什么是 DDoS 攻击

DDoS (Distributed Denial of Service，分布式拒绝服务) 攻击是从大量计算机向目标服务器或网络发送海量流量，使服务无法使用的攻击。与来自单一攻击源的 DoS 攻击不同，DDoS 攻击使用数千到数百万台僵尸网络 (感染恶意软件的设备群) 进行分布式攻击，仅靠封锁源 IP 无法防御。

DDoS 攻击的规模持续增长。超过 1 Tbps 的攻击已不罕见，DDoS 即服务的出现降低了门槛 - - 任何人只需几美元就能发起攻击。动机从金融勒索、竞争破坏到政治活动 (黑客行动主义) 不等。

攻击分类与技术

DDoS 攻击根据针对 OSI 模型的哪一层大致分为三类。

容量型攻击 (L3/L4)

旨在耗尽目标的带宽。UDP 洪水、ICMP 洪水和 DNS 放大 (放大 DNS 响应并发送给目标) 是典型例子。在 DNS 放大中，攻击者将源 IP 伪造为目标地址，向开放 DNS 解析器发送小查询，解析器返回最多 50 倍大的响应给目标。

协议型攻击 (L3/L4)

利用协议弱点耗尽服务器资源。SYN 洪水发送大量 TCP 连接请求但不完成握手，填满服务器的连接表。Ping of Death 和 Smurf 攻击也属于此类。

应用层攻击 (L7)

以看似合法的请求针对应用层。HTTP 洪水发送大量正常外观的请求，Slowloris 通过极慢地发送头部保持连接打开。由于流量看起来合法，这是最难与真实用户区分的类型。

防御策略与架构

DDoS 防御基于多层次的多级保护。

CDN 部署：将内容分布到全球边缘服务器可吸收攻击流量。大型 CDN 提供商可缓解数十 Tbps 规模的攻击。
WAF (Web 应用防火墙)：检测并阻止应用层攻击。速率限制、机器人检测和地理过滤是有效的对策。
Anycast 路由：将同一 IP 地址分布到全球多个数据中心，在地理上分散攻击流量，防止集中于单一点。
速率限制：限制每个 IP 地址在单位时间内的请求数。对 HTTP 洪水有效，但需仔细调整以避免阻止合法用户。
DDoS 防护服务：Cloudflare、AWS Shield、Akamai 等提供商的专用服务提供始终在线的保护，具备自动检测和缓解功能。

事件响应

DDoS 攻击期间的快速响应对最小化损害至关重要。在事件响应计划中包含 DDoS 场景至关重要。

检测与初始响应：通过监控告警检测流量异常增加、响应时间恶化和错误率上升。识别攻击类型 (容量型、协议型或应用层) 以确定适当的对策。
启动缓解：启用 DDoS 防护服务或将 DNS 切换到清洗中心。如果使用 CDN，验证源 IP 地址未暴露。
通信：通过状态页面或社交媒体通知用户服务中断。通知 ISP 和托管提供商请求上游过滤。
事后分析：攻击平息后，分析日志识别攻击模式，评估防御效果，更新响应计划。

常见误解

小型网站不会成为 DDoS 攻击目标: DDoS 攻击出于多种原因 - - 金融勒索、竞争破坏和政治动机。通过 DDoS 即服务，只需几美元就能委托攻击，任何规模的网站都可能成为目标。
增加带宽就能防御 DDoS 攻击: 带宽增加对容量型攻击有一定防御效果，但应用层攻击以少量流量就能耗尽服务器资源。需要 WAF 和速率限制等多层措施。

DDoS 攻击类型对比

容量型攻击

旨在耗尽带宽。流量非常大 (数百 Gbps 到 Tbps)。CDN 和 ISP 级别的吸收有效。DNS 放大是典型例子。

应用层攻击

旨在耗尽服务器处理能力。即使流量少也效果显著。需要 WAF 和速率限制进行防御。Slowloris 和 HTTP 洪水是典型例子。

DDoS 攻击