IT 行業(yè)最近見證了分布式拒絕服務(wù) (DDoS) 攻擊的穩(wěn)步增長。 多年前，DDoS 攻擊被認(rèn)為是新手攻擊者犯下的小麻煩，他們這樣做是為了好玩，并且相對容易緩解它們。 不幸的是，這種情況已經(jīng)不復(fù)存在了。 DDoS 攻擊現(xiàn)在是一項(xiàng)復(fù)雜的活動，在許多情況下是一項(xiàng) 大生意 。

InfoSecurity Magazine 報告稱 ，2021 年第一季度有 290 萬次 DDoS 攻擊，比 2020 年同期增長 31%。

與 2020 年同期相比，2021 年第一季度的 DDoS 攻擊增加了 31%，達(dá)到 290 萬次

近年來，我們看到 呈指數(shù)級增長 ，導(dǎo)致企業(yè)在很長一段時間內(nèi)無法運(yùn)作。

• 2020 年 2 月，亞馬遜網(wǎng)絡(luò)服務(wù) (AWS) 遭受了一次復(fù)雜的 DDoS 攻擊，導(dǎo)致其事件響應(yīng)團(tuán)隊持續(xù)數(shù)日忙碌，這也影響了全球客戶。
• 2021 年 2 月，EXMO 加密貨幣交易所成為 DDoS 攻擊的受害者，導(dǎo)致該組織近五個小時無法運(yùn)營。
• 最近，澳大利亞經(jīng)歷了一次重大的、 持續(xù)的、由國家支持的 DDoS 攻擊 。
• 比利時也成為針對該國議會、 警察部門和大學(xué) 。

每天都會發(fā)生數(shù)十萬次未命名、未記錄但成功的 DDoS 攻擊。 事實(shí)上，正是這些攻擊是最有效和最昂貴的。 DDoS 上升趨勢 有望繼續(xù) ，這使得具有緩解技能的 IT 專業(yè)人員需求量很大。

激烈的 IT 戰(zhàn)：什么是 DDoS 攻擊？

盡管變得越來越普遍，但 DDoS 攻擊可能非常先進(jìn)且難以打擊。 但究竟什么是 DDoS 攻擊，DDoS 代表什么？

DDoS 是分布式拒絕服務(wù)的縮寫。 當(dāng)威脅參與者使用來自多個遠(yuǎn)程位置的資源來攻擊組織的在線操作時，就會發(fā)生 DDoS 攻擊。 通常，DDoS 攻擊側(cè)重于生成操縱 網(wǎng)絡(luò)設(shè)備和服務(wù)（例如，路由器、命名服務(wù)或緩存服務(wù)）的默認(rèn)設(shè)置，甚至正常工作。 事實(shí)上，這是主要問題。

復(fù)雜的 DDoS 攻擊不一定要利用默認(rèn)設(shè)置或開放中繼。 他們利用正常行為并利用在當(dāng)今設(shè)備上運(yùn)行的協(xié)議最初是如何設(shè)計運(yùn)行的。 就像社會工程師操縱人類交流的默認(rèn)運(yùn)作方式一樣，DDoS 攻擊者操縱我們都依賴和信任的網(wǎng)絡(luò)服務(wù)的正常運(yùn)作。

當(dāng)發(fā)生 DDoS 攻擊時，目標(biāo)組織的一項(xiàng)或多項(xiàng)服務(wù)會遭受嚴(yán)重中斷，因?yàn)楣粢呀?jīng)用 HTTP 請求和流量淹沒了他們的資源，從而拒絕了合法用戶的訪問。 DDoS 攻擊 ，被列為我們這個時代四大網(wǎng)絡(luò)安全威脅之一 社會工程 、 勒索 和供應(yīng)鏈攻擊中

現(xiàn)代戰(zhàn)爭：避免混淆 DDoS 攻擊

將 DDoS 攻擊與其他網(wǎng)絡(luò)威脅相混淆相對容易。 事實(shí)上，IT 專業(yè)人員甚至網(wǎng)絡(luò)安全專業(yè)人員都非常缺乏關(guān)于 DDoS 攻擊究竟如何工作的知識。

在 DDoS 攻擊中，網(wǎng)絡(luò)犯罪分子利用網(wǎng)絡(luò)設(shè)備和服務(wù)器之間發(fā)生的正常行為，通常 針對 與 Internet 建立連接的網(wǎng)絡(luò)設(shè)備。 因此，攻擊者關(guān)注的是邊緣網(wǎng)絡(luò)設(shè)備（例如路由器、交換機(jī)），而不是單個服務(wù)器。 DDoS 攻擊使網(wǎng)絡(luò)管道（帶寬）或提供 那個帶寬。

這是一個有用的類比：想象有幾個人同時給您打電話，這樣您就無法撥打或接聽電話或?qū)⒛碾娫捰糜谌魏纹渌康摹?這個問題一直存在，直到您通過您的提供商阻止這些呼叫。

請注意，您不會對您的實(shí)際移動設(shè)備進(jìn)行修復(fù)、升級或以其他方式進(jìn)行調(diào)整。 相反，您可以使用手機(jī)提供商的攔截服務(wù)來修復(fù)攻擊者與您的手機(jī)之間的連接。

