(xué)校甚至個人在工作和日常生活的各個方面都越來越依賴于在線服務(wù)怯屉。自今年3月以來蔚舀，NJCCIC發(fā)現(xiàn)各種各樣的網(wǎng)絡(luò)攻擊相應(yīng)增加，包括與新冠病毒相關(guān)的垃圾郵件活動和更險(xiǎn)惡的勒索軟件攻擊锨络。最近赌躺，學(xué)校系統(tǒng)成為DDOS攻擊的目標(biāo)。當(dāng)許多學(xué)校都在遠(yuǎn)程操作時(shí)羡儿，DDOS攻擊會使學(xué)校的在線資源無法操作礼患，學(xué)生、教師和管理員也無法使用掠归。然而缅叠，最近DDOS攻擊的上升并不局限于學(xué)校。許多私營和公共部門的組織也成為DDOS攻擊者的目標(biāo)虏冻。

DDOS攻擊的動機(jī)各不相同肤粱。針對電子商務(wù)網(wǎng)站和在線業(yè)務(wù)的DDOS威脅是一種常見的勒索策略，威脅者出于經(jīng)濟(jì)利益的動機(jī)而使用厨相。DDOS攻擊也是在勒索軟件案件中用來迫使立即付款的另一種策略;然而领曼，經(jīng)濟(jì)利益并不是唯一的動機(jī)。在某些情況下领铐，黑客主義悯森、網(wǎng)絡(luò)戰(zhàn)和報(bào)復(fù)是潛在的動機(jī)。一些復(fù)雜的威脅行動者會對一個組織進(jìn)行DDOS攻擊绪撵，以引起對DDOS攻擊的關(guān)注瓢姻，同時(shí)也會進(jìn)行其他未被發(fā)現(xiàn)的攻擊。另一方面音诈，DDOS攻擊可能以惡作劇的形式進(jìn)行幻碱，類似于拉響火警或打電話向?qū)W校發(fā)出炸彈威脅绎狭，以逃避考試。在某些情況下褥傍，DDOS攻擊是由于網(wǎng)絡(luò)設(shè)備或系統(tǒng)的錯誤配置造成的儡嘶，或者是意外的。無論是企業(yè)恍风、政府機(jī)構(gòu)還是學(xué)校蹦狂，DDOS攻擊的負(fù)面影響是真實(shí)存在的，而且還在不斷增長朋贬。因此凯楔，組織必須在其網(wǎng)絡(luò)安全計(jì)劃中包括DDOS攻擊預(yù)防和恢復(fù)。

一锦募、攻擊類型

有各種類型的DDOS攻擊可以對目標(biāo)組織造成破壞摆屯。在本文中，我們將攻擊類型組織為三組:容量攻擊（volumetric）糠亩、協(xié)議攻擊（protocol）和應(yīng)用程序攻擊（application）虐骑，同時(shí)承認(rèn)這三種類型之間的區(qū)別是模糊的。通常赎线，攻擊者會同時(shí)使用所有三種類型廷没，以確保他們的攻擊盡可能具有破壞性。

1.1容量攻擊

容量DDOS攻擊是最常見和最具破壞性的攻擊氛驮。容量攻擊用大量的網(wǎng)絡(luò)流量使網(wǎng)絡(luò)不堪重負(fù)腕柜，從而耗盡目標(biāo)組織的資源。在容量攻擊中矫废，攻擊者通常會使用大量被惡意軟件感染的系統(tǒng)——稱為機(jī)器人（bots）——來攻擊一個組織。UDP (User Datagram Protocol砰蠢，用戶數(shù)據(jù)報(bào)協(xié)議)和ICMP (Internet Control Message Protocol, Internet Control Message Protocol, Internet Control Message Protocol) floods是一種常見的進(jìn)行容量攻擊的手段蓖扑。UDP和ICMP是無連接協(xié)議，允許在不進(jìn)行完整性檢查的情況下快速傳輸數(shù)據(jù)台舱，不幸的是律杠，這使它們成為攻擊者的主要工具。容量攻擊通常也使用反射（reflection）和放大（?amplification）技術(shù)來覆蓋目標(biāo)網(wǎng)絡(luò)/服務(wù)竞惋。UDP容量攻擊的一種類型是網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)反射和放大DDOS攻擊柜去，攻擊者利用數(shù)千機(jī)器人欺騙目標(biāo)系統(tǒng)的IP地址，同時(shí)向Internet上的合法NTP服務(wù)器發(fā)出NTP請求拆宛。結(jié)果是大量的流量從NTP服務(wù)器流向目標(biāo)系統(tǒng)嗓奢，超過目標(biāo)系統(tǒng)。

