【公益译文】了解和应对分布式拒绝服务攻击

全文共5089字，阅读大约需10分钟。

美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）和多州信息共享和分析中心（MS-ISAC）为联邦、州、地方、部落和地区政府发布联合分布式拒绝服务（DDoS）攻击指南，帮助解决政府机构解决DDoS攻击防御问题面临的需求和挑战。

DDoS攻击通常有多个来源，难以进行追踪并有效阻断对互联网协议（IP）地址的攻击。本篇指南概述了拒绝服务（DoS）和DDoS环境，攻击类型、动机和对政府运营的潜在影响，实施预防措施的实际步骤，以及针对每种定义的DDoS和DoS技术类型的事件响应。此外，还强调组织必须将规划工作重点放在新出现的DDoS趋势和技术上，更好地抵御恶意DDoS活动。

一

DoS和DDoS

DoS和DDoS攻击的相似之处在于其目的都是破坏目标系统或网络的可用性，但两者之间也存在重要的差别。

DoS攻击

来源单一，用于通过大量流量或消耗资源的请求淹没目标系统。恶意攻击者通常使用一台或几台计算机实施攻击。DoS攻击的目的是使用户无法使用目标系统，使系统拒绝对资源或服务的访问。

DDoS攻击

有多个来源。通常，大量僵尸网络计算机用于发起攻击。僵尸网络中的每台机器都会同时向目标系统发送大量流量或请求，扩大后续影响。由于DDoS攻击的分布式特点，与DoS攻击相比，目标网络针对DDoS攻击的防御难度更大。

与DoS攻击相比，DDoS攻击的主要优势在于生成的流量更多，在更大程度上占用目标系统的资源。还可以通过IP欺骗等各种技术实施DDoS攻击，即恶意攻击者通过控制源IP地址和僵尸网络掩盖攻击的来源，使其难以追踪。

就影响而言，DoS和DDoS攻击都会破坏目标系统或网络的可用性，导致服务中断、财产和声誉损失。

图1 DoS攻击和DDoS攻击

二

DoS和DDoS攻击分为三种技术类型

1. 洪水攻击

此类型攻击的目的是消耗目标的可用带宽或系统资源，通过大量流量将其淹没。目标是使网络饱和或耗尽目标资源，使其无法处理合法请求。

图2 洪水攻击

图3 洪水攻击示例

2. 协议攻击

此类攻击利用网络协议或服务中的漏洞破坏目标系统。通过关注弱协议实现，恶意攻击者可降低目标系统的性能或导致其发生故障。协议DDoS攻击通常针对的是开放系统互连（OSI）模型的第3层（网络层）和第4层（传输层）。

图4 协议攻击

图5 协议攻击示例

3. 应用程序层攻击

此类攻击针对的是目标系统上运行的特定应用程序或服务中的漏洞。应用程序层攻击不会占用网络或系统资源，而是利用目标程序中的漏洞消耗其处理能力或导致其发生故障。应用程序DDoS攻击针对OSI模型的第7层，即应用程序层。

图6 应用程序层攻击

图7 应用程序层攻击示例

注意：这几类攻击并不互斥，恶意攻击者可以结合利用多种技术，发起复杂的DoS和DDoS攻击。攻击者不断调整和发展策略、技术和程序（TTP），新的攻击方法和变体层出不穷。

三

组织如何针对DDoS攻击采取预防措施？

任何组织都无法预测DDoS攻击发生的时间。攻击者往往会寻找安全系统中的漏洞以此发起DDoS攻击。因此，网络防御者必须实施最佳实践，最大限度地降低DDoS攻击的潜在损害。以下应对措施可供参考：

1. 风险评估

主动实施全面风险评估，确定自己的组织是否存在受到DDoS攻击的风险。风险评估可以发现网络基础设施、系统和应用程序中潜在的漏洞，还能使组织了解DDoS攻击的潜在影响，帮助组织确定优先级并实施适当的安全措施。

