什么是 DDoS 攻击 - 类型、僵尸网络与防御方法

DDoS 攻击基础 - "淹没"服务的攻击

DDoS（分布式拒绝服务）攻击是从大量计算机同时向目标服务器发送请求，使正常用户无法使用服务的攻击方式。与来自单一攻击源的 DoS 攻击不同，由于使用了数千到数百万台设备，仅靠封锁源 IP 地址无法防御。

2023 年 Google 报告的史上最大 DDoS 攻击，峰值达到每秒 3.98 亿次请求（398M rps）。这相当于在短短 10 秒内发送了维基百科一整天的页面浏览量。

DDoS 攻击即使没有高深的技术知识也能实施，被称为"DDoS-as-a-Service"的非法服务以每月几十美元的价格出售。这种低门槛是 DDoS 攻击难以根除的根本原因。

DDoS 攻击的 3 种分类

DDoS 攻击根据针对 OSI 参考模型的哪一层，大致分为 3 类。

放大攻击的原理

流量型攻击中最高效的是放大攻击。攻击者将源 IP 伪装为目标地址（IP 欺骗），向 DNS 服务器或 NTP 服务器发送小型请求。这些服务器会向目标返回比原始请求大数十倍到数百倍的响应。DNS 放大的放大率最高可达 54 倍，利用 memcached 时最高可达 51,000 倍。

僵尸网络 - DDoS 攻击的"军队"

实现 DDoS 攻击"分布式"特性的是僵尸网络。被恶意软件感染的计算机、IoT 设备、服务器按照攻击者的指令（C&C 服务器）同时发送攻击流量。

Mirai 僵尸网络的冲击

2016 年出现的 Mirai 僵尸网络劫持了约 60 万台使用默认密码的监控摄像头和路由器等 IoT 设备，对 DNS 提供商 Dyn 发起了 1.2 Tbps 的攻击。这次攻击导致 Twitter、Netflix、Reddit、GitHub 等众多大型服务数小时无法访问。

Mirai 的源代码已被公开，其变种至今仍在活动。检查家用路由器的安全性并修改默认密码，是防止成为僵尸网络帮凶的第一步。

现代僵尸网络的规模

• Mirai (2016)：约 60 万台 IoT 设备，峰值 1.2 Tbps
• Mēris (2021)：约 25 万台路由器，峰值 21.8M rps
• Mantis (2022)：约 5,000 台虚拟机，峰值 26M rps（精锐型）
• HTTP/2 Rapid Reset (2023)：利用协议漏洞，峰值 398M rps

DDoS 攻击的防御方法

DDoS 攻击的防御不能依赖单一措施，基本原则是多层防御。

网络层防御

• BGP Anycast：在全球多个节点共享同一 IP 地址，将攻击流量地理分散
• 黑洞路由：将攻击流量转发到 /dev/null。正常流量也会受影响，是最后手段
• 速率限制：限制单位时间内的请求数。对 L7 攻击有效

CDN/云端防御服务

CDN 提供商提供的 DDoS 防御服务，利用大规模网络容量吸收攻击流量。

遭受 DDoS 攻击时的应对

遭受攻击时的初始响应决定了损失的大小。

1. 检测和分类攻击：检测到流量激增后，确定是流量型、协议型还是 L7 型
2. 联系 ISP/托管服务商：请求上游过滤。仅靠自身带宽往往不够
3. 启用 CDN/DDoS 防御服务：即使事先没有签约，Cloudflare 等也支持紧急接入
4. 记录攻击模式：记录源 IP、请求模式、攻击持续时间。法律追诉和防止再发需要这些信息
5. 向执法机关报案：DDoS 攻击在日本属于"破坏电子计算机等妨害业务罪"（刑法第 234 条之 2）的犯罪行为

网站宕机的原因不只有 DDoS，但如果伴随流量激增，应当怀疑 DDoS。

DDoS 攻击的未来 - AI 和 IoT 带来的威胁

DDoS 攻击的规模和复杂度逐年增加。根据 2024 年 Cloudflare 的报告，L7 DDoS 攻击同比增长了 61%。

• AI 驱动的自适应攻击：实时学习防御模式、规避检测的攻击正在出现
• IoT 设备爆发式增长：预计 2025 年全球将有约 300 亿台 IoT 设备运行，僵尸网络的潜在规模在扩大
• 协议漏洞：像 HTTP/2 Rapid Reset 这样利用新协议设计缺陷的攻击在增加
• 勒索型 DDoS：与勒索软件结合的"想停止攻击就付赎金"的威胁

想系统学习 DDoS 防护的朋友，DDoS 防护专业书籍可以作为参考。在IP 确认君查看自己的 IP 地址，了解网络基础知识，是提升安全意识的第一步。