分布式拒绝服务攻击 (DDoS) 定义

分布式拒绝服务 (DDoS) 攻击是一种恶意尝试，通常通过暂时中断或暂停其托管服务器的服务来使用户无法使用在线服务。

DDoS 攻击是从众多受感染的设备发起的，这些设备通常分布在全球范围内，形成所谓的 僵尸网络。它与其他拒绝服务 (DoS) 攻击不同，因为它使用单个 Internet 连接设备（一个网络连接）向目标发送大量恶意流量。这种细微差别是这两个略有不同的定义存在的主要原因。

这是有关黑客攻击的广泛指南系列的一部分

从广义上讲，DoS和DDoS攻击可以分为三种类型：

基于流量的攻击
包括 UDP 泛洪、ICMP 泛洪和其他欺骗数据包泛洪。攻击的目标是使受攻击站点的带宽饱和，攻击强度以每秒位数 (Bps) 来衡量。

协议攻击 
包括 SYN 洪水、分段数据包攻击、Ping of Death、Smurf DDoS 等。此类攻击会消耗实际服务器资源或中间通信设备（例如防火墙和负载平衡器）的资源，并以每秒数据包 (Pps) 来衡量。

应用层攻击 
包括低速慢速攻击、GET/POST 洪水、针对 Apache、Windows 或 OpenBSD 漏洞的攻击等。这些攻击由看似合法且无辜的请求组成，其目标是使Web服务器崩溃，其攻击强度以每秒请求数 (Rps) 来衡量。

常见的DDoS攻击类型

一些最常用的 DDoS 攻击类型包括：

UDP洪水

根据定义，UDP 洪水是指使用用户数据报协议 (UDP) 数据包淹没目标的任何 DDoS 攻击。攻击的目标是淹没远程主机上的随机端口。这会导致主机重复检查在该端口侦听的应用程序，并（当未找到应用程序时）回复 ICMP“目标无法到达”数据包。此过程会消耗主机资源，最终导致无法访问。

ICMP (Ping) 洪水

与 UDP 洪水攻击原理类似，ICMP 洪水通过 ICMP 回显请求 (ping) 数据包淹没目标资源，通常会尽快发送数据包，而不等待回复。这种类型的攻击会消耗传出和传入带宽，因为受害者的服务器经常尝试使用 ICMP Echo Reply 数据包进行响应，从而导致整体系统显着变慢。

同步洪水

SYN 洪水 DDoS 攻击利用TCP连接序列中的已知弱点（“三向握手”），其中发起与主机的 TCP 连接的 SYN 请求必须由该主机的 SYN-ACK 响应来应答，并且然后由请求者的 ACK 响应进行确认。在SYN洪水场景中，请求者发送多个SYN请求，但要么不响应主机的SYN-ACK响应，要么从欺骗的IP地址发送SYN请求。无论哪种方式，主机系统都会继续等待每个请求的确认，绑定资源，直到无法建立新连接，并最终导致 拒绝服务。

死亡之平

死亡 ping (“POD”) 攻击涉及黑客向计算机发送多个格式错误或恶意的 ping 。IP 数据包（包括标头）的最大数据包长度为 65,535 字节。然而，数据链路层通常对最大帧大小有限制，例如以太网上的 1500 字节。在这种情况下，一个大的 IP 数据包被分成多个 IP 数据包（称为片段），接收主机将 IP 片段重新组装成完整的数据包。在Ping of Death 场景中，在恶意操纵片段内容后，接收者最终会得到一个重新组装后大于 65,535 字节的 IP 数据包。这可能会溢出为数据包分配的内存缓冲区，导致合法数据包拒绝服务。

斯洛洛里斯

Slowloris是一种针对性很强的攻击，使一台 Web 服务器能够瘫痪另一台服务器，而不会影响目标网络上的其他服务或端口。Slowloris 通过尽可能长时间地保持与目标 Web 服务器的连接打开来实现此目的。它通过创建到目标服务器的连接但仅发送部分请求来实现此目的。Slowloris 不断发送更多 HTTP 标头，但从未完成请求。目标服务器将每个错误连接保持打开状态。这最终会溢出最大并发连接池，并导致拒绝来自合法客户端的其他连接。

