【云盘算网络安全】剖析DDoS攻击：工作原理、识别和防御策略 | 文末送书 ...

  
一、媒介

在今天的云盘算数字期间，网络安全问题变得愈发重要。尤其是云盘算中所设计到的网络安全问题，此中一种常见的网络威胁是分布式拒绝服务（DDoS）攻击。DDoS攻击旨在通过大规模的网络流量淹没目标服务器或网络，以破坏正常的在线服务。了解DDoS攻击的工作原理以及如何识别和防范它们对于掩护网络和服务器的稳固性至关重要。
在本文中，我们将深入探究DDoS攻击的各个方面，从什么是 DDoS 攻击开始，了解其工作原理，以及如何辨识各类 DDoS 攻击。我们还将先容一些常见的 DDoS 攻击类型，包罗应用步伐层攻击和协议攻击，以及它们的示例。此外，我们还将讨论如何采取措施来掩护自己免受 DDoS 攻击，包罗黑洞路由、速率限制、Web应用步伐防火墙和 Anycast 网络扩散等防御方法。
通过深入了解 DDoS 攻击以及应对策略，我们可以更好地预备和掩护自己的网络资源，确保其稳固性和可用性。让我们一起开始这个关于 DDoS 攻击的探索之旅。
二、什么是 DDoS 攻击？

分布式拒绝服务（DDoS）攻击是一种恶意行为，通过大规模互联网流量淹没目标服务器或其周边底子设施，旨在破坏目标服务器、服务或网络正常运行。
DDoS 攻击通过多台受感染的盘算机系统充当攻击流量源，以实现攻击的目的。这些盘算机系统可以包罗普通盘算机，也可以包罗其他联网资源（如物联网装备）。
个人简单理解可以为，DDoS 攻击可类比为高速公路上的交通堵塞，拦阻了正常车辆的到达目的地。

三、DDoS 攻击的工作原理

DDoS 攻击是通过毗连到互联网的盘算机网络执行的。这些网络包罗盘算机和其他装备（比方 IoT 装备），它们被感染并受到恶意软件的控制，攻击者可以远程控制这些装备。这些感染的个体装备通常被称为"僵尸"，而它们的集合则构成了"僵尸网络"。
一旦创建了僵尸网络，攻击者可以通过向每个僵尸发送远程指令来发动攻击。当僵尸网络将受害者的服务器或网络作为目标时，每个僵尸会向目标的 IP 地址发送请求，这可能导致服务器或网络不堪重负，进而拒绝正常流量的服务。
鉴于每个僵尸都是正当的互联网装备，因此很难区分攻击流量和正常流量。
四、如何识别 DDoS 攻击

DDoS 攻击最明显的迹象之一是网站或服务的突然减速或不可用。然而，造成类似性能问题的原因多种多样（如正当流量激增），因此通常必要进一步观察。流量分析工具可以帮助您识别 DDoS 攻击的一些显著特性：

• 来自单个 IP 地址或 IP 范围的可疑流量。
  
• 大量流量来自共享雷偕行为特性的用户，如装备类型、地理位置或 Web 欣赏器版本。
  
• 单个页面或端点的请求数目出现不明原因的激增。
  
• 非常的流量模式，比方在非常规时间段内的激增或看似不自然的模式（比方，每 10 分钟一次的激增）。
  此外，DDoS 攻击的具体特性还可能因攻击类型而异。
  

五、常见的 DDoS 攻击有哪几类？

不同类型的 DDoS 攻击针对不同的网络毗连组件。为了解不同的 DDoS 攻击如何运作，有须要知道网络毗连是如何创建的。
互联网上的网络毗连由许多不同的组件或“层”构成。就像打地基盖房子一样，模子中的每一步都有不同的用途。
OSI 模子（如下图所示）是一个概念框架，用于描述 7 个不同层级的网络毗连。

险些所有 DDoS 攻击都涉及用流量淹没目标装备或网络，攻击者可能利用一种或多种不同的攻击手段，也可能根据目标采取的防范措施循环使用多种攻击手段。
总结起来 DDoS 攻击可以分为三类
5.1 应用步伐层攻击

