3 种类型的 DDoS 攻击（3d走势图带连线图）

3 种类型的 DDoS 攻击（3d走势图带连线图）

DDoS 攻击主要分为三类：

1. 基于流量的攻击使用大量虚假流量来淹没网站或服务器等资源。它们包括 ICMP、UDP 和欺骗性数据包泛洪攻击。基于卷的攻击的大小以每秒比特数 (bps) 来衡量。

2. 协议或网络层 DDoS 攻击将大量数据包发送到目标网络基础设施和基础设施管理工具。这些协议攻击包括 SYN 洪水和 Smurf DDoS 等，它们的大小以每秒数据包 (PPS) 来衡量。

3. 应用层攻击是通过用恶意制作的请求淹没应用程序来进行的。应用层攻击的规模以每秒请求数 (RPS) 来衡量。

对于每种类型的攻击，目标始终相同：使在线资源缓慢或完全无响应。

DDoS 攻击症状

DDoS 攻击看起来像许多可导致可用性问题的非恶意事件，例如服务器或系统宕机、合法用户发出的合法请求过多，甚至电缆被切断。通常需要进行流量分析来确定准确发生的情况。

DDoS 攻击时间表

这种攻击将永远改变人们对拒绝服务攻击的看法。2000 年初，加拿大高中生 Michael Calce，又名 MafiaBoy，攻击了雅虎！通过分布式拒绝服务 (DDoS) 攻击，成功关闭了当时领先的网络强国之一。在接下来的一周里，卡尔斯瞄准并成功地破坏了亚马逊、CNN 和 eBay 等其他网站。

这当然不是第一次 DDoS 攻击，但那一系列高度公开且成功的攻击将拒绝服务攻击从新奇和小麻烦转变为 CISO 和 CIO 心中永远的强大业务破坏者。

从那时起，DDoS 攻击已成为一种非常频繁的威胁，因为它们通常用于报复、勒索、作为在线激进主义的一种手段，甚至用于发动网络战争。

这些年来，它们也变得更大了。在 1990 年代中期，一次攻击可能包含每秒 150 个请求——这足以使许多系统瘫痪。今天，它们可以超过 1,000 Gbps。这在很大程度上是由现代僵尸网络的庞大规模推动的。

2016 年 10 月，互联网基础设施服务提供商 Dyn DNS（现为 Oracle DYN）被来自数千万 IP 地址的 DNS 查询浪潮所困。该攻击通过Mirai 僵尸网络执行，据报道感染了超过 100,000 台物联网设备，包括 IP 摄像机和打印机。在巅峰时期，Mirai 达到了 400,000 个机器人。包括亚马逊、Netflix、Reddit、Spotify、Tumblr 和 Twitter 在内的服务中断。

2018 年初，一种新的 DDoS 技术开始出现。2 月 28 日，版本控制托管服务 GitHub 遭到大规模拒绝服务攻击，每秒 1.35 TB 的流量击中热门站点。尽管 GitHub 只是间歇性地被关闭，并且在不到 20 分钟的时间内成功地完全击退了攻击，但攻击的规模之大令人担忧，因为它超过了 Dyn 攻击，后者的峰值达到每秒 1.2 TB。

对驱动攻击的技术的分析表明，它在某些方面比其他攻击更简单。虽然 Dyn 攻击是Mirai 僵尸网络的产物，它需要恶意软件来感染数千个物联网设备，但 GitHub 攻击利用了运行 Memcached 内存缓存系统的服务器，该系统可以响应简单的请求返回非常大的数据块。

Memcached 旨在仅用于在内部网络上运行的受保护服务器，并且通常几乎没有安全措施来防止恶意攻击者欺骗 IP 地址并向毫无戒心的受害者发送大量数据。不幸的是，数以千计的 Memcached 服务器位于开放的互联网上，它们在 DDoS 攻击中的使用激增。说服务器被“劫持”是不公平的，因为他们会很高兴地在任何被告知的地方发送数据包而不问任何问题。

就在 GitHub 攻击发生几天后，另一次基于 Memecached 的 DDoS 攻击以每秒 1.7 TB 的数据冲击了一家美国服务提供商。

Mirai 僵尸网络的重要性在于，与大多数 DDoS 攻击不同，它利用易受攻击的物联网设备而不是 PC 和服务器。当人们考虑到 2020 年时，根据 BI Intelligence 的数据，将有 340 亿台互联网连接设备，其中大多数是（240 亿）将是物联网设备。

不幸的是，Mirai 不会是最后一个由物联网驱动的僵尸网络。对 Akamai、Cloudflare、Flashpoint、Google、RiskIQ 和 Team Cymru 安全团队的调查发现了一个类似规模的僵尸网络，称为 WireX，由 100 个国家/地区的 100,000 台受感染的 Android 设备组成。一系列针对内容提供商和内容交付网络的大型 DDoS 攻击促使了调查。