在 DDoS 攻擊期間也會發(fā)生類似的事情。 您無需修改??受到攻擊的資源，而是在您的網(wǎng)絡(luò)和威脅參與者之間應(yīng)用修復(fù)程序（也稱為緩解措施）。

DDoS 與 DoS 攻擊：有什么區(qū)別？

避免將 DDoS（分布式拒絕服務(wù)）攻擊與 DoS（拒絕服務(wù)）攻擊混淆是很重要的。 盡管只有一個詞將兩者分開，但這些攻擊的性質(zhì)差異很大。

• 嚴(yán)格定義，典型的 DDoS 攻擊操縱攻擊者和受害者之間的許多分布式網(wǎng)絡(luò)設(shè)備發(fā)動不知情的攻擊，利用合法行為。
• 傳統(tǒng)的 DoS 攻擊不使用多個分布式設(shè)備，也不關(guān)注攻擊者和組織之間的設(shè)備。 這些攻擊也往往不使用多個互聯(lián)網(wǎng)設(shè)備。

典型的 DoS 攻擊可能包括以下內(nèi)容：

• 單源 SYN 泛洪： 當(dāng)攻擊者使用單個系統(tǒng)發(fā)出 SYN 數(shù)據(jù)包泛洪攻擊，操縱典型的 TCP 三向握手時，就會發(fā)生這種情況。 例如，某人可能使用 Kali Linux 生成的 SYN 洪水 計算機(jī)不是真正的 DDoS 攻擊，因?yàn)樗M(jìn)行的攻擊僅來自一個設(shè)備。 即使攻擊者使用 IP 地址欺騙也是如此。 對于網(wǎng)絡(luò)級設(shè)備，真正的 DDoS 攻擊是由網(wǎng)絡(luò)級設(shè)備生成的。 換句話說，您使用多個路由器或 Memcached 服務(wù)器來攻擊網(wǎng)絡(luò)。
• “死亡 ping”： 多年前，一些網(wǎng)絡(luò)驅(qū)動程序包含有缺陷的代碼，如果它收到包含某些參數(shù)的 ICMP 數(shù)據(jù)包，則會導(dǎo)致系統(tǒng)崩潰。
• ： slow loris 攻擊 ， slow loris 攻擊通常稱為 DDoS 攻擊，但因?yàn)楣翎槍Φ氖翘囟ǚ?wù)器（在這種情況下 web 服務(wù)器）并且通常不使用中間網(wǎng)絡(luò)設(shè)備，它通常是傳統(tǒng)的 DoS 攻擊。

上述每種 DoS 攻擊都利用了特定主機(jī)中的軟件或內(nèi)核弱點(diǎn)。 要解決此問題，您需要修復(fù)主機(jī)和/或過濾掉流量。 如果您可以升級服務(wù)器以減輕攻擊，那么它不符合條件 作為傳統(tǒng)的 DDoS 攻擊。

請記住，在 DDoS 攻擊中，威脅行為者采用資源消耗策略。 該策略涉及使用看似合法的請求來壓倒實(shí)際上不合法的系統(tǒng)，從而導(dǎo)致系統(tǒng)問題。

攻擊策略：DDoS 攻擊的類型

DDoS 攻擊一般分為三種類型。

1. 應(yīng)用層

2.協(xié)議

3. 體積

在某些情況下，IT 和網(wǎng)絡(luò)安全專家將基于協(xié)議和應(yīng)用程序的 DDoS 攻擊視為一類。

收集英特爾：為什么您需要了解 DDoS 攻擊

DDoS 攻擊的問題越來越嚴(yán)重，IT 專業(yè)人員需要做好準(zhǔn)備。

• ，到 2020 年，到 2021 年，第 7 層攻擊有所增加 據(jù) CloudFlare 稱 。
• ，在 2020 年第一季度，超過 100 GB/s 的 DDoS 攻擊數(shù)量增加了近十倍 (967%) 根據(jù) Comparitech 。
• 體積攻擊的絕對規(guī)模已增加到壓倒性的比例。 CloudFlare 還報告 說 500 Mbps DDoS 攻擊已成為容量的標(biāo)準(zhǔn) 攻擊。
• DDoS 攻擊正變得越來越普遍。 2021 年 據(jù) ZDNet 報道 DDoS 攻擊在前兩年至少增長了 154%。
• 攻擊變得更加復(fù)雜。 攻擊者將 DDoS 與其他類型的攻擊（ 包括勒索軟件 。
• DDoS 攻擊者采用復(fù)雜的人工智能 (AI) 和機(jī)器學(xué)習(xí)方法來幫助進(jìn)行攻擊。 例如，DDoS 僵尸網(wǎng)絡(luò)應(yīng)用機(jī)器學(xué)習(xí)方法進(jìn)行復(fù)雜的網(wǎng)絡(luò)偵察，以找到 最脆弱的系統(tǒng)。 他們還使用人工智能重新配置自己，以阻止檢測和改變攻擊策略。 現(xiàn)代攻擊很可能表現(xiàn)為防御者和攻擊者將啟用人工智能的系統(tǒng)相互對抗。
• DDoS 攻擊者采用了混合攻擊策略。 他們將各種攻擊方法與社會工程、憑證竊取和物理攻擊相結(jié)合，使實(shí)際的 DDoS 攻擊只是多方面方法中的一個因素。

