什麼是 DDoS 攻擊？

傳奇網絡安全先驅尤金·卡巴斯基 (Eugene Kaspersky) 在他的 博客：

“DDoS 攻擊發展得非常快……它們變得更加惡劣，技術也更加先進； 他們時不時地會採取非常不尋常的攻擊方式； 他們追求新的目標，並打破新的世界紀錄，成為有史以來規模最大、最嚴重的 DDoS。 但是，DDoS 所處的世界也發展得非常快。 一切和廚房水槽都在線：連接到網絡的各種“智能”[原文如此]設備的數量現在遠遠超過了老式台式機和筆記本電腦的數量。” 的基本思想 >DDoS 攻擊 是使目標超載，直至其無法再按預期運行。 它起源於拒絕服務 (DoS) 攻擊，但這兩種攻擊的區別在於所涉及的計算機數量。 在 DoS 攻擊中，一台機器攻擊目標。 然而，在 DDoS 攻擊中，攻擊機器會得到大量其他機器的幫助。 這些機器稱為殭屍網絡，它是“機器人” 和 的混合詞。 >“網絡”。殭屍網絡由攻擊者控制的數百、數千甚至數百萬台裝置組成。 形成殭屍網絡的機器稱為殭屍。 術語“殭屍”意味著計算機正在被感染控制（很像虛構的怪物）。 殭屍要么感染了惡意軟件，要么通過其軟件中的某些漏洞被利用。 這些殭屍的控制方式是通過命令與控制（C2）伺服器。 攻擊者發送到計算機的所有命令都是通過 C2 伺服器進行的。 殭屍網絡過去需要具有專業知識的人員來控制它們。 然而如今，任何能夠訪問比特幣等加密貨幣的人都可以租用殭屍網絡。 DDoS 即服務已成為一種令人難以置信的威脅，因為它允許腳本小子暫時扮演黑客惡棍。 每當採用 DDoS 即服務時，都會向客戶端提供易於使用的前端網頁。 該網頁充當 GUI（圖形用戶界面）形式的命令和控制伺服器。 它不需要太多的技術知識來操作，這反過來又使它變得更加危險。 大量破壞性殭屍網絡只需加密支付即可，並且大多數 DDoS 攻擊都記錄在案 。 最著名的例子是 Lizard Squad 利用租用的殭屍網絡來推翻 Xbox Live、Playstation 網絡，甚至朝鮮政府網站。 這群巨魔和腳本小子以多年未見的憤怒追擊高優先級目標，也許是自匿名黑客行動主義事件以來從未見過的。 他們獲得了大量媒體曝光，雖然他們的傲慢最終導致當局找到他們，但他們留下了一系列混亂。

有關殭屍網絡的更多信息：著名示例

殭屍網絡多年來不斷發展，但其用途並不總是用於 DDoS。 以下是一些最重要的示例：

Earthlink 垃圾郵件發送者：

這可以說是第一個著名的殭屍網絡，由 Khan K. Smith 於 2000 年創建。 其目的不是DDoS攻擊，而是高頻率發送釣魚郵件。 無論是有意還是無意，DDoS 攻擊都是在這裡誕生的，因為創建它的機制已經誕生了。 其他殭屍網絡也效仿了這種網絡釣魚攻擊方式，例如 2007 年的 Cutwail。

Grum：

該殭屍網絡在 2010 年造成了全球大量垃圾郵件流量。它於 2008 年首次出現，在 2012 年關閉之前，全球大約 18% 的垃圾郵件來自 Grum。 垃圾郵件通常針對藥品。 當然，這些垃圾郵件是為了感染用戶的惡意嘗試。 迄今為止，大量惡意軟件感染都是此類垃圾郵件造成的。

Conficker：

由 Conficker 惡意軟件形成的殭屍網絡頗具傳奇色彩。 它是一種蠕蟲病毒，很容易滲透防禦並發展成為 2000 年代頭十年最大的殭屍網絡之一。 總共有400萬台機器被殭屍化，形成了殭屍網絡。 它在 2009 年達到頂峰，估計已感染全球約 1500 萬台機器。 正如數據顯示的那樣，並非所有受感染的計算機都加入了殭屍網絡。

Mariposa：

這個殭屍網絡在西班牙語中是“蝴蝶”的意思，它並不是一種優雅的生物。 相反，它是 2009 年當時最惡毒、最強大的殭屍網絡之一。 Mariposa 結合使用了點對點 (P2P) 網絡、惡意網絡連線和加載惡意軟件的 USB 驅動器（一種常見的社會工程策略） ）。 最終，聯邦調查局介入並查明了 Mariposa 的 C2 伺服器並將其關閉。 然而，在此之前，Mariposa 感染了大部分財富 500 強公司。 它也是歷史上最早的 DDoS 即服務殭屍網絡之一。

Mirai：

Mirai 是第一個利用物聯網裝置的殭屍網絡，它永遠改變了威脅格局。 不再只是計算機成為殭屍網絡的成員，任何可以被利用的智能設備（冰箱、電視等等）也都成為了殭屍網絡的成員。 Mirai 本身是一種惡意軟件，旨在利用 Minecraft 服務器，但它創造的東西遠遠超出了遊戲範圍。 Mirai 傳播的最大原因是物聯網安全實踐不佳。

