在2000年年初，加拿大高中生Michael Calce通過一個分散式拒絕服務(DDoS)攻擊，設法關閉了當時全球最主要入口網站之一雅虎(Yahoo)的服務。而在接下來的一週中，Calce又成功地中斷了Amazon、CNN和eBay當時幾個熱門的網站。這次襲擊造成了毀滅性的後果，包括在股市中造成網站崩潰、客戶無法訪問、無法正常交易等一系混亂。

這並不是DDoS攻擊的第一次實施，但是一連串迅速且成功的攻擊使得DDoS攻擊變成了網路安全防護的噩夢。從那時起，DDoS攻擊成為一種頻繁發生的威脅，同時也開啟了一場永不落幕的網路安全攻防之戰。

在網際網路迅猛發展的今天，因為攻擊成本低、效果明顯，DDoS攻擊仍是目前網際網路使用者面臨的較常見、影響較嚴重的網路安全威脅之一。但是DDoS從何而來，這就要從另一個D說起…

拒絕服務攻擊——DoS

分散式拒絕服務(Distributed Denial of Service,DDoS)攻擊，其實是一種基於傳統的DoS 攻擊的攻擊方式。DoS 最初是一種網路測試工具，而不是一種網路攻擊方式。它可以用來測試網路裝置的執行能力、網路的最大頻寬、伺服器的最大負載能力等，我們使用計算機接觸最頻繁的也是DoS。隨後 DoS 技術被黑客利用成為一種網路攻擊。

拒絕服務(Denial ofService.DoS)攻擊，是指一個或多個攻擊源在一段時間內利用系統或協議的漏洞或缺陷，採取偽裝或欺騙的方式來消耗系統有限的不可恢復的資源，從而使合法使用者的服務效能降低或遭到拒絕。

DoS 攻擊簡單有效，能夠迅速產生效果。常見的 DoS 攻擊方法有 SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Teardropt 等。網路頻寬問題是 DoS 攻擊面臨的難題之一，單一的 DoS 攻擊一般採用一對一的方式，當攻擊目標的記憶體小，CPU處理能力弱或網路頻寬等各項效能指標不高時，攻擊效果非常明顯。隨著計算機與網路技術的發展，計算機的處理能力大幅度增強，記憶體大大增長，同時也出現了千兆級的網路，這意味著攻擊目標的“消化能力”加強了，例如攻擊者每秒鐘向受害者傳送 2000 個攻擊包,而主機與網路頻寬的處理能力在每秒鐘 10000個攻擊包以上，這樣的 DoS 攻擊就不會產生明顯的效果。黑客為了克服這個缺點，分散式拒絕服務(DDoS)攻擊應運而生。

分散式拒絕服務攻擊——DDoS

分散式拒絕服務(Distributed Denial of Service,DDoS)攻擊，它採用分佈的方式聯合或控制網路上能發動 DoS 攻擊的若干主機在某一特定時間發動攻擊，產生數以百萬計的資料分組流入攻擊目標，致使受害主機或網路極度擁塞，從而造成目標系統的癱瘓。DDoS 攻擊是在傳統的 DoS攻擊基礎上形成的一種攻擊方式。雖然二者使用的攻擊方法形同，但DDoS 攻擊的攻擊源有多個，其目的是攻陷網際網路上的多個計算機系統。

DDoS 攻擊已經由最初的若干個獨立安全事件演變發展為可以在短時間內影響全球的主要安全隱患，引起全世界的關注。

DDoS 攻擊原理及過程

DDoS 攻擊是一種特殊的 DoS 攻擊，它採用分佈、協作的大規模攻擊方式直接或間接的通過網際網路上其他受控制的計算機攻擊目標系統或者網路資源的可用性，具有極高的隱蔽性和極強的破壞性相當於DoS的升級版。在發動 DDoS 攻擊的時候，攻擊者可以通過多種方法達到拒絕服務攻擊的目的，這些方法包括:消耗有限的服務資源，更改或破壞關鍵資訊的設定，物理破壞服務裝置等。