戰(zhàn)術(shù)戰(zhàn)：DDoS 攻擊者如何避免檢測

眾所周知，DDoS 攻擊很狡猾，因此很難確定。 它們?nèi)绱私苹脑蛑皇请y以確定原產(chǎn)地。 威脅行為者通常采用三種主要策略來發(fā)起 DDoS 攻擊：

1. 欺騙

默認(rèn)情況下，IPv4 和 IPv6 無法驗(yàn)證和跟蹤流量。 特別是對于 IPv4 網(wǎng)絡(luò)，欺騙源地址和目標(biāo)地址非常簡單。 DDoS 攻擊者通過偽造具有 偽造的源地址。 因此，攻擊者有可能通過向最初從未真正發(fā)出請求的受害主機(jī)發(fā)送數(shù)百萬個回復(fù)來欺騙合法設(shè)備響應(yīng)這些數(shù)據(jù)包。

2. 反思

攻擊者通常希望隱藏他們參與 DDoS 攻擊的任何痕跡。 為此，他們操縱互聯(lián)網(wǎng)服務(wù)的默認(rèn)行為，以便服務(wù)有效地隱藏實(shí)際的攻擊者。 這些類型的攻擊中經(jīng)常使用的服務(wù) 包括數(shù)千個域名系統(tǒng) (DNS)、網(wǎng)絡(luò)時間協(xié)議 (NTP) 和簡單網(wǎng)絡(luò)管理 (SNMP) 服務(wù)器。 這是攻擊者被 DDoS 策略吸引的主要原因之一。 互聯(lián)網(wǎng)服務(wù)不僅提供 流量，但它們也往往使防御者更難追蹤攻擊的來源，因?yàn)榇蠖鄶?shù)服務(wù)器不保留使用它們的服務(wù)的詳細(xì)日志。

3. 放大

放大是一種策略，它讓 DDoS 攻擊者使用源倍增器生成大量流量，然后可以針對受害主機(jī)。 放大攻擊不使用僵尸網(wǎng)絡(luò)，它只是一種策略，允許攻擊者 發(fā)送一個偽造的數(shù)據(jù)包，然后欺騙合法服務(wù)向受害者網(wǎng)絡(luò)或服務(wù)器發(fā)送數(shù)百甚至數(shù)千條回復(fù)。

了解 DDoS 攻擊使用正常的互聯(lián)網(wǎng)操作來進(jìn)行惡作劇非常重要。 這些設(shè)備不一定配置錯誤，它們實(shí)際上表現(xiàn)得像它們應(yīng)該表現(xiàn)的那樣。 攻擊者只需 找到了一種方法來利用這種行為并操縱它來進(jìn)行 DDoS 攻擊。

此外，網(wǎng)絡(luò)設(shè)備和服務(wù)通常會在不知情的情況下成為 DDoS 攻擊的參與者。 這三種策略利用了全球網(wǎng)絡(luò)資源的默認(rèn)行為。 這些資源包括：

• 路由器
• 開關(guān)
• 防火墻
• 負(fù)載均衡器
• 緩存服務(wù)器
• 邊緣網(wǎng)絡(luò)設(shè)備
• 移動信號塔（包括4G和5G）

戰(zhàn)斗持續(xù)時間：DDoS 攻擊持續(xù)多長時間？

DDoS 攻擊的長度和復(fù)雜程度差異很大。 DDoS 攻擊可能會持續(xù)很長時間，也可能非常短暫：

• 長期攻擊： 在數(shù)小時或數(shù)天內(nèi)發(fā)動的攻擊被視為長期攻擊。 例如，對 AWS 的 DDoS 攻擊造成了三天的中斷，最終得到緩解。
• 突發(fā)攻擊： 這些 DDoS 攻擊在很短的時間內(nèi)發(fā)動，僅持續(xù)一分鐘甚至幾秒鐘。

不要被欺騙。 盡管速度非常快，但爆發(fā)攻擊實(shí)際上可能極具破壞性。 隨著物聯(lián)網(wǎng) (IoT) 設(shè)備和功能日益強(qiáng)大的計算設(shè)備的出現(xiàn)，有可能產(chǎn)生比 以往。 因此，攻擊者可以在很短的時間內(nèi)創(chuàng)建更多的流量。 突發(fā) DDoS 攻擊通常對攻擊者有利，因?yàn)樗y追蹤。

技術(shù)戰(zhàn)：僵尸網(wǎng)絡(luò)和 DDoS 攻擊

僵尸網(wǎng)絡(luò)是龐大的計算機(jī)網(wǎng)絡(luò)，可用于發(fā)動 DDoS 攻擊。 它們通常由受感染的計算機(jī)（例如， 物聯(lián)網(wǎng)設(shè)備 、服務(wù)器、工作站、 路由器等）或僵尸，由中央服務(wù)器控制。