該殭屍網絡用途廣泛、易於使用且功能強大。 難怪他們如此容易實施 DDoS 攻擊。

著名的 DDoS 攻擊

要真正了解分佈式拒絕服務的威力，就像我們對殭屍網絡所做的那樣，探索眾所周知的事件至關重要。 接下來的內容遠非詳盡的列表和分析，但它應該可以揭示 DDoS 攻擊的危險性。

Github：

2018 年，熱門軟件存儲庫網站遭受大規模 DDoS 攻擊。 這次攻擊的速度為每秒 1.35 Tbits/s，導致 Github 伺服器超載。 該公司設有 DDoS 防護，但根本無法承受這樣破紀錄的攻擊。 據 GitHub 稱，數千台自主機器攻擊了數以萬計的獨特端點。

Cloudflare：

Cloudflare 的名字是 DDoS 保護的代名詞，因此各種黑客想要測試他們的防御也就不足為奇了。 2014 年，Cloudflare 經歷了 NTP 反射 DDoS 攻擊。 結果是他們的服務器承受了每秒 400 Gbit/s 的壓力。

里約奧運會：

2015年，巴西里約熱內盧夏季奧運會正在如火如荼地籌備中。 由 DDoS 即服務殭屍網絡主導的大規模 DDoS 攻擊也在如火如荼地進行。 它名為 LizardStresser，與其他殭屍網絡合作，並針對奧委會官方網站。 攻擊持續了數月，擾亂了域名的正常運行。 在高峰期，攻擊的速度高達 540 Gbit/s。

Imperva：

與 Cloudflare DDoS 攻擊非常相似，Imperva 因其 DDoS 緩解服務而成為網絡犯罪分子的主要目標。 2019 年，Imperva 遭受 SYN DDoS 攻擊，峰值每秒約 5.8 億個數據包。 這顯著超過了 Cloudflare 攻擊，至少在 PPS 方面如此，因為 Cloudflare DDoS 的峰值約為每秒 130 個數據包。

Dyn：

還記得我們之前討論過的 Mirai 殭屍網絡嗎？ 它已被用於許多著名的 DDoS 攻擊，這是最大的攻擊之一。 DNS 提供商 Dyn 在 2016 年受到殭屍網絡的攻擊。許多使用 Dyn 服務的知名公司，包括 Netflix、Paypal 和 Reddit，都因這次攻擊而癱瘓。

Krebs 談安全：

Brian Krebs 是一位備受尊敬的網絡安全研究員，運營著“Krebs on Security”博客。 該博客也成為 Mirai 殭屍網絡的目標，據 Krebs 稱，這是他見過的最大規模的 DDoS 攻擊。 Krebs 對 DDoSing 並不陌生，作為一名網絡安全記者，它有點熟悉，但隨著 Mirai 攻擊，他的網站無法承受攻擊。 這次攻擊的峰值速度約為 623 Gbit/s，導致網站完全關閉一段時間。

DDoS 攻擊的類型

雖然這並不是一個詳盡的列表，但這裡的重點是展示 DDoS 攻擊的多功能性。 一些最流行的 DDoS 攻擊類型如下：

反射攻擊：

攻擊者欺騙互聯網數據包，以便伺服器以特定方式響應。 這個想法是欺騙服務器伺服器認為數據包是從它控制的域發送的。 這就是為什麼它被稱為反射，因為拒絕服務是通過欺騙伺服器“反射”通信而引起的。 數據快速有效地傳播，在不引起警報的情況下擊落目標。

ICMP 洪水：

攻擊者用惡意的網絡控制消息協議數據包淹沒目標。 這種攻擊存在多種類型，其中一個流行的例子是 ping 洪水。 在 ping 洪水攻擊中，大量 ping 請求被發送到目標。 由於 ping 是合法請求，因此目標服務器會響應每個 ICMP 回顯請求。 最終，來自殭屍網絡的洪水變得太多，服務器不再能夠通信或接收新請求。

SYN flood：

TCP/IP 協議需要三次握手才能完成與裝置的連線。 Syn-Syn/Ack-Ack 連線允許比不需要握手的 UDP 協議更少的 DDoS 機會。 然而，這並不意味著它不受剝削。 在 SYN 洪水 DDoS 中，殭屍網絡不斷地一遍又一遍地發送第一個 SYN 消息，迫使伺服器重新啟動握手，直到它不再能夠處理為止。 該攻擊針對所有開放端口。

Slowloris：

這種攻擊以可愛的亞洲靈長類動物命名，運用了“緩慢而穩定贏得比賽”的古老格言。 Slowloris 攻擊不是在短時間內用盡可能多的流量使目標過載，而是以巧妙的方式使用殭屍網絡。 它會讓所有計算機發送部分 HTTP 請求，隨著時間的推移，最終會導致目標伺服器填滿其連接池。 這會阻止任何合法用戶連線。