一個基本的 DDoS 攻擊體系包括黑客主機(Attacker)、控制伺服器(Handler)、攻擊執行器(Agent)、和受害主機(Victim)四部分。在整個攻擊體系中最重要的是控制和攻擊傀儡機，它們分別起控制攻擊和實際發起攻擊的作用。

通常黑客在發起 DDoS 攻擊時,首先是在網路上尋找有漏洞的主機並試圖入侵，如果入侵成功就在其上安裝木馬程式或後門:然後在各入侵主機上安裝攻擊軟體，包括攻擊伺服器和攻擊執行器兩種攻擊軟體;最後黑客從控制檯向各控制伺服器發出對某一特定目標的攻擊命令，製造數以百萬計的資料分組流入受害主機，致使目標主機極度擁塞，從而造成目標主機的癱瘓。

DDoS攻擊過程

據CNCERT 監測發現，我國2021年上半年境內目標遭受峰值流量超過 Gbps的大流量攻擊事件的主要攻擊方式為 TCPSYN Flood、UDP Flood、NTP Amplification、DNS Amplification、 TCP ACK Flood 和 SSDP Amplification，這6種攻擊的事件佔比達到96.1%;攻擊目標主要位於浙江省、山東省、江蘇省、廣東省、北京市、福建省、上海市等地區，這7個地區的事件佔比達到81.7%;1月份是上半年攻擊最高峰，攻擊較為活躍;資料顯示攻擊時長不超過 30分鐘的攻擊事件佔比高達 96.6%，此類攻擊比例進一步上升，表明攻擊者越來越傾向利用大流量攻擊，瞬間打癱攻擊目標，以便對外提供更多服務並非法獲利。DDoS難以預防主要體現在以下幾點：

1)分散式

DDoS 攻擊是通過聯合或控制分佈在不同地點的若干臺攻擊機向受害主機發起的協同攻擊。分散式的特點不僅增加了攻擊強度，更加大了抵禦攻擊的難度。

(2)易實施

在現實網路中，充斥著大量的 DDoS 攻擊工具，它們大多方便快捷，易於利用。

即使是手段不甚高明的攻擊者，也可以直接從網路上下載工具組織攻擊。

(3)欺騙性

偽造源IP地址可以達到隱蔽攻擊源的目的，而普通的攻擊源定位技術難以對這種攻擊實現追蹤。準確定位攻擊源，是識別偽造源IP的重點，當前的大部分IP定位技術大多都只能定位到攻擊網路邊界路由器或代理主機。

(4)隱蔽性

對於一些特殊的攻擊包，它們的源地址和目標地址都是合法的。例如在 HTTPFlood 攻擊中，就可以利用真實的IP 地址發動 DDoS 攻擊。這種貌似合法的攻擊包沒有明顯的特徵，因而難以被預防系統識別，使得攻擊更隱蔽，更難追蹤，所以怎樣識別惡意IP，甚至是動態惡意IP至關重要。

(5)破壞性

DDoS 攻擊藉助大量的傀儡主機向目標主機同時發起攻擊，攻擊流經過多方彙集後可能變得非常龐大。另外，加上它兼具分佈性，隱蔽性及欺騙性等特點，使其不僅能避過常規的防禦系統，甚至還會造成嚴重的經濟損失。

新技術的不斷催生，導致 DDoS 攻擊結合新技術演變出多種型別，攻擊者不再滿足於單一類的攻擊，而是使用多種攻擊相結合的方法。如 DDoS 結合 IoT 的攻擊，通過感染大量的物聯網裝置發起流量高達 1TB 每秒的攻擊。圖片顯示了 2017 年到 2019 年間最頻繁的三種DDoS 攻擊：應用層攻擊的佔比也在不斷地增長，其中 SSDP 反射攻擊和 DNS 反射攻擊分別在 2018 年和2019 年達到第一。

而且網路層的攻擊依然活躍，對於缺乏防禦的主機，網路層攻擊帶來的效果仍然十分顯著。這類混合攻擊破壞性更大，同時更加難以防禦。