攻擊者不一定需要僵尸網(wǎng)絡(luò)來進(jìn)行 DDoS 攻擊。 威脅者可以簡單地操縱互聯(lián)網(wǎng)上數(shù)以萬計的網(wǎng)絡(luò)設(shè)備，這些設(shè)備要么配置錯誤，要么按設(shè)計運(yùn)行。 盡管如此，重要的是 了解基于僵尸網(wǎng)絡(luò)的 DDoS 攻擊是如何發(fā)生的。

更復(fù)雜的數(shù)字?jǐn)橙耍篋DoS 攻擊的演變

網(wǎng)絡(luò)安全的現(xiàn)實(shí)之一是，大多數(shù)攻擊者都是中等天賦的人，他們以某種方式想出了如何操縱特定的網(wǎng)絡(luò)條件或情況。 盡管經(jīng)常討論高級持續(xù)性威脅 （APT）和越來越老練的黑客，現(xiàn)實(shí)往往要平凡得多。

例如，大多數(shù) DDoS 攻擊者只是找到特定的協(xié)議。 他們會發(fā)現(xiàn)他們可以操縱傳輸控制協(xié)議 (TCP) 握手來創(chuàng)建 SYN 數(shù)據(jù)包或特定類型的服務(wù)器（例如內(nèi)存）的洪水攻擊 緩存守護(hù)進(jìn)程（它通常被稱為“Memcached”，用于內(nèi)存緩存守護(hù)進(jìn)程）。 Memcached 服務(wù)是一種經(jīng)常用于幫助加速 Web 應(yīng)用程序的合法服務(wù)。 攻擊者經(jīng)常利用 Memcached 實(shí)現(xiàn) 沒有正確固定，甚至那些運(yùn)行正常的。

攻擊者還發(fā)現(xiàn)他們可以破壞物聯(lián)網(wǎng)設(shè)備，例如網(wǎng)絡(luò)攝像頭或嬰兒監(jiān)視器。 但今天，攻擊者得到了更多幫助。 最近的進(jìn)步催生了具有前所未有潛力的人工智能和連接能力。 喜歡合法的 系統(tǒng)管理員、攻擊者現(xiàn)在擁有語音識別、機(jī)器學(xué)習(xí)和數(shù)字路線圖，可以讓他們操縱您家中或辦公室中的集成設(shè)備，例如智能恒溫器、電器和家庭安全系統(tǒng)。

攻擊計劃：基于僵尸網(wǎng)絡(luò)的 DDoS 攻擊剖析

DDoS 流量有很多不同的種類。 在基于僵尸網(wǎng)絡(luò)的攻擊的情況下，DDoS 威脅參與者正在使用僵尸網(wǎng)絡(luò)來幫助協(xié)調(diào)攻擊。 了解流量類型將有助于選擇主動識別措施 和緩解。 單擊紅色加號以了解有關(guān)每種 DDoS 流量的更多信息。

1. 指揮與控制 (C&C)

2. 協(xié)調(diào)

3. 信標(biāo)/心跳流量

4.攻擊流量

5. 運(yùn)營技術(shù)（OT）/物聯(lián)網(wǎng)

6. 異常流量

7. 多向量

組裝武器：了解 DDoS 攻擊如何工作的工具

DDoS 攻擊有多種形式，并且一直在發(fā)展以包含各種攻擊策略。 IT 專業(yè)人員必須具備有關(guān)攻擊工作原理的知識。

有三種模型可以幫助深入了解 DDoS 攻擊的內(nèi)部運(yùn)作：

• Lockheed Martin Cyber?? Kill Chain ： 用于幫助提供攻擊策略框架，該模型概述了七個步驟 黑客可能會采取長期持續(xù)的 DDoS 攻擊。 該模型不考慮使用僵尸網(wǎng)絡(luò)來破壞系統(tǒng)。
• Mitre ATT&CK 模型 ： 該模型描述了現(xiàn)實(shí)世界的攻擊，并提供了已知對抗策略和技術(shù)的知識庫，以幫助 IT 專業(yè)人員分析和預(yù)防 未來的事件。 此模型對于希望防御 DDoS 攻擊的個人特別有用，因?yàn)樗试S您分析攻擊者并確定他們的策略。
• 入侵分析 ： 鉆石模型幫助組織權(quán)衡對手的能力和能力 受害者，正如 CompTIA 博客中關(guān)于 三種主要網(wǎng)絡(luò)安全模型 。 即使創(chuàng)建了 Diamond 模型 為了模擬實(shí)際入侵，它對于識別 DDoS 攻擊也很有用。

作為一名 IT 專業(yè)人員，了解如何應(yīng)對 DDoS 攻擊至關(guān)重要，因?yàn)殡S著時間的推移，大多數(shù)組織都必須管理各種類型的攻擊。 安全分析師和威脅獵手經(jīng)常使用 ATT&CK 模型和 Mitre ATT&CK 導(dǎo)航器可幫助識別允許 DDoS 攻擊特別成功的條件。

