网络安全深度探讨：关于DDoS攻击的一切

DDoS攻击是如何工作的？

DDoS攻击使用“僵尸网络”向目标公司的服务器发送多个同时请求，试图使其不堪重负。

僵尸网络本质上是一个网络，由“僵尸”设备（电脑、移动设备、笔记本电脑等）组成，这些设备在被“僵尸网络主人”（黑客）用恶意软件感染后受其控制。

这些被感染的个别设备被称为“僵尸”，僵尸网络主人可以轻松地远程控制它们。

在僵尸网络主人感染足够多的设备来发起DDoS攻击后，他会向每个设备发送特定指令，攻击随之开始。

以下是整个过程发生的方式：

• 黑客渗透了2000个随机个人的设备，这些个人对此毫无察觉
• 黑客通过在每个设备中安装控制恶意软件，将这2000个设备制成一个僵尸网络
• 黑客选择一个攻击目标
• 黑客向僵尸网络中的每个设备发送特定指令，同时访问公司的IP地址
• 目标的服务器接收到2000个同时请求并因无法同时处理这么多请求而崩溃

一个臭名昭著的DDoS攻击在2016年10月对Dyn发起。Dyn控制了大部分互联网的DNS基础设施，因此这次攻击导致了Netflix、Twitter、Reddit、CNN等在欧洲和美国的网站瘫痪。

在对Dyn的攻击中使用的僵尸网络估计有100,000个设备，包括像数码相机和DVR播放器这样的物联网（IoT）设备。

这个僵尸网络的总攻击力量估计达到了1.2Tbps（每秒兆字节），是历史上任何DDoS攻击的两倍之多。

DDoS攻击类型

DDoS攻击有三种类型：

• 应用层攻击
• 协议攻击
• 容量攻击

这三种类型的DDoS攻击都会干扰并压垮目标服务器，但达成目的的手段各不相同。
此外，所有DDoS攻击在某种程度上都会操纵网络连接。为了帮助你理解网络连接是如何工作的，这里有一个有用的OSI模型介绍。

https://www.cloudflare.com/learning/ddos/glossary/open-systems-interconnection-model-osi/

因此，网络连接有七层，DDoS攻击会操纵这些层中的一些来压垮服务器。

让我们更详细地看看这三种DDoS攻击类型！

1. 应用层攻击

https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/

应用层DDoS攻击的目标是耗尽服务器的资源，最终因资源不足而崩溃。

这就是为什么应用层攻击的强度以RPS或每秒请求量来衡量。

这种攻击的目标是服务器的HTTP侧，更准确地说是服务器生成并作为对客户端发送的HTTP请求的响应而提供的网页。

对客户端来说，加载一个网页似乎很简单，但对服务器来说，这是一个复杂的过程。因为它需要加载多个文件，访问数据库，执行查询，然后创建网页。

应用层攻击示例：

• 指令僵尸网络同时打开同一个网页，向服务器发送多个HTTP请求
• 指令僵尸网络同时多次刷新同一个网页

当有这么多HTTP请求加载一个网页时，服务器的计算能力可能会不堪重负。它没有必要的资源同时满足所有HTTP请求，因此就会崩溃。
这就是通过应用层DDoS攻击进行拒绝服务攻击的方式！

2. 协议攻击

cloudflare.com/learning/ddos/what-is-a-ddos-attack/

这些攻击的度量是每秒包数，并且会针对特定资源，如负载均衡器、防火墙、路由器以及其他资源。

然而，协议攻击背后的想法与应用层攻击有些不同。

应用层攻击依赖于大量HTTP请求来崩溃服务器，而协议攻击则利用协议类型信息交换中涉及的TCP握手。

TCP握手依赖于三个步骤：

• 客户端向服务器或资源发送SYN包
• 服务器/资源向客户端发送SYN-ACK包
• 客户端向服务器/资源回送ACK包

在协议攻击中，第三步缺失。受害服务器/资源没有从客户端（黑客僵尸网络）收到ACK包，因此无法完成数据传输。
客户端使用伪造的IP地址向服务器/资源发送多个TCP SYN包。服务器将响应连接请求，并等待ACK包来完成握手，但它永远不会到达。