2020 年 6 月 21 日，Akamai 报告称，它已缓解了针对一家大型欧洲银行的 DDoS 攻击，该攻击的峰值达到每秒 8.09 亿个数据包 (Mpps)，这是有史以来最大的数据包量。这种攻击旨在通过发送数十亿个小型（包括 IPv4 标头在内的 29 字节）数据包来压倒目标数据中心中的网络设备和应用程序。

Akamai 研究人员表示，由于使用了大量源 IP 地址，因此这次攻击是独一无二的。“在攻击期间，将流量注册到客户目的地的源 IP 数量大幅增加，表明它在本质上是高度分布的。与我们通常观察到的该客户相比，我们看到每分钟的源 IP 数量增加了 600 倍目的地，”研究人员指出。

今天的 DDoS 攻击

尽管 DDoS 攻击的数量随着时间的推移而有所波动，但它们仍然是一个重大威胁。卡巴斯基实验室报告称，2019 年第二季度的 DDoS 攻击数量比 2018 年第三季度增加了 32%，主要是由于 9 月份的攻击激增。对于 2020 年，Cloudflare 报告称，除第四季度外，DDoS 攻击量每个季度都在增加，

据卡巴斯基称，最近发现的像 Torii 和 DemonBot 这样能够发起 DDoS 攻击的僵尸网络令人担忧。Torii 能够接管一系列物联网设备，被认为比 Mirai 更持久和危险。DemonBot 劫持了 Hadoop 集群，从而获得了更多的计算能力。

另一个令人担忧的趋势是新的 DDoS 启动平台（如 0x-booter）的可用性。这种 DDos 即服务利用了大约 16,000 个感染了武士道恶意软件（一种 Mirai 变体）的物联网设备。

Imperva 的一份 DDoS 报告 发现，2019 年的大多数 DDoS 攻击都相对较小。例如，网络层攻击通常不超过 5000 万 PPS。该报告的作者将此归因于 DDoS-for-hire 服务，该服务提供无限但小规模的攻击。Imperva 确实在 2019 年看到了一些非常大的攻击，包括达到 5.8 亿 PPS 的网络层攻击和峰值为 292,000 RPS 并持续 13 天的应用层攻击。

当 Cloudflare 报告超过 500Mbps 和 50K pps 的攻击数量“大幅上升”时，这种趋势在 2020 年第四季度发生了变化。这些攻击也变得更加持久，在 10 月至 12 月期间观察到的近 9% 的攻击持续时间超过 24 小时。

Cloudflare 还观察到2020 年 RDDoS 攻击数量增加的所谓“令人不安的趋势”，组织会收到 DDoS 攻击的威胁，除非支付赎金，否则将中断其运营。恶意方往往将目标锁定在无法响应此类攻击并从中恢复的受害者。

DDoS 攻击工具

通常，DDoS 攻击者依赖僵尸网络——集中控制的受恶意软件感染的系统网络的集合。这些受感染的端点通常是计算机和服务器，但越来越多地是物联网和移动设备。攻击者将通过识别他们可以通过网络钓鱼攻击、恶意广告攻击和其他大规模感染技术感染的易受攻击的系统来获取这些系统。攻击者也越来越多地从构建它们的人那里租用这些僵尸网络。

DDoS 攻击如何演变

如上所述，通过租用的僵尸网络进行这些攻击变得越来越普遍。预计这一趋势将继续。

另一个趋势是在一次攻击中使用多个攻击向量，也称为高级持续拒绝服务 APDoS。例如，APDoS 攻击可能涉及应用层，例如针对数据库和应用程序以及直接针对服务器的攻击。“这不仅仅是'泛滥'，”Binary Defense 合作伙伴成功董事总经理Chuck Mackey 说。

此外，Mackey 解释说，攻击者通常不仅直接针对受害者，还针对他们所依赖的组织，例如 ISP 和云提供商。他说：“这些是广泛协调的、影响广泛的攻击。”

这也正在改变 DDoS 攻击对组织的影响并扩大其风险。Foley & Lardner LLP 的网络安全律师 Mike Overly 表示：“企业不再仅仅关注对自身的 DDoS 攻击，而是对这些企业所依赖的大量业务合作伙伴、供应商和供应商的攻击。” “安全领域最古老的格言之一是，企业的安全取决于其最薄弱的环节。在当今的环境中（如最近的违规行为所证明的那样），最薄弱的环节可能并且经常是第三方之一，”他说。

当然，随着犯罪分子完善他们的 DDoS 攻击，技术和战术不会停滞不前。正如 JASK 安全研究主管 Rod Soto 所解释的那样，新物联网设备的加入、机器学习和人工智能的兴起都将在改变这些攻击方面发挥作用。“攻击者最终也会将这些技术集成到攻击中，使防御者更难追上 DDoS 攻击，尤其是那些无法通过简单的 ACL 或签名阻止的攻击。DDoS 防御技术也必须朝这个方向发展，”索托说。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。