主要攻擊簡史：DDoS 示例

多年來，分布式拒絕服務(wù)攻擊的數(shù)量非常多。 讓我們從主要 DDoS 攻擊的簡短列表開始，它們背后的動機(jī)以及它們對我們數(shù)字世界的持久影響。 點(diǎn)擊 紅色加號以了解有關(guān)這些主要 DDoS 攻擊的更多信息。

1.愛沙尼亞：2007年4月27日

2. 格魯吉亞共和國：2008 年 7 月 20 日

3. Spamhaus：2013 年 3 月 18 日

4.占中：2014年6月

5. 動態(tài)：2016 年 10 月 21 日

6. GitHub：2018 年 2 月 28 日

7. 亞馬遜網(wǎng)絡(luò)服務(wù) (AWS)：2020 年 2 月

8. 谷歌：2017 年 9 月（2020 年 10 月報告）

9. 特定部門的攻擊：2019-2021

攻擊者簡介：誰執(zhí)行 DDoS 攻擊？

您經(jīng)?？吹叫皭旱摹⒋髦陬^巾的人的圖像來象征惡意威脅者。 實(shí)際上，這些攻擊者群體通常為當(dāng)局所熟知，并使用 DDoS 策略來獲得影響力，擾亂政府和軍事行動 或?qū)е氯藗儗κ袌霾块T、公司品牌或歷史悠久的機(jī)構(gòu)失去信心。

無論驅(qū)動這些攻擊的動機(jī)如何，黑客都可以很容易地被雇傭來幫助發(fā)起 DDoS 攻擊——就像雇傭槍支一樣。 租用個人或整個商業(yè)團(tuán)體 暗網(wǎng)上 ， 通常在服務(wù)模式下，類似于 基礎(chǔ)設(shè)施即服務(wù) (IaaS) 或 軟件即服務(wù) (SaaS) 的 。 事實(shí)上，Radware 于 2020 年 8 月發(fā)布了全球安全警報，以應(yīng)對日益流行的 DDoS 出租攻擊。

是什么激發(fā)了攻擊：DDoS 攻擊背后的原因

為了阻止 DDoS 攻擊，了解導(dǎo)致事件的原因很重要。 雖然 DDoS 攻擊在戰(zhàn)術(shù)和方法方面的性質(zhì)差異很大，但 DDoS 攻擊者也可能有多種動機(jī)，包括以下內(nèi)容。

• 財務(wù)動機(jī)： DDoS 攻擊通常與勒索軟件攻擊相結(jié)合。 攻擊者發(fā)送消息通知受害者，如果受害者支付費(fèi)用，攻擊將停止。 這些攻擊者通常是有組織犯罪集團(tuán)的一部分。 然而，今天，這些辛迪加可以小到十幾個人，擁有網(wǎng)絡(luò)知識和額外的時間。 有時，競爭對手的企業(yè)甚至?xí)嗷ミM(jìn)行 DDoS 攻擊以獲得競爭優(yōu)勢。
• 意識形態(tài)動機(jī)： 攻擊通常針對政治局勢中的壓迫性管理機(jī)構(gòu)或抗議者。 此類 DDoS 攻擊通常用于支持特定的政治利益或信仰體系，例如宗教。
• 國家支持的動機(jī)： 當(dāng)政治動蕩或分歧變得明顯時，DDoS 攻擊通常會引起軍隊或平民的混亂。
• 戰(zhàn)術(shù)動機(jī)： 在這種情況下，DDoS 攻擊是作為更大活動的一部分發(fā)動的。 在某些情況下，該活動包括物理攻擊或其他一系列基于軟件的攻擊。 例如，眾所周知，軍隊會結(jié)合 DDoS 攻擊 與物理的。 戰(zhàn)術(shù)攻擊用于轉(zhuǎn)移對正常 IT 任務(wù)的注意力，以利用不同的目標(biāo)——舊的誘餌和轉(zhuǎn)換網(wǎng)絡(luò)攻擊。
• 商業(yè)/經(jīng)濟(jì)動機(jī)： 這種類型的 DDoS 攻擊有助于收集信息或?qū)μ囟ㄐ袠I(yè)造成損害。 例如，對索尼、英國航空公司和 Equifax 等公司的攻擊導(dǎo)致消費(fèi)者對整個 行業(yè)。
• 勒索動機(jī)： 其他攻擊用于通過勒索手段獲得一些個人或金錢利益。

導(dǎo)彈發(fā)射：執(zhí)行 DDoS 攻擊的工具

攻擊者使用多種設(shè)備來攻擊組織。 以下是 DDoS 攻擊中使用的一些常用工具：

• 服務(wù)： 包括 Memcached（用于加速數(shù)據(jù)庫和基于 Web 的事務(wù)）、DNS 服務(wù)器、NTP 和 SNMP。
• 網(wǎng)絡(luò)設(shè)備： 網(wǎng)絡(luò)設(shè)備包括路由器和交換機(jī)等項(xiàng)目。
• 僵尸網(wǎng)絡(luò)： DDoS 攻擊中常用的受感染系統(tǒng)的集合。
• 物聯(lián)網(wǎng)設(shè)備： 網(wǎng)絡(luò)犯罪分子可以利用聯(lián)網(wǎng)設(shè)備的弱點(diǎn)，將其變成僵尸。 臭名昭著的 Mirai 僵尸網(wǎng)絡(luò)被用來使用不安全的嬰兒監(jiān)視器發(fā)起一系列攻擊。
• AI： 黑客正在使用人工智能在 DDoS 攻擊期間自動修改代碼，因此盡管有保護(hù)措施，攻擊仍然有效。
• 舊設(shè)備的利用： 較舊的硬件通常面臨更多漏洞，并且經(jīng)常成為目標(biāo)和利用。

