分布式拒绝服务攻击结合新技术演变出多种类型(图)

自1966年分布式拒绝服务（DDoS）攻击诞生以来，一直困扰着网络安全，尤其是随着新技术的不断涌现，导致DDoS攻击与新技术相结合演变成多种类型。 DDoS攻击作为黑灰色的手段之一，给许多企业和国家造成了巨大损失。

爱沙尼亚网络战争

2007 年 4 月land攻击源端口目的端口，爱沙尼亚遭受了大规模的 DDoS 攻击。黑客针对议会、政府部门、银行甚至媒体网站。袭击的规模广泛而深入。这次袭击是对与俄罗斯达成的第二项协议的回应。关于重新安置世界大战纪念馆“塔林的青铜勇士”的政治冲突。该事件引起了国际军事界的广泛关注，被军事专家普遍认为是国家层面的第一次网络战争。

攻击的第一个高峰发生在 5 月 3 日，当时莫斯科爆发了最激烈的叛乱。另一个高峰是在 5 月 8 日和 9 日，当时欧洲国家纪念战胜纳粹德国，袭击同时升级，至少有 6 个政府网站被迫停止，包括外交部和司法部。攻击的最后一个高峰是在 15 日land攻击源端口目的端口，当时该国最大的银行被迫暂停对外联系。爱沙尼亚两大报纸之一的《邮报》编辑指出：“毫无疑问，网络攻击起源于俄罗斯，这是一场政治攻击。”然而，俄罗斯一再否认与该事件有任何牵连，并批评爱沙尼亚的捏造指控。这次攻击促成了关于网络战的国际法的制定。

最大的 DDoS 攻击 – GitHub 被攻击

迄今为止最大的 DDoS 攻击发生在 2018 年 2 月。攻击针对的是 GitHub，这是一种被数百万开发人员使用的流行在线代码管理服务。在这个高峰期，攻击以 1.3 TB/秒 (Tbps) 和 1.269 亿包/秒的速度传输流量。攻击者利用了一种名为 Memcached 的流行数据库缓存系统的放大效应。通过向 Memcached 服务器收取欺骗性请求的费用，攻击者能够将他们的攻击放大大约 50,000 倍。

幸运的是，GitHub 正在使用 DDoS 保护服务，该服务会在攻击开始后 10 分钟内自动发出警报。此警报触发了缓解过程，因此 GitHub 能够快速阻止攻击。最终，世界上最大的 DDoS 攻击只持续了大约 20 分钟。

国际知名公司 NETSCOUT 发布调查报告结果显示，2021 年上半年，网络犯罪分子发起了约 540 万次分布式拒绝服务 (DDoS) 攻击，较去年同期增长 11%。 2020 年上半年。

分布式拒绝服务 (DDoS) 攻击针对网络设施中的缺陷。攻击者可以通过伪造 IP 地址来间接增加攻击流量。通过欺骗源IP地址，受害者误认为有大量主机与其通信。黑客还会利用IP协议的缺陷攻击一个或多个目标，消耗网络带宽和系统资源，阻止合法用户获得正常服务。伪造IP地址发起攻击的成本远低于搭建僵尸主机，技术成本要求更低，使得通过伪造IP地址进行DDoS攻击异常活跃。针对分布式拒绝服务（Distributed Denial of Service，DDoS）攻击，分布式、欺骗性、隐蔽性等特点，使其难以追踪和防范。

随着技术的不断进步，攻击源跟踪技术在跟踪速度、自动化程度、跟踪精度等方面都取得了长足的进步。 DDoS网络层攻击检测也分为多种方法。如何从IP源地址的角度防范DDoS攻击？

当DDoS攻击发生或结束时，您可以根据相关信息定位攻击源，找到攻击者的位置或攻击源。 IP地址源定位是DDoS攻击防御过程中的一个重要环节，在连接前后起着关键作用。准确的IP地址定位结果不仅可以为进一步追踪真正的攻击者提供线索，还可以为其他防御措施提供信息，例如限速和过滤，也可以为追究攻击者的责任提供法律依据。

基于IP源地址数量和分布的变化，根据研究报告《Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring》，为了隐藏攻击，DDoS会降低攻击率和使攻击流量速率接近正常访问速率增加了检测难度，但是当发生 DDoS 攻击时，访问 IP 数量的显着增加是该攻击的一个明显特征。而且这个功能是无法隐藏的。基于这一特性，如果能够实时监测和确定IP地址，就可以有效地检测出DDoS攻击，尤其是攻击源地址均匀分布的DDoS攻击。通过监控访问流量的变化，我们可以有效区分Flash Crowd和DDoS攻击。

同时，根据《An Entropy Based Method to Detect Spoofed Denial of Service (Dos) Attacks》的研究报告，当发生伪造源地址DDoS攻击时，IP流数的熵值源地址和目标地址流数的熵值 大量的流聚合会导致目的地址的熵显着下降，而攻击流的均匀性会增加源地址的熵。通过训练阈值可以检测DDoS攻击。

当没有攻击发生时，目标地址访问的源地址分布是稳定的，通常是聚集的，而当DDoS攻击发生时，IP源地址的分布往往是离散的。可以根据IP源地址的特点来识别DDoS攻击的方法。

DDoS、蠕虫和病毒（垃圾邮件）电子邮件是影响骨干网安全的三个主要因素。从行为模式来看，三者有明显区别：DDoS表现为多个地址向一个IP地址发送数据； worms 表现为一个IP地址通过一个或多个端口向多个IP地址发送数据包；病毒邮件是一个地址，通过25端口向多个IP地址发送数据包。W Chen和DY Yeung将这三种行为模型称为威胁利益关系（threats Interestness Relation，简称TIR）模型。通过监控源地址、目的地址和端口，构建TIR树，可以有效识别三种类型的攻击。<​​/p>

对于服务器，以前访问过的用户经常会重新出现。当DDoS发生时，为这些用户提供服务可以有效防御攻击。基于此原理，history-IP过滤方法根据正常访问源地址的频率和对应的数据包数量建立IP地址库，并使用滑动窗口剔除过期地址。雅芳科技IP应用场景数据库包含43亿全IP数据，可有效识别机器、爬虫流量、“非人类用户”等各种网络风险。当发生DDoS攻击时，基于IP地址数据库提供的数据服务，可以直接识别出风险IP，从IP源地址保障网络安全。

进入 21 世纪，DDoS 攻击仍然是互联网安全最重要的威胁之一。及时更新网络安全设备和软件，检查计算机漏洞，可以有效监控恶意软件，降低操作系统感染风险。同时，要提高个人电脑安全防护意识，营造安全的电脑环境。