因此，越来越多未回应的连接请求堆积起来，耗尽了目标服务器/请求的资源。

3. 容量攻击

https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/

容量攻击是DDoS攻击中最常见的形式，也是大多数人（无意识地）提到DDoS攻击时所指的。

其攻击强度以每秒比特数或每秒千兆比特数（参见Dyn攻击）来衡量，其目标是用流量和请求压垮服务器。

这种蛮力方法需要一个足够大的僵尸网络来耗尽服务器的所有带宽。

另外，黑客可以使用DNS放大来更容易地达到同样的结果。具体如下：

• 黑客使用受害者的伪造源IP地址向DNS服务器发送几个小型DNS请求
• DNS服务器以比攻击者发送的更大的DNS响应回应受害者
• 受害者的服务器最终因接收到的大量流量而不堪重负

因此，无论是通过僵尸网络请求还是DNS放大，容量攻击都旨在用请求压垮服务器。
容量攻击与应用层攻击的区别在于后者更为复杂，需要更具体的操作来实施。

如何识别DDoS攻击

不可能知道何时会发动DDoS攻击。然而，在攻击进行时，你可以识别一些红旗警告。

在早期阶段检测到DDoS攻击可以帮助你更快地减轻其影响，避免攻击的主要冲击和服务拒绝。

这里有几种识别DDoS攻击的方法：

• 来自单一位置或IP地址的网站流量突然增加

大多数DDoS攻击依赖于僵尸网络，这些被感染的设备通常位于同一地区。
一旦僵尸网络主人指示僵尸网络开始DDoS攻击，所有设备将开始向你的服务器发送不断的请求。

这将表现为来自同一设备和地区的流量激增。

• 你的网站加载时间变慢

如果你注意到你的网站无法解释的缓慢，那可能是因为你的服务器被大量请求淹没了。

一旦系统超载，它会变慢，导致加载时间增加。这通常是人们在DDoS攻击期间首先注意到的红旗信号。

• 服务器响应503错误

当DDoS攻击增加了服务器的流量时，服务器经常会因为无法处理那么多请求而响应503服务不可用错误。
通常，这个错误会在流量量减少后消失，但如果没有，那么你很可能正在遭受DDoS攻击。

在DDoS攻击期间，流量量不会减少，直到黑客决定停止攻击。

• 同一网络上的站点和服务性能下降

DDoS攻击会针对服务器的互联网网络，因此使用该网络的任何设备/服务都会变慢。
这是因为网络带宽是有限的，DDoS攻击消耗了所有可用的带宽。

使用网络的任何服务都会变慢或崩溃。通常，这些附属服务会首先显示红旗信号，因为它们比你的服务器更容易受到攻击。

• 服务器的内存或CPU使用量增加

DDoS攻击通过增加其CPU和内存使用量到崩溃的边缘来针对服务器的资源。
注意任何CPU或内存的激增。如果它们是突然的且无法解释的，那么可能是DDoS攻击的初期阶段。

• 流量来源地址在请求超时后请求相同的数据集

当客户端通过DNS服务器请求一组数据时，服务器需要在给定的时间框架内提供那些数据。
在DDoS攻击期间，服务器因请求过多而无法在分配的时间内交付那些数据集。这时就会发生请求超时。