偵察的作用：跟蹤 DDoS 攻擊

DDoS 攻擊者每天都變得越來越精明。 攻擊的規(guī)模和持續(xù)時間都在擴(kuò)大，沒有放緩的跡象。 組織需要密切關(guān)注事件的脈搏，以了解他們對 DDoS 攻擊的敏感程度。

以下是一些可以幫助您跟蹤最新 DDoS 攻擊的資源：

• Mazebolt 全球 DDoS 攻擊列表 ： 該資源提供了一個正在運(yùn)行的攻擊列表，其中包含日期、原產(chǎn)國、停機(jī)時間等信息， 攻擊細(xì)節(jié)，甚至鏈接到有關(guān)事件的新聞信息。
• 網(wǎng)絡(luò)安全威脅情報 (CTI) 共享資源：
  • CompTIA ISAO ： CompTIA 擁有一個組織，致力于共享與威脅相關(guān)的情報并提供可操作的洞察力以減輕威脅 并解決網(wǎng)絡(luò)安全挑戰(zhàn)。
  • 美國 CISA 自動指標(biāo)共享 ： CISA 提供的工具可以實(shí)時共享網(wǎng)絡(luò)威脅信息，以幫助限制攻擊的普遍性。
  • FBI Infragard ： 作為 FBI 和私營部門之間的合作伙伴，InfraGard 支持共享有關(guān)攻擊和緩解技術(shù)的信息。
• 數(shù)字攻擊地圖 ： 該地圖顯示了全球 DDoS 攻擊的實(shí)時信息，并允許您按類型、源端口、持續(xù)時間和目標(biāo)端口進(jìn)行過濾。
• AlienVault Open Threat Exchange ： 這個威脅情報社區(qū)提供對威脅指標(biāo)的免費(fèi)訪問，并允許與他人共享威脅研究。
• Threatbutt Internet Hacking Attack Attribution Map ： 該地圖提供對全球 DDoS 攻擊的實(shí)時跟蹤。
• 它現(xiàn)在下降了嗎？ ： 當(dāng)您懷疑有攻擊時，此資源是一個很好的起點(diǎn)。 通過輸入域和此工具檢查網(wǎng)站是否已關(guān)閉 將立即返回結(jié)果。

已確定目標(biāo)：DDoS 攻擊者最常針對什么？

盡管任何行業(yè)的組織都容易受到攻擊，但這些行業(yè)最常受到 DDoS 攻擊：

• 衛(wèi)生保健
• 政府
• 互聯(lián)網(wǎng)服務(wù)提供商 (ISP)
• 云服務(wù)提供商

盯上敵人：識別 DDoS 攻擊

從戰(zhàn)術(shù) DDoS 緩解的角度來看，您需要具備的主要技能之一是模式識別。 能夠發(fā)現(xiàn)表示 DDoS 攻擊正在發(fā)生的重復(fù)是關(guān)鍵，尤其是在初始階段。 自動化應(yīng)用程序和 人工智能通常被用作助手，但通常公司需要熟練的 IT 專業(yè)人員來區(qū)分合法流量和 DDoS 攻擊。

工作人員通常會尋找以下警告信號，表明 DDoS 攻擊正在發(fā)生：

• 來自現(xiàn)有緩解設(shè)備（例如負(fù)載平衡器、基于云的服務(wù)）的報告
• 客戶報告服務(wù)緩慢或不可用
• 使用相同連接的員工也會遇到速度問題
• 在短時間內(nèi)來自特定 IP 地址的多個連接請求
• 未執(zhí)行維護(hù)時收到 503 服務(wù)不可用錯誤
• 由于生存時間 (TTL) 超時，對技術(shù)資源的 Ping 請求超時
• 日志顯示流量異常巨大

響應(yīng)威脅：用于緩解 DDoS 攻擊的響應(yīng)技術(shù)、服務(wù)和策略

DDoS 緩解與緩解其他網(wǎng)絡(luò)攻擊（例如源自勒索軟件的攻擊）完全不同。 DDoS 攻擊通常通過能夠處理這些類型攻擊的設(shè)備和服務(wù)來緩解。 例如，今天的 負(fù)載均衡器有時能夠通過識別 DDoS 模式然后采取行動來處理 DDoS 攻擊。 其他設(shè)備可用作中介，包括防火墻和專用洗滌器設(shè)備。