5.1.1 攻击目标

此类攻击有时称为第 7 层 DDoS 攻击（指 OSI 模子第 7 层），其目标是耗尽目标资源。
攻击目标是天生网页并传输网页响应 HTTP 请求的服务器层。在客户端执行一项 HTTP 请求的盘算成本比较低，但目标服务器做出响应却可能非常昂贵，由于服务器通常必须加载多个文件并运行数据库查询才能创建网页。
第 7 层攻击很难防御，由于难以区分恶意流量和正当流量。
5.1.2 应用步伐层攻击示例

5.1.3 HTTP 洪水

HTTP 洪水攻击类似于同时在大量不同盘算机的 Web 欣赏器中一次又一次地按下革新 ——大量 HTTP 请求涌向服务器，导致拒绝服务。
这种类型的攻击有简单的，也有复杂的。
较简单的实现可以使用类似范围的攻击 IP 地址、referrer 和用户署理访问一个 URL。复杂版本可能使用大量攻击性 IP 地址，并使用随机 referrer 和用户署理来针对随机网址。
5.2 协议攻击

5.2.1 攻击目标

协议攻击也称为状态耗尽攻击，这类攻击会过度斲丧服务器资源和/或防火墙和负载平衡器之类的网络装备资源，从而导致服务中断。
协议攻击利用协议堆栈第 3 层和第 4 层的弱点致使目标无法访问。
5.2.2 协议攻击示例

5.2.3 SYN 洪水

SYN 洪水就好比补给室中的工作人员从商店的柜台接收请求。
工作人员收到请求，前去取包裹，再等待确认，然后将包裹送到柜台。工作人员收到太多包裹请求，但得不到确认，直到无法处理更多包裹，实在不堪重负，致使无人能对请求做出回应。
此类攻击利用 TCP 握手（两台盘算机发起网络毗连时要颠末的一系列通信），通过向目标发送大量带有伪造源 IP 地址的 TCP“初始毗连请求”SYN 数据包来实现。
目标盘算机响应每个毗连请求，然后等待握手中的最后一步，但这一步确永久不会发生，因此在此过程中耗尽目标的资源。
5.3 容量耗尽攻击

5.3.1 攻击目标

此类攻击试图通过斲丧目标与较大的互联网之间的所有可用带宽来造成拥塞。攻击运用某种放大攻击或其他天生大量流量的手段（如僵尸网络请求），向目标发送大量数据。
5.3.2 攻击示例

5.3.3 DNS 放大

DNS 放大就好比有人打电话给餐馆说“每道菜都订一份，请给我回电话复述整个订单”，而提供的回电号码现实上属于受害者。险些不费吹灰之力，就能产生很长的响应并发送给受害者。
利用伪造的 IP 地址（受害者的 IP 地址）向开放式 DNS 服务器发出请求后，目标 IP 地址将收到服务器发回的响应。
六、如何防护 DDoS 攻击？

若要缓解 DDoS 攻击，关键在于区分攻击流量与正常流量。
比方，假如因发布某款产品导致公司网站涌现大批热情客户，那么全面堵截流量是错误之举。假如公司从已知恶意用户处收到的流量突然激增，或许必要努力缓解攻击。
难点在于区分真实客户流量与攻击流量。
在当代互联网中，DDoS 流量以多种形式出现。流量设计可能有所不同，从非欺骗性单源攻击到复杂的自适应多方位攻击无所不有。
多方位 DDoS 攻击接纳多种攻击手段，以期通过不同的方式击垮目标，很可能分散各个层级的缓解工作注意力。
同时针对协议堆栈的多个层级（如 DNS 放大（针对第 3/4 层）外加 HTTP 洪水（针对第 7 层））发动攻击就是多方位 DDoS 攻击的一个典型例子。
为防护多方位 DDoS 攻击，必要部署多项不同策略，从而缓解不同层级的攻击。
一般而言，攻击越复杂，越难以区分攻击流量与正常流量 —— 攻击者的目标是尽可能混入正常流量，从而只管削弱缓解成效。
假如缓解措施不加选择地丢弃或限制流量，很可能将正常流量与攻击流量一起丢弃，同时攻击还可能举行修改调整以规避缓解措施。为降服复杂的破坏手段，接纳分层办理方案结果最抱负。
6.1 黑洞路由

