如其名稱所示，拒絕服務(wù)(DoS)攻擊是為了使任何類型的服務(wù)無法訪問。舉例來說，關(guān)閉對外部在線資產(chǎn)如電子商務(wù)網(wǎng)站的訪問構(gòu)成拒絕服務(wù)。

分布式拒絕服務(wù)(DDoS)的主要目的是防止服務(wù)被使用并被破壞，而不是試圖破壞目標(biāo)的安全范圍。DDoS攻擊針對服務(wù)提供商的可用性，而不是竊取用戶憑證或敏感數(shù)據(jù)的攻擊。在某些情況下，DDoS攻擊可以作為煙幕用于其他類型的網(wǎng)絡(luò)攻擊。

DDoS攻擊類型。

DDoS攻擊有多種形式。從廣義上說，它們是根據(jù)攻擊的流量類型和數(shù)量以及目標(biāo)使用的漏洞來分類的。DDoS攻擊分為三類:洪水攻擊、協(xié)議攻擊和應(yīng)用攻擊。

值得注意的是，雖然大部分常見的DDoS攻擊大致可以分為三類，但是有些攻擊也可以結(jié)合在一起。值得注意的是，雖然有些攻擊直接針對DNS基礎(chǔ)結(jié)構(gòu)，但是其他攻擊可以使用DNS作為觸發(fā)攻擊的手段。

洪水DDoS攻擊。

到目前為止，洪水攻擊是最常見的DDoS攻擊類型。事實(shí)上，65%的DDoS攻擊是洪水攻擊。雖然洪水攻擊的特點(diǎn)是流量巨大，但它們不能強(qiáng)迫黑客自己產(chǎn)生大量流量。這使得洪水攻擊成為最簡單的DDoS攻擊類型。通過插入反射介質(zhì)，少量流量可以用來產(chǎn)生千兆流量?；诜瓷涞暮樗敉ㄟ^使用欺騙的源IP地址將合法請求發(fā)送到DNS或NTP服務(wù)器來確定服務(wù)目標(biāo)。當(dāng)DNS或NTP服務(wù)器響應(yīng)合法請求時，它們最終會響應(yīng)請求的源地址，這正好是欺騙的IP地址。如果將相同請求發(fā)送到數(shù)百個開放式分析器，產(chǎn)生的流量可能在數(shù)百Gbps的范圍內(nèi)，足以削弱目標(biāo)IP的基礎(chǔ)架構(gòu)。

基于協(xié)議的DDoS攻擊。

基于協(xié)議的攻擊主要集中在OSI層的第三層或第四層的漏洞上?；趨f(xié)議的DDoS攻擊最常見的例子是TCPSynFlood，其中針對目標(biāo)的一系列TCP。

SYN請求可能會使目標(biāo)不堪重負(fù)，使其無反應(yīng)。

基于應(yīng)用的DDoS攻擊。

Apple攻擊是DDoS攻擊中最棘手的，因為它們很難識別，甚至在某些情況下可以緩解。Apple攻擊是最復(fù)雜、最隱蔽的攻擊，因為只有一個攻擊機(jī)能夠以低速生成流量，它們才能非常有效。使用傳統(tǒng)的基于流的監(jiān)控解決方案，很難主動檢測到這些攻擊。使用Apple類型攻擊的黑客非常熟練，并且對應(yīng)用程序或協(xié)議的復(fù)雜工作有深刻的了解。攻擊性通常是合法的，以應(yīng)用層為目標(biāo)，并涉及到觸發(fā)后端過程，這些過程占用資源，使其無法使用。所以這些類型的攻擊相對難以緩解。

保護(hù)你的網(wǎng)絡(luò)。

DDoS攻擊的形式和大小不同。無論攻擊如何進(jìn)行，如何影響服務(wù)，都會造成損害。建議企業(yè)在設(shè)計網(wǎng)絡(luò)時制定緩解計劃。應(yīng)考慮部署分布式和冗余網(wǎng)絡(luò)，以最大限度地減少影響。

最終，你不能讓你的網(wǎng)絡(luò)免受DDoS攻擊。

隨著時間的推移，這些攻擊的復(fù)雜性不斷提高，黑客發(fā)現(xiàn)了滲透網(wǎng)絡(luò)的新挑戰(zhàn)性方法。你可能無法控制DDoS攻擊，但你可以主動監(jiān)控網(wǎng)絡(luò)和關(guān)鍵資產(chǎn)是否有潛在威脅。

了解更多網(wǎng)絡(luò)知識關(guān)注：http://www.vecloud.com/