道德黑客 – DDOS 攻击

分布式拒绝服务 (DDoS) 攻击是试图通过使用来自多个来源的大量流量使其过载来使在线服务或网站不可用。

与使用一台计算机和一个 Internet 连接用数据包淹没目标资源的拒绝服务 (DoS) 攻击不同，DDoS 攻击使用多台计算机和许多 Internet 连接，通常分布在全球范围内，称为僵尸网络.

大规模的 DDoS 攻击可以产生每秒数十吉比特（甚至数百吉比特）的流量。我们确信您的正常网络将无法处理此类流量。

什么是僵尸网络？

攻击者通过电子邮件、网站和社交媒体传播恶意代码，构建一个被黑机器网络，称为僵尸网络。一旦这些计算机被感染，它们就可以在其所有者不知情的情况下被远程控制，并像军队一样被用来对任何目标发动攻击。

DDoS 泛洪可以通过多种方式生成。例如 –

• 僵尸网络可用于发送比服务器一次可以处理的更多数量的连接请求。

• 攻击者可以让计算机向受害者资源发送大量随机数据，以耗尽目标的带宽。

由于这些机器的分布式特性，它们可用于生成可能难以处理的分布式高流量。它最终导致服务完全阻塞。

DDoS 攻击的类型

DDoS 攻击可以大致分为三类 –

• 基于卷的攻击
• 协议攻击
• 应用层攻击

基于卷的攻击

基于卷的攻击包括 TCP 泛洪、UDP 泛洪、ICMP 泛洪和其他欺骗性数据包泛洪。这些也称为第 3 层和第 4 层攻击。在这里，攻击者试图使目标站点的带宽饱和。攻击幅度以每秒位数(bps) 为单位。

• UDP Flood – UDP Flood 用于使用大量 UDP 数据包（更具体地说是端口号 53）淹没远程主机上的随机端口。专用防火墙可用于过滤或阻止恶意 UDP 数据包。

• ICMP 洪水– 这类似于 UDP 洪水，用于用大量 ICMP 回声请求来淹没远程主机。这种类型的攻击会消耗传出和传入带宽，大量 ping 请求将导致整个系统变慢。

• HTTP Flood – 攻击者向目标 Web 服务器大量发送 HTTP GET 和 POST 请求，服务器无法处理这些请求，并导致拒绝来自合法客户端的额外连接。

• 放大攻击– 攻击者发出一个请求，该请求会生成一个大响应，其中包括对大型 TXT 记录的 DNS 请求和对大型文件（如图像、PDF 或任何其他数据文件）的 HTTP GET 请求。

协议攻击

协议攻击包括SYN Flood、Ping of Death、碎片包攻击、Smurf DDoS等。这类攻击会消耗实际服务器资源和其他资源，如防火墙和负载均衡器。攻击量级以每秒数据包数来衡量。

• DNS Flood – DNS Flood用于攻击基础设施和 DNS 应用程序，以压倒目标系统并消耗其所有可用的网络带宽。

• SYN Flood – 攻击者发送 TCP 连接请求的速度比目标机器处理它们的速度快，导致网络饱和。管理员可以调整 TCP 堆栈以减轻 SYN 泛洪的影响。为了减少 SYN 泛滥的影响，您可以减少超时，直到堆栈释放分配给连接的内存，或者使用防火墙或iptables有选择地丢弃传入连接。

• Ping of Death – 攻击者使用简单的 ping 命令发送格式错误或过大的数据包。IP 允许发送 65,535 字节的数据包，但发送大于 65,535 字节的 ping 数据包会违反 Internet 协议，并可能导致目标系统内存溢出并最终导致系统崩溃。为了避免 Ping of Death 攻击及其变体，许多站点在其防火墙处完全阻止 ICMP ping 消息。

应用层攻击

应用层攻击包括 Slowloris、零日 DDoS 攻击、针对 Apache、Windows 或 OpenBSD 漏洞的 DDoS 攻击等。这里的目标是使 Web 服务器崩溃。攻击量级以每秒请求数来衡量。

• 应用程序攻击– 这也称为第 7 层攻击，攻击者在其中进行过多的登录、数据库查找或搜索请求以使应用程序过载。检测第 7 层攻击真的很困难，因为它们类似于合法的网站流量。

• Slowloris – 攻击者向目标 Web 服务器发送大量 HTTP 标头，但从未完成请求。目标服务器将这些虚假连接中的每一个都保持打开状态，并最终使最大并发连接池溢出，并导致拒绝来自合法客户端的额外连接。

• NTP 放大– 攻击者利用可公开访问的网络时间协议 (NTP) 服务器以用户数据报协议 (UDP) 流量压倒目标服务器。

• 零日 DDoS 攻击– 零日漏洞是供应商以前未知的系统或应用程序缺陷，尚未修复或修补。这些是日益出现的新型攻击，例如，利用尚未发布补丁的漏洞。

如何修复 DDoS 攻击

您可以根据 DDoS 攻击的类型应用多种 DDoS 保护选项。

您的 DDoS 保护始于识别和关闭系统中所有可能的操作系统和应用程序级漏洞、关闭所有可能的端口、从系统中删除不必要的访问以及将您的服务器隐藏在代理或 CDN 系统之后。

如果您发现 DDoS 的数量很小，那么您可以找到许多基于防火墙的解决方案，它们可以帮助您过滤掉基于 DDoS 的流量。但是，如果您有大量的 DDoS 攻击，如千兆甚至更多，那么您应该寻求 DDoS 保护服务提供商的帮助，该服务提供商提供更全面、更主动和更真实的方法。

在接近和选择 DDoS 保护服务提供商时，您必须小心。有许多服务提供商希望利用您的情况。如果您通知他们您受到 DDoS 攻击，那么他们将开始以不合理的高成本为您提供各种服务。

我们可以为您推荐一个简单而有效的解决方案，首先是搜索一个优秀的 DNS 解决方案提供商，该提供商足够灵活，可以为您的网站配置 A 和 CNAME 记录。其次，您需要一个优秀的 CDN 提供商，该提供商可以处理大的 DDoS 流量，并作为其 CDN 包的一部分为您提供 DDoS 保护服务。

假设您的服务器 IP 地址是 AAA.BBB.CCC.DDD。然后你应该做以下 DNS 配置 –

• 在 DNS 区域文件中创建一个A 记录，如下所示，带有一个 DNS 标识符，例如，ARECORDID，并对外界保密。

• 现在要求您的 CDN 提供商将创建的 DNS 标识符与 URL 链接，例如cdn.someotherid.domain.com。

• 您将使用 CDN URL cdn.someotherid.domain.com 创建两个 CNAME 记录，第一个记录指向www，第二个记录指向 &commat，如下所示。

您可以向系统管理员寻求帮助以了解这些要点并适当地配置您的 DNS 和 CDN。最后，您将在您的 DNS 上进行以下配置。

现在，让 CDN 提供商处理所有类型的 DDoS 攻击，您的系统将保持安全。但这里的条件是你不应该向任何人透露你系统的 IP 地址或 A 记录标识符；否则直接攻击将再次开始。

快速解决

DDoS 攻击比以往任何时候都更加普遍，不幸的是，这个问题没有快速解决方案。但是，如果您的系统受到 DDoS 攻击，请不要惊慌并开始逐步调查此事。