如果客户端收到请求超时，它会认为服务器已经宕机，一段时间内不会再次请求相同的数据。

然而，如果你注意到相同的流量来源地址尽管请求超时仍然请求相同的数据集，那是一个红旗信号。

真实的流量不会这样做。一旦它接收到请求超时，它会暂停一段时间不再发送任何请求。

• 单一页面或服务的流量突然激增

在发起DDoS攻击时，黑客通常会专注于几个页面或服务，并将僵尸网络导向这些页面。
因此，如果你注意到流量突然且不寻常地增加到一个页面或服务，这应该引起警觉。

DDoS攻击的常见目标与动机

虽然任何在线业务都可能成为DDoS攻击的目标，但黑客通常会专注于几个关键行业和市场细分。

首先，让我告诉你DDoS攻击最常见的动机：

• 意识形态原因 – 黑客行动主义并不是一个新现象，它指的是攻击与他们意识形态不符的目标的黑客

• 勒索 – 这是DDoS攻击最常见的原因，目的是从目标那里窃取金钱，或者窃取有价值的数据，然后在暗网上出售以获取利润

• 商业冲突 – 许多企业进行战略性DDoS攻击，针对他们的竞争对手，使其网站崩溃，以获得优势

• 网络战争 – DDoS攻击甚至被世界各国政府用来针对敌对国家，以瘫痪其基础设施，削弱其力量

• 无聊 – 我喜欢称他们为网络恶霸，他们向随机目标发送随机DDoS攻击，没有更高的目标。他们只是无聊，想要肾上腺素激增

• 示范 – 网络犯罪分子经常发起DDoS攻击，以证明他们脚本的有效性，激励买家购买他们的服务

• 复仇 – 对政治对手、政府或公司进行复仇非常常见，通常通过DDoS攻击完成。不满的雇员在与雇主发生纠纷并被解雇时，经常采用这种攻击模式

• 为更大的攻击做准备 – 许多黑客使用DDoS攻击作为其他更复杂或更阴险攻击的前奏。目的是削弱目标的网络，然后通过并行攻击渗透进去

近年来，DDoS攻击变得更加短暂和高强度，这表明黑客们变得更加高效和具有针对性。

现在我们已经了解了DDoS攻击背后的动机，让我们来看看2023年最常见的目标行业：

1. 软件和技术行业

根据2021年6月AtlasVPN的一项调查，65%的DDoS攻击目标机构位于美国和英国，其中83%位于互联网和计算机行业。
SaaS、基于云的技术公司以及其他技术型组织是全球DDoS攻击的最常见目标。

DNS和NTP反射和放大攻击是最常用的攻击向量，分别占33%和26%，而SYN洪水攻击和UDP洪水攻击分别占攻击的22%和27%。

技术行业成为DDoS攻击首选目标的原因是这个行业的互联互通性。

技术公司包括托管提供商、互联网服务提供商、SaaS和云计算公司，这些都被众多其他公司和服务所使用。

攻击服务提供商将自动影响到下游客户，形成连锁反应，影响范围不断扩大。

2. 金融行业

金融行业是全球DDoS攻击的第二大目标行业。原因很简单——金钱。

银行、贷款机构、信用公司以及所有与金钱相关的组织都是黑客的主要目标，因为涉及潜在的利润。

经常，针对金融公司的DDoS攻击会伴随其他攻击，如勒索软件、恶意软件或网络钓鱼攻击。

加密货币平台遭受DDoS攻击的数量出现了激增600%，HTTP DDoS攻击增加了15%。

针对加密货币公司发起的DDoS攻击的复杂性也有所增加，这很可能是因为它们使用的网络安全措施不断增强。

3. 信息服务行业

信息行业包括以某种方式聚合信息的所有公司或组织。

这些公司要么生产要么处理信息。我们都知道，信息在暗网上非常有价值。

毫不奇怪，这个行业是全球第三大受DDoS攻击的目标。一旦黑客得到了IP或其他个人数据，他们就可以在不被当局追踪的情况下出售以获利。

此外，世界上的信息量在不断增长，因为有更多的人在使用互联网，创造了更多的技术，也有更多的方式使用互联网。

自然，黑客在可预见的未来会加倍关注这个行业。

4. 游戏行业

世界上最有信誉的网络安全和云计算公司Akamai Technologies在2022年报告称，针对游戏行业的DDoS攻击在过去一年中翻倍了。

报告称游戏行业是所有DDoS攻击的37%的目标。这很可能是由于向云游戏的转变，为攻击者创造了新的攻击向量。

微交易也变得更加流行，这对黑客来说是一个非常有吸引力的攻击目标。

Akamai的高级战略师Jonathan Singer报告说：“随着游戏活动的增加和发展，通过网络攻击中断游戏的价值也增加了。此外，随着行业向云游戏的扩展，新的威胁面为攻击者打开了大门，吸引了新的玩家，这些玩家是坏行为者的首要目标。”