有一种办理方案险些适用于所有网络管理员：创建黑洞路由，并将流量汇入该路由。在最简单的形式下，当在没有特定限制条件的情况下实施黑洞过滤时，正当网络流量和恶意网络流量都将路由到空路由或黑洞，并从网络中丢弃。
假如互联网装备遭受 DDoS 攻击，则该装备的互联网服务提供商（ISP）可能会将站点的所有流量发送到黑洞中作为防御。这不是抱负的办理方案，由于它相称于让攻击者达成预期的目标：使网络无法访问。
6.2 速率限制

限礼服务器在某个时间段接收的请求数目也是防护拒绝服务攻击的一种方法。
固然速率限制对于减缓 Web 爬虫盗取内容及防护暴力破解攻击很有帮助，但仅靠速率限制可能不足以有效应对复杂的 DDoS 攻击。
然而，在高效 DDoS 防护策略中，速率限制不失为一种有效手段。
6.3 Web 应用步伐防火墙

Web 应用步伐防火墙（WAF） 是一种有效工具，有助于缓解第 7 层 DDoS 攻击。在互联网和源站之间部署 WAF 后，WAF 可以充当反向署理，掩护目标服务器，防止其遭受特定类型的恶意流量入侵。
通过基于一系列用于识别 DDoS 工具的规则过滤请求，可以阻止第 7 层攻击。有效的 WAF 的一个关键价值是能够快速实施自界说规则以应对攻击。
6.4 Anycast 网络扩散

此类缓解方法使用 Anycast 网络，将攻击流量分散至分布式服务器网络，直到网络吸收流量为止。
这种方法就好比将湍急的河流引入若干独立的小水渠，将分布式攻击流量的影响分散到可以管理的水平，从而分散破坏力。
Anycast 网络在缓解 DDoS 攻击方面的可靠性取决于攻击规模及网络规模和服从。接纳 Anycast 分布式网络是实施 DDoS防护策略的一个重要组成部分。
七、文末送书《构建新型网络形态下的网络空间安全体系》

本文先容了网络安全中央的 DDoS攻击：工作原理、识别和防御策略，假如你想深入了解，可以看一下下面的博主推荐的这本册本

• 到场方式：关注博主，评论区留言即可到场，
  
• 送出数目：暂定送出5本给粉丝（博文抽出3本 + 粉丝群2本）
  

颠末30多年的发展，安全已经深入到信息化的方方面面，形成了一个巨大的产业和复杂的理论、技术和产品体系。
因此，必要站在网络空间的高度对待安全与网络的关系，站在安全产业的高度对待安全厂商与客户的关系，站在企业的高度对待安全体系设计与安全体系创建之间的关系。
这是对安全行业的一次以网络空间为框架，以思考为刀，以安全产品与技术为刃，以企业安全体系创建为牛的深度解构与重构。

• 官方JD购买链接：https://item.jd.com/13767561.html
  

假如你是投资人，可以在这里看到整个产业发展的驱动力，看到安全技术和厂商的发展趋势，看到未来良好的安全厂商和技术的特点，以及未来十年的厂商与技术格局。
假如你是客户，你可以在数以十计的安全标准和安全理论、数以百计的安全厂商及数以千计的产品和办理方案之间，找到一种公道的组合逻辑，从而让安全创建变得有理、有据、有序。
假如你是安全从业者，由于平时工作内容的聚焦，可能会对安全的某个点有深入研究，但是对整个安全系统还缺乏完整的理解。比如写反病毒引擎的，可能并没有机会分析病毒；写客户端步伐的，可能不了解服务器端技术。在这里，你可以系统地了解安全是什么，安全有什么，安全该怎么做，安全的未来将会如何发展。
假如你是安全爱好者，这里还有大量的安全底子知识与风趣的安全故事来等你发掘。
在这里，安全不再是一堆零配件，而是一个完整的有机体。你可以沿着某种视角，由远及近、由外而本地了解安全，然后更好地驾御它。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。