Acunetix

在容量攻擊中浑厚，更多的機(jī)器人和服務(wù)器被招募來攻擊一個給定的目標(biāo)股耽，確保幾乎任何網(wǎng)絡(luò)都不堪重負(fù)根盒。谷歌最近公布，2017年遭受了有史以來最大的DDOS攻擊——2.54Tbps物蝙。關(guān)于DDoS攻擊數(shù)量呈指數(shù)級增長的報(bào)告描繪了DDoS威脅的一幅清晰的畫面炎滞。由于容量攻擊使目標(biāo)網(wǎng)絡(luò)的帶寬飽和，它們通常以每秒比特(bps)來度量诬乞。

Google

1.2協(xié)議攻擊

協(xié)議攻擊的目的是通過向給定的目標(biāo)網(wǎng)絡(luò)/服務(wù)發(fā)送大量連續(xù)的畸形連接請求來消耗其所有資源册赛。SYN flood是一種常見的協(xié)議攻擊。在兩臺計(jì)算機(jī)之間建立連接的普通三次握手中震嫉，客戶端計(jì)算機(jī)向主機(jī)發(fā)送一個SYN請求击奶。主機(jī)通過發(fā)送回SYN-ACK消息來確認(rèn)SYN請求，然后客戶端計(jì)算機(jī)通過發(fā)送ACK消息來確認(rèn)SYN-ACK以建立與主機(jī)的連接责掏。在SYN flood攻擊中柜砾，大量的SYN包被發(fā)送到目標(biāo)服務(wù)器上的每個端口，使用一個欺騙的IP地址换衬。主機(jī)響應(yīng)一個SYN- ack痰驱，但是因?yàn)樽畛醯腟YN包被欺騙了，所以客戶端沒有響應(yīng)瞳浦。最終担映，主機(jī)的端口會因?yàn)榘腴_放的連接而不堪重負(fù)，因此叫潦，合法的連接請求將被拒絕蝇完。除了SYN flood攻擊外，還有許多其他類似的協(xié)議攻擊矗蕊，包括Ping of Death短蜕、Smurf DDOS等。協(xié)議攻擊會消耗防火墻傻咖、負(fù)載均衡器和服務(wù)器等網(wǎng)絡(luò)設(shè)備的處理資源朋魔，通常以每秒包數(shù)(pps)來衡量。

Imperva???

1.3應(yīng)用層攻擊

應(yīng)用程序攻擊的目標(biāo)是組織的web應(yīng)用程序卿操，攻擊者向該應(yīng)用程序發(fā)送大量看似合法的處理請求警检。這些攻擊要求應(yīng)用程序使用CPU和內(nèi)存資源，直到這些資源耗盡并且應(yīng)用程序無法響應(yīng)任何請求為止害淤。一個電子商務(wù)網(wǎng)站扇雕，向購物車中添加商品和結(jié)賬的過程在計(jì)算上是昂貴的。攻擊者使用大量并發(fā)請求來攻擊這些應(yīng)用程序進(jìn)程窥摄，可能耗盡目標(biāo)系統(tǒng)的資源并使服務(wù)器崩潰镶奉。應(yīng)用層攻擊通常以每秒請求數(shù)(rps)來衡量。