游戏行业还聚集了更年轻的受众，他们对网络安全风险的意识较低，容易被操纵。

DDoS攻击者是如何隐藏自己的？

为了确保他们的攻击尽可能有效，黑客会尝试避免被侦测并在发起DDoS攻击时隐藏他们的踪迹。

这里是他们如何做到的：

1. 伪造

据Forcepoint所述，“伪造是将来自未知来源的通信伪装成来自已知、可信来源的行为”。
DDoS黑客将通过IPv4网络伪造源地址和目的地址，这比IPv6更容易受到攻击。

恶意行为者会伪造带有虚构源地址的数据包，让它们操纵合法设备以善意回复这些数据包。

即使宿主设备从未请求这些回复，黑客也会向受害主机发送数百万次回复。

这是因为通过伪造的源地址和目的地址，这些回复看起来是合法的。

这就是它的要点。

2. 反射

DDoS攻击者将使用多个服务器（DNS、NTP或SNMP）来隐藏他们的身份，让受害者无法识别。
像域名系统和简单网络管理这样的互联网服务使得受害者难以识别攻击的来源或攻击者的身份。

这是因为这些服务器不会保留人们在这些服务器上使用的服务的日志。

这种无日志政策通常是好事，因为你不希望任何人跟踪你的在线活动。

但这也意味着，由于保持匿名的容易程度，黑客在他们进行的攻击规模上有更多的自由度

3. 放大

我之前提到过放大作为容量攻击背后的驱动因素。我没有说的是，放大也很擅长隐藏攻击者的痕迹。
黑客不会直接向受害者发送数据包，而是“说服”一个合法的服务向受害网络/服务器发送数百上千的回复。

这是一种间接的攻击方法，始终保持黑客匿名。

DDoS攻击持续多久？

根据2019年SecureList的报告，81.86%的所有DDoS攻击持续时间少于4小时。

DDoS攻击持续几个小时以上是非常罕见的，但也有攻击持续了几天的情况。

有记录以来最大的DDoS攻击持续了509小时（几乎21天），这发生在2019年，据卡巴斯基报告。

让我向你展示2019年第三季度和第四季度DDoS攻击的持续时间分布，来自SecureList的研究：

从2019年第三季度到第四季度，DDoS攻击的持续时间似乎有所增加。持续时间小于或等于4小时的DDoS攻击数量下降了大约3%。

持续时间较长的DDoS攻击数量有所增加。同一报告提到，在2019年第四季度，有三次DDoS攻击持续了超过20天，而在2019年第三季度，甚至没有一次攻击持续超过12小时。