在嘗試緩解 DDoS 攻擊時，您希望專注于在您的網(wǎng)絡(luò)和用于攻擊您的系統(tǒng)之間放置服務(wù)和設(shè)備。 由于攻擊者通過利用合法的網(wǎng)絡(luò)和互聯(lián)網(wǎng)行為來產(chǎn)生 DDoS 流量，任何 連接的設(shè)備或服務(wù)器很容易受到攻擊，因?yàn)樗举|(zhì)上不被認(rèn)為是惡意的。 您必須創(chuàng)建一個中間緩解解決方案來響應(yīng)該攻擊。 在勒索軟件或惡意軟件攻擊中，安全專業(yè)人員 通常通過升級端點(diǎn)上的軟件或從備份恢復(fù)來解決問題。

應(yīng)對威脅：DDoS 攻擊響應(yīng)的 5 個步驟

響應(yīng) DDoS 攻擊的典型步驟包括：

1、檢測

早期檢測對于防御 DDoS 攻擊至關(guān)重要。 尋找上面提供的警告標(biāo)志，表明您可能成為目標(biāo)。 DDoS 檢測可能涉及調(diào)查數(shù)據(jù)包的內(nèi)容以檢測第 7 層和基于協(xié)議的攻擊或利用 基于速率的措施來檢測容量攻擊。 當(dāng)談到 DDoS 攻擊時，通常首先討論基于速率的檢測，但大多數(shù)有效的 DDoS 攻擊并不能使用基于速率的檢測來阻止。

2.過濾

透明的過濾過程有助于丟棄不需要的流量。 這是通過在網(wǎng)絡(luò)設(shè)備上安裝有效規(guī)則以消除 DDoS 流量來完成的。

3. 導(dǎo)流和重定向：

此步驟涉及轉(zhuǎn)移流量，使其不會影響您的關(guān)鍵資源。 您可以通過將 DDoS 流量發(fā)送到清理中心或其他充當(dāng)污水坑的資源來重定向 DDoS 流量。 通常建議您透明地 溝通正在發(fā)生的事情，這樣員工和客戶就不需要為了適應(yīng)緩慢而改變他們的行為。

4、轉(zhuǎn)發(fā)與分析：

了解 DDoS 攻擊的來源很重要。 這些知識可以幫助您開發(fā)協(xié)議以主動防御未來的攻擊。 雖然試圖殺死僵尸網(wǎng)絡(luò)可能很誘人，但它可能會造成后勤問題，并可能 導(dǎo)致法律后果。 一般不推薦。

5. 替代交付

在發(fā)生攻擊時，可以使用幾乎可以立即提供新內(nèi)容或打開新網(wǎng)絡(luò)連接的替代資源。

緩解 DDoS 攻擊的最佳方法之一是在事件響應(yīng)過程中以團(tuán)隊的形式進(jìn)行響應(yīng)并進(jìn)行協(xié)作。 上述步驟只能通過服務(wù)、設(shè)備和個人的結(jié)合來實(shí)現(xiàn)。 為了 例如，為了緩解第 7 層 DDoS 攻擊，通常需要執(zhí)行以下操作：

• 檢測： 組織將結(jié)合使用安全分析師和滲透活動來識別第 7 層攻擊模式。 滲透測試員一般會模擬DDoS攻擊，安全分析師會仔細(xì)聆聽 識別獨(dú)特的特征。
• 流量過濾： 使用清理中心和服務(wù)來幫助重定向和遏制有害流量。
• 第 7 層控制： 驗(yàn)證碼和 cookie 質(zhì)詢通常用于確定網(wǎng)絡(luò)連接請求是來自機(jī)器人還是合法用戶。
• 將數(shù)據(jù)包轉(zhuǎn)發(fā)給安全專業(yè)人員進(jìn)行進(jìn)一步分析： 安全分析師將參與模式識別活動，然后根據(jù)他們的發(fā)現(xiàn)推薦緩解措施。
• 第 7 層攻擊期間的替代交付： 當(dāng)您的資源對抗攻擊時，使用 CDN（內(nèi)容交付網(wǎng)絡(luò)）可以幫助支持額外的正常運(yùn)行時間。 需要注意的是，緩解設(shè)備可能會遇到 問題。 它可能沒有正確更新或配置，實(shí)際上可能成為 DDoS 攻擊期間問題的一部分。

限制損害：DDoS 緩解技術(shù)