NTP 放大

在 NTP 放大攻击中，攻击者利用可公开访问的网络时间协议 (NTP) 服务器来通过 UDP 流量淹没目标服务器。该攻击被定义为放大攻击，因为此类场景中的查询与响应之比介于 1:20 和 1:200 之间或更高。这意味着任何获取开放 NTP 服务器列表（例如，通过使用 Metasploit 等工具或来自开放 NTP 项目的数据）的攻击者都可以轻松生成毁灭性的高带宽、高容量 DDoS 攻击。

HTTP 洪水

在 HTTP 洪水 DDoS 攻击中，攻击者利用看似合法的 HTTP GET 或 POST 请求来攻击 Web 服务器或应用程序。HTTP 洪水不使用格式错误的数据包、欺骗或反射技术，并且比其他攻击需要更少的带宽来瘫痪目标站点或服务器。当攻击迫使服务器或应用程序分配尽可能多的资源来响应每个请求时，攻击是最有效的。

LvBug缓解了大规模 HTTP 洪水：来自 180,000 个僵尸网络 IP 的690,000,000 个 DDoS 请求。

零日 DDoS 攻击

“零日”定义涵盖所有未知或新的攻击，利用尚未发布补丁的漏洞。该术语在黑客服務社区成员中众所周知，零日漏洞交易已成为一种流行的活动。

DDoS 攻击背后的动机

根据最近的市场研究，DDoS 攻击正迅速成为最普遍的网络威胁类型，在过去一年中其数量和数量均迅速增长。趋势是攻击持续时间更短，但每秒数据包攻击量更大。

攻击者的主要动机是：

• 意识形态——所谓的“黑客技術活动主义者”使用 DDoS 攻击作为针对他们在意识形态上不同意的网站的手段。
• 企业争斗– 企业可以使用 DDoS 攻击来战略性地摧毁竞争对手的网站，例如阻止他们参加网络星期一等重大活动。
• 无聊– 网络破坏者，又名“脚本小子”，使用预先编写的脚本发起 DDoS 攻击。这些攻击的肇事者通常是无聊的、想成为寻求刺激的黑客。绝大部分无论的黑客都是从黑客網站或者黑客論壇下载软件获取！
• 勒索– 犯罪者使用 DDoS 攻击或 DDoS 攻击威胁作为向目标勒索金钱的手段。
• 网络战– 政府授权的 DDoS 攻击可用于削弱反对派网站和敌国的基础设施。

用于网络破坏的“入门级”DoS 攻击工具

LvBug 解决方案减轻 DDoS 损害

LvBug无缝、全面地保护网站免受所有三种类型的 DDoS 攻击，并通过独特的工具集和防御策略应对每种攻击：

基于流量的攻击
LvBug通过利用全球清理中心网络吸收这些攻击来应对这些攻击，该网络可按需扩展以应对数千兆字节的 DDoS 攻击。

协议攻击
LvBug通过在“不良”流量到达站点之前将其阻止，利用区分合法网站访问者（人类、搜索引擎等）和自动或恶意客户端的访问者识别技术来缓解此类攻击。

应用层攻击
ILvBug通过监控访问者行为、阻止已知的恶意机器人以及通过 JS 测试、Cookie 挑战甚至验证码挑战可疑或无法识别的实体来缓解应用层攻击。

ILvBug缓解了 250GBps DDoS 攻击——互联网最大的攻击之一。

 在所有这些场景中，LvBug在网络外部应用其 DDoS 保护解决方案，这意味着只有经过过滤的流量才能到达您的主机。此外，LvBug维护着广泛的 DDoS 威胁知识库，其中包括新兴的攻击方法。这些不断更新的信息在我们的整个网络中进行汇总，识别出现的新威胁，检测已知的恶意用户，并在所有受LvBug保护的网站上实时应用补救措施。

请参阅我们有关关键网络安全主题的附加指南

我们与我们的内容合作伙伴一起编写了有关其他几个主题的深入指南，这些指南在您探索网络安全世界时也很有用。

DDoS 防护

• 如何阻止 DDoS 攻击：选择正确的解决方案
• DDoS 缓解：如何选择正确的缓解服务
• 如何防止 DDoS 攻击

开放式数据中心

作者：弗朗特格

• 身份验证冲突：OIDC 与 SAML
• 用户管理遭遇：OIDC 与 OAuth2

网络防火墙

作者：卡托

• 防火墙安全：了解您的选择
• 什么是 UTM 防火墙以及它之外的内容是什么？