这里是2022年第二季度至第三季度的同一报告：

看来在2022年，DDoS攻击的持续时间有所减少，几乎95%的攻击在2022年第三季度持续时间小于四小时。

2022年所有DDoS攻击中，持续时间等于或超过140小时的不到0.01%，持续时间100-139小时的攻击情况几乎相同。

然而，这并不一定是好消息。尽管DDoS攻击的持续时间减少了，但它们的数量却增加了。

DDoS攻击的地理分布

从地理角度来看，DDoS攻击并非随机发生的。它们针对某些国家是因为那里有最大的利润。

让我们来看看哪些国家在2022年第二季度和第三季度最受DDoS攻击的影响：

大部分DDoS攻击的目标是美国（2022年第三季度占39.60%），但从2022年第二季度到第三季度，针对美国的攻击减少了6%。

相反，针对中国大陆的攻击几乎增加了一倍，这可能标志着威胁行为者兴趣的转移。

现在，让我向你展示2022年第二季度至第三季度按国家划分的独特DDoS目标的分布：

在独特DDoS目标方面，美国仍然位于榜首，但从2022年第二季度到第三季度的统计数据显示出积极的前景。

中国在独特目标的增加上与总攻击次数的增加一样，这是一个重要的区别。

更多基于中国的企业受到DDoS攻击，而不是更多的DDoS攻击针对相同的目标。

DDoS与DoS攻击 - 重要区别

DDoS和DoS攻击并不相同。虽然最终目标相同——通过向受害者的服务器发送大量流量来使其超载——但使用的方法不同。

DDoS攻击依赖于多台计算机同时向单一目标资源发送流量，而DoS攻击是一对一的，意味着单一系统攻击另一个系统。

本质上，DDoS攻击是多对一，而DoS攻击是一对一。

尽管如此，两者之间还是有其他关键区别：

• 检测和缓解的难易程度 – 由于DoS攻击来自单一来源，因此更容易被检测和防护。DDoS攻击分布在多个来源，使得它们更难被检测或缓解
• 攻击速度 – DoS攻击比DDoS攻击慢，因为从多个来源发起攻击更快。较高的攻击速度同样使得检测和缓解变得更困难
• 流量量 – DDoS攻击可以发送更多的流量到受害服务器，因为它们利用多个设备同时发送流量。DoS攻击使用一台机器发送有限的流量，使得这些攻击效果较弱
• 造成的破坏规模 – 同时发送的流量越多，DDoS攻击就越有效。而且由于DDoS攻击发送更多的流量，这使得它们更具破坏性，比DoS攻击更难以缓解
• 执行方式 – DoS攻击使用脚本或工具从单一设备发起攻击。DDoS攻击则协调多个僵尸网络（被感染的设备），创建由黑客通过指挥控制中心控制的僵尸网络。因此，DDoS攻击的执行更加复杂
• 攻击源追踪的难易程度 – 由于在攻击中使用了僵尸网络（多个设备），DDoS攻击的追踪难度要大得多。DoS攻击使用单一设备，这使得它们更容易追踪

很明显，DDoS攻击是更强大、更危险的DoS攻击形式。它们需要更多的资源和更多的技术知识，但它们拥有超越的攻击能力。

DDoS攻击的影响

DDoS攻击对公司的生产力和性能有着显著的影响，包括：

• 收入损失

当公司遭受DDoS攻击时，会出现停机时间，员工无法访问某些服务，生产也会完全停止。
对于金融行业的公司来说，完全的停机时间可能意味着数万美元的损失，但实际上，任何提供在线服务的公司都会损失收入。

根据Statista在2019年发布的报告，2020年全球25%的企业每小时的停机损失在301,000至400,000美元之间。

而所有企业中有17%的每小时停机损失超过500万美元，这是一个令人难以置信的巨额数字。

• 生产力损失

即使在DDoS攻击期间生产没有完全停止，生产力仍将受到负面影响。
如果某些应用程序或服务变得无法访问，员工将无法高效工作，因此仍会有一定程度的停机时间。

业务所有者可能需要考虑DDoS攻击发生时员工停机每小时的成本。

• 损害修复成本

当DDoS攻击发生时，几乎总是会对系统、服务造成损害，并影响性能。系统恢复、劳动力成本、加班费用、聘请外部顾问评估DDoS损害，这些都是损害修复成本。
DDoS攻击的后果实际上可能会影响到IT部门和系统之外的更多方面。它会影响公关、客户支持团队应对客户投诉以及其他相关系统。

• 声誉损害

许多公司和行业（健康、托管、金融等）在遭受DDoS攻击时将遭受声誉损害。公众将对公司保护他们的个人数据和提供持续高质量服务的能力失去信心。

这些服务必须持续可用，否则客户将留下差评并在社交媒体上传播，损害公司的声誉。

DDoS攻击会造成几小时到几天的停机时间，如果攻击特别严重的话。如果这种情况经常发生，公司的声誉将被严重破坏。

• 市场份额损失

上市公司还必须保持其市场份额，以保持对投资者的吸引力并让股东满意。由于DDoS攻击导致的持续停机无疑会损害那份市场份额。

• 潜在的赎金成本

虽然勒索软件与DDoS不同，但黑客近年来开始结合使用这两种攻击。

他们首先发起DDoS攻击，并要求支付赎金以换取停止DDoS攻击并恢复公司的功能。

或者，他们首先提出赎金要求，并威胁说如果不支付赎金，就会发起DDoS攻击。

DDoS攻击的破坏力很大，这取决于目标受害者的安全系统、行业、攻击的复杂程度以及其他因素。

从生产力损失到市场份额下降以及巨大的声誉损害，遭受DDoS攻击的公司需要做大量的修复工作才能恢复。

网络保险可以通过覆盖这些成本的大部分来帮助缓解大多数问题。对于在高风险行业运营的公司来说，这绝对值得考虑。

如何在六个步骤中防止DDoS攻击

虽然DDoS攻击来得出人意料，但在它们发生之前有方法可以保护自己不受攻击。

让我给你总结一下这六种预防方法：

1. 减少攻击面

DDoS攻击的破坏性越大，攻击面就越广。因此，限制攻击面将减轻DDoS攻击对你的服务器的大部分影响。这也因网络分段而让你能更有效地实施安全防护措施。
你应该通过不暴露你的资源给未知或过时的应用程序、协议或端口，来最小化潜在的攻击点。