二、準(zhǔn)備和預(yù)防

任何擁有面向互聯(lián)網(wǎng)服務(wù)的組織都可能成為DDOS攻擊的目標(biāo)腮鞍。因此值骇，有一個事件響應(yīng)計(jì)劃來解釋針對您的組織的DDOS攻擊是至關(guān)重要的。事件響應(yīng)計(jì)劃的準(zhǔn)備階段包括為預(yù)防和準(zhǔn)備應(yīng)對攻擊而實(shí)施的所有活動和控制移国。通常吱瘩，對DDOS攻擊的響應(yīng)包括與您的互聯(lián)網(wǎng)服務(wù)提供商(ISP)或DDOS緩解服務(wù)提供商合作，以協(xié)助偏轉(zhuǎn)或清除針對您的網(wǎng)絡(luò)的DDOS流量迹缀。在任何攻擊之前與這些提供商建立關(guān)系將有助于您預(yù)防和快速響應(yīng)攻擊使碾。

為了減少攻擊的風(fēng)險(xiǎn)，組織可以采取許多行動祝懂。這份清單雖然不全面票摇，但將為評估和管理風(fēng)險(xiǎn)提供指導(dǎo)。

（1）確保您的信息安全計(jì)劃包括容量和性能規(guī)劃策略和標(biāo)準(zhǔn)砚蓬，以便您的網(wǎng)絡(luò)矢门、系統(tǒng)和應(yīng)用程序滿足業(yè)務(wù)需求，并以減輕容量和性能限制風(fēng)險(xiǎn)的方式實(shí)現(xiàn)灰蛙。

（2）對面向互聯(lián)網(wǎng)的服務(wù)進(jìn)行分類祟剔，并對那些需要防范DDOS攻擊的服務(wù)進(jìn)行排序。

（3）確保網(wǎng)絡(luò)容量適宜摩梧。隨著向遠(yuǎn)程工作的轉(zhuǎn)變物延，組織正在使用更多的帶寬。您的組織的帶寬是否已經(jīng)增加仅父，以應(yīng)對這種擴(kuò)展的使用情況?網(wǎng)絡(luò)硬件是否能夠處理流量的增加?

（4）限制攻擊面叛薯。不要向互聯(lián)網(wǎng)公開不必要的端口或服務(wù)，這會使它們成為潛在的目標(biāo)笙纤。大多數(shù)組織沒有必要向公共互聯(lián)網(wǎng)公開NTP耗溜。在路由器上丟棄流量，或者讓ISP從網(wǎng)絡(luò)上游丟棄流量粪糙。類似地强霎，如果沒有合法的業(yè)務(wù)需要，就放棄或限制分配給其他有風(fēng)險(xiǎn)的協(xié)議的帶寬蓉冈。需要考慮的風(fēng)險(xiǎn)協(xié)議包括Chargen、SMB轩触、ICMP寞酿、SSDP、rpcBind脱柱、Ripv1伐弹、CLDAP等。

（5）對所有網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行軟件和固件更新榨为，并確保及時(shí)應(yīng)用安全補(bǔ)丁惨好。

（6）實(shí)現(xiàn)安全的編碼實(shí)踐以最小化風(fēng)險(xiǎn)并確保應(yīng)用程序的組件高效執(zhí)行煌茴。

（7）使用多個isp來提供冗余和/或分配負(fù)載。一些組織使用一個ISP提供面向公眾的網(wǎng)站和服務(wù)日川，而使用另一個ISP提供VPN和其他內(nèi)部業(yè)務(wù)功能蔓腐。

（8）如上所述，提前與ISP接觸龄句，了解他們可以提供哪些保護(hù)和補(bǔ)救幫助回论。

（9）考慮與DDOS緩解服務(wù)提供商簽訂合同，后者監(jiān)視并自動響應(yīng)針對您的資源的攻擊分歇。在使用此類服務(wù)時(shí)傀蓉，請確保充分了解其服務(wù)水平協(xié)議，其中包括檢測閾值和緩解時(shí)間职抡。