分布式拒絕服務 (DDoS) 攻擊是惡意嘗試使用戶無法使用在線服務，通常是暫時中斷或暫停其托管服務器的服務。DDoS攻擊是從眾多受感染設備發起的，這些設備通常分布在全球范圍內，稱為 僵尸網絡。它與其他拒絕服務 (DoS) 攻擊不同，因為它使用單個連接 Internet 的設備（一個網絡連接）來用惡意流量淹沒目標。這種細微差別是這兩個有些不同的定義存在的主要原因。這是有關網絡安全的一系列廣泛指南的一部分。

從廣義上講，DoS 和 DDoS 攻擊可以分為三種類型：

基于卷的攻擊

包括 UDP 泛洪、ICMP 泛洪和其他欺騙性數據包泛洪。攻擊的目標是使被攻擊站點的帶寬飽和，并且幅度以每秒比特數 (Bps) 為單位。

協議攻擊

包括 SYN 泛洪、分段數據包攻擊、Ping of Death、Smurf DDoS 等。這種類型的攻擊消耗實際的服務器資源，或中間通信設備的資源，例如防火墻和負載均衡器，并以每秒數據包數 (Pps) 為單位。

應用層攻擊

包括低速和慢速攻擊、GET/POST 洪水、針對 Apache、Windows 或 OpenBSD 漏洞的攻擊等。這些攻擊由看似合法和無辜的請求組成，其目標是使 Web 服務器崩潰，其大小以每秒請求數 (Rps) 為單位。

常見的 DDoS 攻擊類型

一些最常用的 DDoS 攻擊類型包括：

UDP洪水

根據定義，UDP 泛洪是使用用戶數據報協議 (UDP) 數據包泛洪目標的任何 DDoS 攻擊。攻擊的目標是淹沒遠程主機上的隨機端口。這會導致主機反復檢查在該端口上偵聽的應用程序，并（當沒有找到應用程序時）回復 ICMP 'Destination Unreachable' 數據包。此過程會消耗主機資源，最終可能導致無法訪問。

ICMP（Ping）洪水

原理上與 UDP 泛洪攻擊類似，ICMP 泛洪使用 ICMP Echo Request (ping) 數據包淹沒目標資源，通常在不等待回復的情況下盡可能快地發送數據包。這種類型的攻擊會消耗傳出和傳入帶寬，因為受害者的服務器通常會嘗試使用 ICMP Echo Reply 數據包進行響應，從而導致整個系統顯著變慢。

SYN 洪水

SYN 泛洪 DDoS 攻擊利用 TCP 連接序列中的一個已知弱點（“三次握手”），其中啟動與主機的 TCP 連接的 SYN 請求必須由來自該主機的 SYN-ACK 響應來回答，并且然后由請求者的 ACK 響應確認。在 SYN 泛洪場景中，請求者發送多個 SYN 請求，但要么不響應主機的 SYN-ACK 響應，要么從欺騙的 IP 地址發送 SYN 請求。無論哪種方式，主機系統都會繼續等待每個請求的確認，綁定資源直到無法建立新連接，最終導致 拒絕服務。

死亡 ping

死亡 ping (“POD”) 攻擊涉及攻擊者向計算機發送多個格式錯誤或惡意的 ping。IP 數據包（包括頭）的最大數據包長度為 65,535 字節。然而，數據鏈路層通常對最大幀大小有限制——例如以太網上的 1500 字節。在這種情況下，一個大的 IP 數據包被拆分為多個 IP 數據包（稱為片段），并且接收主機將這些 IP 片段重新組合成完整的數據包。在Ping of Death 場景中，在惡意操作片段內容之后，接收者最終得到一個重新組裝后大于 65,535 字節的 IP 數據包。這可能會溢出為數據包分配的內存緩沖區，從而導致對合法數據包的拒絕服務。

Slowloris

Slowloris是一種針對性很強的攻擊，可以讓一個 Web 服務器關閉另一臺服務器，而不會影響目標網絡上的其他服務或端口。Slowloris 通過保持與目標 Web 服務器的盡可能多的連接盡可能長時間地保持打開狀態來做到這一點。它通過創建與目標服務器的連接來實現這一點，但只發送部分請求。Slowloris 不斷發送更多 HTTP 標頭，但從未完成請求。目標服務器保持這些虛假連接中的每一個處于打開狀態。這最終會溢出最大并發連接池，并導致拒絕來自合法客戶端的額外連接。

NTP 放大

在 NTP 放大攻擊中，犯罪者利用可公開訪問的網絡時間協議 (NTP) 服務器來淹沒目標服務器的 UDP 流量。攻擊被定義為放大攻擊，因為在這種情況下查詢與響應的比率在 1:20 到 1:200 或更高之間。這意味著任何獲得開放 NTP 服務器列表的攻擊者（例如，通過使用諸如 Metasploit 之類的工具或來自開放 NTP 項目的數據）都可以輕松產生毀滅性的高帶寬、大容量 DDoS 攻擊。

HTTP 洪水

在 HTTP 洪水 DDoS 攻擊中，攻擊者利用看似合法的 HTTP GET 或 POST 請求來攻擊 Web 服務器或應用程序。HTTP 洪水不使用格式錯誤的數據包、欺騙或反射技術，并且比其他攻擊需要更少的帶寬來破壞目標站點或服務器。當它強制服務器或應用程序分配盡可能多的資源以響應每個請求時，這種攻擊是最有效的。

零日 DDoS 攻擊

“零日”定義包括所有未知或新的攻擊，利用尚未發布補丁的漏洞。該術語在黑客社區的成員中廣為人知，交易零日漏洞的做法已成為一種流行的活動。

DDoS 攻擊背后的動機

根據最近的市場研究，DDoS 攻擊正迅速成為最普遍的網絡威脅類型，在過去一年中，無論是數量還是數量都在迅速增長。趨勢是攻擊持續時間更短，但每秒數據包攻擊量更大。

攻擊者的主要動機是：

• 意識形態——所謂的“黑客主義者”使用 DDoS 攻擊作為針對他們在意識形態上不同意的網站的一種手段。
• 業務不和——企業可以使用 DDoS 攻擊戰略性地關閉競爭對手的網站，例如，阻止他們參與重大活動，例如網絡星期一。
• 無聊——網絡破壞者，又名“腳本小子”，使用預先編寫的腳本來發起 DDoS 攻擊。這些攻擊的肇事者通常是無聊的，潛在的黑客正在尋找腎上腺素的沖動。
• 勒索——犯罪者使用 DDoS 攻擊或 DDoS 攻擊的威脅作為從目標勒索金錢的手段。
• 網絡戰——政府授權的 DDoS 攻擊可用于削弱反對派網站和敵國的基礎設施。