一旦您知道自己正面臨 DDoS 攻擊，就該進(jìn)行緩解了。 準(zhǔn)備戰(zhàn)斗！

物理設(shè)備	在 DDoS 攻擊期間管理物理設(shè)備在很大程度上仍然是與其他緩解工作不同的類別。 通常稱為設(shè)備，物理設(shè)備是分開的，因?yàn)?DDoS 模式和流量是如此獨(dú)特和困難 來正確識別。 即便如此，設(shè)備可以非常有效地保護(hù)小型企業(yè)免受 DDoS 攻擊。
云擦洗設(shè)備	這些服務(wù)通常被稱為清洗中心，插入在 DDoS 流量和受害網(wǎng)絡(luò)之間。 他們獲取針對特定網(wǎng)絡(luò)的流量，并將其路由到不同的位置，以將損害與預(yù)期來源隔離開來。 清理中心清理數(shù)據(jù)，只允許合法的業(yè)務(wù)流量傳遞到目的地。 清理服務(wù)的示例包括由 Akamai、Radware 和 Cloudflare 提供的服務(wù)。
多個互聯(lián)網(wǎng)服務(wù)連接	由于 DDoS 攻擊經(jīng)常試圖用流量淹沒資源，因此企業(yè)有時會使用多個 ISP 連接。 如果單個 ISP 不堪重負(fù)，則可以從一個切換到另一個。
黑洞	這種 DDoS 緩解技術(shù)涉及使用云服務(wù)來實(shí)施稱為數(shù)據(jù)接收器的策略。 該服務(wù)將虛假數(shù)據(jù)包和大量流量引導(dǎo)到數(shù)據(jù)接收器，在那里它們不會造成任何傷害。
內(nèi)容交付網(wǎng)絡(luò) (CDN)	這是一組地理位置分散的代理服務(wù)器和網(wǎng)絡(luò)，通常用于 DDoS 緩解。 CDN 作為一個單元工作，通過多個骨干網(wǎng)和 WAN 連接快速提供內(nèi)容，從而分配網(wǎng)絡(luò)負(fù)載。 如果 當(dāng)一個網(wǎng)絡(luò)被 DDoS 流量淹沒時，CDN 可以從另一組未受影響的網(wǎng)絡(luò)傳送內(nèi)容。
負(fù)載平衡服務(wù)器	通常部署用于管理合法流量，負(fù)載平衡服務(wù)器也可用于阻止 DDoS 攻擊。 當(dāng) DDoS 攻擊正在進(jìn)行時，IT 專業(yè)人員可以利用這些設(shè)備將流量從某些資源轉(zhuǎn)移。
Web 應(yīng)用防火墻 (WAF)	WAF 用于過濾和監(jiān)控 HTTP 流量，通常用于幫助緩解 DDoS 攻擊，并且通常是 AWS、Azure 或 CloudFlare 等基于云的服務(wù)的一部分。 雖然有時有效，但專用設(shè)備或基于云的洗滌器 通常建議改為。 WAF 專注于過濾到特定 Web 服務(wù)器或應(yīng)用程序的流量。 但是，真正的 DDoS 攻擊集中在網(wǎng)絡(luò)設(shè)備上，從而拒絕最終為 Web 服務(wù)器提供的服務(wù)。 仍然， 有時可以將 WAF 與其他服務(wù)和設(shè)備結(jié)合使用以響應(yīng) DDoS 攻擊。

市場上幾乎所有的 DDoS 緩解設(shè)備都使用相同的五種機(jī)制：

• 簽名
• 行為或 SYN 洪水
• 基于速率和地理位置：如上所述，這通常不可靠。
• 僵尸網(wǎng)絡(luò)檢測/IP 信譽(yù)列表：使用列表的成功與否取決于列表的質(zhì)量。
• 挑戰(zhàn)與回應(yīng)

DDoS 緩解服務(wù)

目前市面上很多應(yīng)對DDOS的防御服務(wù)，這里主機(jī)吧簡單介紹幾種。

DDoS 緩解供應(yīng)商	提供的服務(wù)
高防服務(wù)器	托管于高防數(shù)據(jù)中心的服務(wù)器，適合網(wǎng)站、游戲等服務(wù)
高防IP	通過高防機(jī)房資源配合防御軟件，可防網(wǎng)站、app、游戲等業(yè)務(wù)。
高防CDN	利用多地防御節(jié)點(diǎn)，分布式防御的服務(wù)，適用于網(wǎng)站、APP業(yè)務(wù)。
游戲盾	專為游戲行業(yè)定制，針對性解決游戲行業(yè)中復(fù)雜的DDoS攻擊、游戲CC攻擊等問題。
WAF防火墻	Web應(yīng)用防火墻對網(wǎng)站或者APP的業(yè)務(wù)流量進(jìn)行惡意特征識別及防護(hù)，將正常、安全的流量回源到服務(wù)器，適用于網(wǎng)站、APP業(yè)務(wù)。
高防DNS	顧名思義就是一種高防域名系統(tǒng)，可防御DNS攻擊。

要知道的術(shù)語

• ACK： 確認(rèn)字符
• DNS： 域名系統(tǒng)
• HTTP： 超文本傳輸??協(xié)議
• ICMP： 互聯(lián)網(wǎng)控制消息協(xié)議
• OSI/RM： 開放系統(tǒng)互連/參考模型
• 事件響應(yīng)： 管理 DDoS 攻擊時要采取的步驟。
• SYN： 同步數(shù)據(jù)包
• SYN 洪水： 攻擊者操縱三向 TCP 握手來創(chuàng)建 DDoS 攻擊。
• TCP： 傳輸控制協(xié)議
• TCP 握手： 當(dāng)兩臺計算機(jī)在 TCP 會話開始時相互通信時發(fā)生的一個三步過程。 也稱為 TCP 三向握手。
• UDP： 用戶數(shù)據(jù)報協(xié)議