你还应该使用负载均衡器、内容分发网络和访问控制列表（或防火墙）来控制到达你的服务器和应用程序的流量。

2. 获取网络冗余

DDoS攻击通过大量流量超负荷你的网络容量来起作用。因此，如果你有大量未使用和冗余的互联网连接，DDoS攻击就不会奏效。

增加带宽（传输）容量和服务器容量将大大提高你避免DDoS攻击的机会。

你的托管提供商管理你的带宽容量，因此与他们交谈并要求更多的冗余互联网连接。

就服务器容量而言，你应该使用增强的网络功能和广泛的网络接口，这样可以同时使用更大量的资源。

负载均衡器（如上所述）是另一个很好的解决方案，用于监控和无缝转移资源负载，以避免任何特定系统过载。

3. 主动威胁监控

当谈到预防DDoS攻击时，采取主动态度是无法避免的。你应该进行持续的日志监控，以便在早期阶段识别任何奇怪的网络流量模式。

奇怪的流量峰值、不寻常的网络活动、异常的请求或IP块，这些都可以事先识别出来。

在DDoS攻击开始之前有更多时间准备，将使得你能够在完全中断和控制损害缓解之间做出区别。

4. 使用内容交付网络

通过内容交付网络缓存资源将减少对源服务器的请求量。这将降低在DDoS攻击期间过载的机会。

这个策略经常被网站管理员和业务所有者忽视，但它是一个简单的解决方案，将在预防DDoS攻击方面带你走得更远。

5. 速率限制

通过速率限制，你可以限制在给定时间内通过你的网络的网络流量量。

Web服务器将对DDoS攻击和来自特定IP地址的大量请求更有抵抗力。速率限制对于将针对特定端点发起的许多同时请求的僵尸网络特别有用。

6. 迁移到云端

将你的业务扩展到云端将缓解大多数DDoS攻击，因为云端有更多的带宽可以使用。你不再依赖有限的本地资源，而是依赖可以更大的基于云的资源。

像CloudFlare这样的基于云的托管提供商可以通过他们的系统大大降低DDoS攻击的风险。这些公司通常也有防DDoS保护措施。

这六种预防方法应该帮助你避免大多数DDoS攻击，使它们没机会影响到你的业务。

一如既往，谨慎和预防是在任何在线行业中生存的关键！

如何应对DDoS攻击

我们已经看到DDoS攻击有多么破坏性，我也谈到了预防方法。

但如果，尽管你已经尽力了，你的服务器还是遭到了复杂的网络攻击，你该如何以最有效的方式应对呢？

这正是我要解释的。以下是遭受DDoS攻击时4种最有效的应对方法：

1. 遵循既定程序

当DDoS攻击击中服务器时，每个相关团队成员都应遵循预先建立的程序：

• 谁接收DDoS通知？

应该有一个安全经理负责制定应对计划并协调其他所有人来缓解DDoS攻击。
任何注意到DDoS攻击的人都应该通知安全经理或负责DDoS缓解的人。

• 验证DDoS攻击

下一步是确定当前的危机确实是DDoS攻击，还是在繁忙的商业期间出现的非自然流量波动。
在某人具备足够的网络安全知识作出这一决定之前，任何升级程序都将被搁置。

• 实施升级程序

一旦你确定自己正在处理DDoS攻击，你应该实施升级程序。
例如，你可能会将流量转向清洗中心，实施速率限制和流量过滤来缓解影响。

下一步是识别攻击IP地址并阻止它们以停止DDoS攻击。

最后，在你完全控制住DDoS攻击后恢复你的网络操作，并吸取教训。

2. 实施速率限制

根据Imperva的说法，“速率限制是一种限制网络流量的技术，用于防止用户耗尽系统资源”。

这是对抗DoS和DDoS攻击的最佳缓解方法之一，许多API默认就实现了它。

一旦API检测到客户端调用过多并发送了太多请求，它们就会进行限流或暂时阻止它。

有三种类型的速率限制：

