DoS 攻击解析：洪泛攻击、放大攻击、资源耗尽攻击、分散/勒索攻击

本文将介绍：

Flooding Attack （洪泛攻击）

Amplification Attack （放大攻击）

Resource Depletion Attack （资源耗尽攻击）

Diversion or Ransom Attack （分散或勒索攻击）

十几年前，开发者就明白用户无法接受长达数十秒的网页加载时间，每一秒加载时间的延长，都会导致用户访问量的流失。

引用来自福布斯的调查，Gomez com 的一项研究表明，当页面加载时间较长时，访问者离开网站的数量就会大幅增加。

Tagman 博客上最近使用在线眼镜网站进行的一项研究显示，速度与销量之间存在显著的相关性。事实上，页面加载时间仅仅延迟一秒就会导致销售额下降 7%。

还是福布斯的二手消息，Aberdeen Group 的一项广泛被引用的研究发现，“页面加载时间延迟 1 秒相当于页面浏览量减少 11%、客户满意度下降 16%、转化率损失 7%。”该研究可以追溯到 200 年，但如果说与现在有什么不同的话，那就是用户对快速页面加载的期望正在上升。

这种用户行为特性使得分布式拒绝服务（ DDoS ）攻击对某些攻击者非常吸引人。

DDoS 攻击是一种网络攻击方式，其目的是通过控制大量计算机和引发庞大流量来淹没目标服务器或网络，以此削减其运行速度或使其完全失去响应。

DDoS 攻击的实施通常需要攻击者控制大量计算机，这些被控制的计算机通常属于全球范围内的普通无辜用户，被攻击者编入机器人网络，即所谓的“僵尸网络”。

攻击者利用这个庞大的机器人网络对一个或一组目标发起集中的攻击，将海量的流量汇集到目标上。这种攻击形式多种多样，有的只是简单的请求洪泛，有的则进行更严重的破坏性攻击。一些云服务商的特殊规则也为 DDoS 里的反射攻击带来了便利，例如在 2022 年 4 月，研究人员监测到对亚洲 Azure 资源的反射放大 SYN+ACK 攻击。攻击达到每秒 3000 万包（ pps ），持续 15 秒。下文会讲到这些攻击的具体意义。

虽然某些攻击者喜欢使用 DDoS 来进行勒索，但 DDoS 攻击的主要用途是传播信息。简单地说，攻击者期望通过剥夺业务正常运行的手段，向企业明确传达他们已违反了某个商业规定或者意识形态。这是一种典型的“黑客活动分子”行为，他们的目标是损害企业，而不是追求财务利益。

例如，2017 年 9 月发生了有史以来最大规模的 DDoS 攻击。在这次攻击中，黑客向 180,000 个网络服务器发送了信息包，这些服务器总共向 Google 发送了 2.54 Tbps 的信息。该攻击于 2017 年 9 月被发现，但后来发现黑客在六个月内对 Google 发起了多次 DDoS 攻击。直到三年多后的 2020 年 10 月，Google Cloud 才公开有关此次攻击的信息。

而对于金融机构以及其它类似企业来说，DDoS 攻击可能影响从客户服务到资金交易的所有操作。

回归正题，虽然 DDoS 攻击有许多种类型，但本文将介绍最主要的四种类型。

Flooding Attack （洪泛攻击）

这种攻击方式将大量流量发送至目标网络，使网络充斥着数据包。此类洪泛攻击包括 DNS 洪水、HTTP 洪水、SYN 洪水攻击、ACK 洪水攻击和 Ping (ICMP)洪水攻击等，一旦流量足够多，服务器可能会在忙于处理这些流量的同时，无法对合法用户的访问请求做出响应。

首先从 DNS 洪水攻击说起。通常，这种攻击会向特定的目标发送大量的假的 DNS 请求，对方服务器在努力处理这些请求的过程中可能会耗尽资源，从而使正常的网站访问者无法接收到他们想要的服务。

然后是 HTTP 洪水攻击。HTTP 洪水攻击是通过大量发送访问请求来尝试让目标服务器中断服务。攻击者突然开始向目标服务器发送大量的 HTTP GET 或 POST 请求，使得服务器资源耗尽。

接着是 SYN 洪水攻击。在 TCP/IP 协议中，建立连接需要通过三次握手。SYN 洪水攻击是指攻击者通过快速连续发送大量的 SYN 请求（第一次握手），但并不进行最后一步（第三次握手），导致服务器保持打开大量半开放连接，进而消耗服务端的资源。

ACK 洪水攻击是另一种形式的洪水攻击。在 TCP 连接中，ACK 是确认（ acknowledge ）报文段的方式，攻击者通过发送大量伪造的 ACK 段来占用网络带宽，使得目标无法处理其他正常的网络活动。

接着是 Ping (ICMP)洪水攻击，这种类型的攻击也被称为 ping 泛洪或 ICMP 洪水攻击。攻击者发送大量的 ICMP Echo 请求（或者说"Ping"请求）给目标，好让目标在忙于回应这些请求的时候，无法处理正常的网络活动。

另一种覆盖式攻击手法是 UDP 洪水攻击。攻击者利用用户数据协议（ UDP ）向受害者的随机端口发送大量数据，从而使服务器资源耗尽，无法处理正常的网络请求。

最后是 QUIC 洪水攻击。QUIC 是 Google 提出的，现已被 IETF 标准化的一种针对网络传输的新协议。和 TCP/UDP 不同，QUIC 协议基于 UDP 进行，但对 TCP 进行了改良，使其更适应复杂网络环境。QUIC 洪水攻击，就是攻击者向目标传送大量的 QUIC 数据包，从而消耗目标服务器的处理能力和网络带宽。

Resource Depletion Attack （资源耗尽攻击）

这种攻击侧重于消耗目标服务器的计算资源，例如 CPU 和内存，使其无法处理合法的网络请求。在 SYN 洪水攻击和 UDP 洪水攻击中，攻击者会通过发送大量假的 SYN 请求和 UDP 数据包，使服务器保持打开大量的半开放连接，或者忙于处理无效的数据包，从而消耗服务器资源。

Amplification Attack （放大攻击）

这种攻击利用公开访问的域名系统（ DNS ）进行攻击，向目标发送大量特定类型的数据包。其中，攻击数据包通常是伪造的，以隐藏攻击的真实来源，或者规避潜在的防火墙防御。

Diversion or Ransom Attack （分散或勒索攻击）

在这种攻击中，洪泛或资源耗尽攻击通常被用作幌子，吸引网络安全团队和事件响应人员的注意力，同时攻击者采取其他方式进行网络渗透。例如，攻击者不断向受害者服务器发送流量，直到受害者支付赎金以停止攻击，或者在 DDoS 攻击分散响应团队注意力的同时，利用恶意软件或利用已知的漏洞进行攻击。

应对方法

攻击流量往往很大，充足的防护带宽是不可或缺的，所以如果业务被攻击者盯上，面临这种大流量 DDoS 攻击时，非常推荐接入云防护，通过云厂商海量的防护带宽进行防御。借助他们专业的 DDoS 防护能力进行防护，对流量进行精细化清洗。