• 用户速率限制 – 它跟踪用户的IP地址，并在给定时间框架内阻止它发起太多请求。这是业界最常用的速率限制方法
• 地理速率限制 – 它根据用户的地理位置跟踪并设置速率限制。当你拥有特定区域用户的行为数据，并且知道他们最活跃或最不活跃的时段时，这特别有用
• 服务器速率限制 – 如果你知道某些服务器将被更常使用，你可以为任何给定的服务器设置特定的速率限制

速率限制既是DDoS攻击的预防措施，也是缓解程序，因为一旦DDoS攻击开始，你可能会根据当前的攻击情况更改速率限制协议。

3. 添加新服务器以缓解过载

一旦你遭到DDoS攻击，你没有太多时间采取行动。你应该做的第一件事之一就是添加新服务器来分散流量负载。

这将降低任何服务器过载并关闭系统的机会。这就是为什么你应该已经具备网络冗余和你不使用的备用服务器。

虽然这不能停止DDoS攻击，但它可以保护你的系统，并保持你的运营，直到你能够阻止侵入的IP地址。

4. 迁移到新的IP地址

对DDoS攻击的另一个（临时）解决方案是将合法流量迁移到另一个IP地址，以保持业务功能并避免完全关闭。

这是一个成本不高的过程，将为你赢得时间来采取其他更长期的缓解方法。

攻击者最终会找到新的IP地址，并开始用请求淹没它，所以不要指望这个短暂的休息会持续很长时间。

从组织角度来看，迁移到新的IP地址也可能是困难的。你需要做一些内部变更，以适应移动到新IP地址的资源。

结论

DDoS攻击是2023年最常见的网络攻击之一，它们已经成为我们所有人都不愿承认的威胁。

遭受DDoS攻击的公司比以往任何时候都多，黑客也变得更加精密。

网络安全确实有一战之力，但需要以正确的方式实施。不再犯错，不再抄近路，也不再抱有侥幸心理！

对于任何在线公司来说，安全意识需要成为首要任务，无论行业如何。

员工需要能够准确识别DDoS攻击的警告信号，并采取相应措施有效地缓解它们。

无论如何，如果公司希望在当前的生态系统中保持浮力，就需要转变策略。网络犯罪正处于历史高点，网络安全不再是一个选择，而是一种必需！

结论

卫报 – DDoS 攻击瘫痪互联网，专家称其为历史上最大规模
CloudFlare – OSI 模型是什么？
GeeksForGeeks – TCP 三次握手模型
eSecurityPlanet – 如何判断你是否遭受 DDoS 攻击：DDoS 攻击的 5 个迹象
Imperva – DDoS 攻击
PropertyCasualty360 – DDoS 攻击最常被针对的 5 个行业
AtlasVPN – 65% 的 DDoS 攻击目标是美国和英国
Cloudflare 博客 – 2023 年 Q2 DDoS 威胁报告
Akamai – Akamai 研究显示过去一年对游戏公司的攻击翻了一番多
Comptia – 什么是 DDoS 攻击，它是如何工作的？
ForcePoint – 什么是欺骗？
SecureList – 2019 年 Q4 DDoS 攻击
Kasperski – 第二季度 DDoS 攻击比 2018 年增加了 18%
SecureList – 2022 年 Q3 DDoS 攻击
Fortinet – DoS 攻击与 DDoS 攻击的区别是什么？
Corero – DDoS 攻击的破坏性影响
Statista – 2019 年全球企业服务器每小时停机成本的平均值
隐私事务 – 什么是网络保险，它如何影响网络犯罪？
Cloudflare – 如何防范 DDoS 攻击 | 方法和工具
SecurityScoreCard – 云中连续合规监控的好处
Red Button – 如何识别和应对 DDoS 网络攻击
Imperva – 速率限制