2. 网络监控

采用强大的网络监控工具和入侵检测系统（IDS），发现异常或可疑的流量模式，提高组织针对DDoS攻击的检测和响应能力。

3. 流量分析

定期分析网络流量，建立正常流量模式的基线，发现攻击过程中的重大偏差。

4. 实施Captcha措施

将Captcha挑战集成到网站或在线服务中，区分人类用户和机器人，防止DDoS攻击。Captcha要求通过人工交互访问网站或与网站交互，从而起到防御DDoS攻击的预防屏障的作用。

5. 事件响应计划

制定全面的事件响应计划，列出发生DDoS攻击时应采取的步骤。计划应包括角色和责任、沟通渠道和预先定义的缓解策略。

6. DDoS缓解服务

建议应用DDoS缓解提供商的服务。他们拥有处理大规模攻击的专业知识和专门的基础设施，可以在恶意流量到达网络之前将其过滤。

7. 带宽容量规划

评估当前的带宽容量，可增加容量以应对攻击期间流量激增的情况，最大限度地减少对合法用户的影响。

8. 负载平衡

应用负载平衡解决方案，在多个服务器或数据中心之间分配流量。分散负载，防止攻击过程中出现的单点故障。

9. 防火墙配置

配置防火墙，过滤可疑流量模式，阻止来自已知恶意IP地址的流量。定期更新防火墙规则，考虑实施速率限制，防止流量过大。

10. 补丁和系统更新

定期更新并修复软件、操作系统和网络设备，修复已知漏洞。存在漏洞的系统可能会被利用扩大DDoS攻击的影响。

11. Web应用安全

实施安全编码实践，定期对Web应用程序进行安全评估。存在漏洞的应用程序可能会在攻击过程中耗尽服务器资源。

12. 冗余和故障转移

实施冗余网络基础架构，确保故障转移机制到位。快速将流量重定向到替代资源，在攻击期间保持服务不中断。

13. 员工意识和培训

针对DDoS攻击及其影响、发现和报告可疑活动等问题，对员工进行培训。将社会工程攻击受害者的风险降至最低，社会工程攻击通常会辅助DDoS攻击的实施。

14. 沟通计划

制定沟通计划，使利益相关者在遭受攻击时随时了解情况，包括内部团队、客户和第三方服务提供商。清晰的沟通有助于管理预期，协调应对工作。

15. 备份和恢复

定期备份关键数据，确保灾难恢复计划经过测试且已更新。帮助组织在遭受攻击后快速恢复，最大程度地缓解数据丢失的问题。

注意：以上方法有助于减轻DDoS攻击造成的危害，更重要的是，组织要对这些类型的攻击保持警惕，与其内部网络安全专业人员保持沟通，随时了解最新的安全实践，有效抵御不断演变的威胁。

四

组织如何获知是否正在遭受DDoS攻击？

受到DDoS攻击的特征可能因攻击类型和强度而异，所以了解自己的组织是否正面临攻击这一问题具有挑战性。以下是帮助网络防御者确定是否面临DDoS攻击的方法：

• 网站或服务无法使用

  DDoS攻击最常见的特点是网站或在线服务无法使用。如果网站突然无法访问或访问速度明显减慢，说明可能发生了DDoS攻击。

• 网络拥塞

  网络流量或拥塞突然增加，说明可能发生了DDoS攻击。网络监控工具或带宽使用报告可以发现流量的异常峰值。

• 异常流量模式

  在网络日志或监控系统中查找异常流量情况。包括来自特定IP地址的请求明显增加，或者针对特定资源或URL的大量流量。

• 服务器或应用程序死机

  DDoS攻击可能导致服务器或应用程序死机或无响应。如果网络在不明原因的情况下频繁发生服务器或应用程序故障，则说明可能发生了DDoS攻击。

• 资源利用率高

  监控服务器和网络资源利用率指标，如CPU使用率、内存消耗率、带宽使用率。资源消耗的激增或持续增加说明可能发生了DDoS攻击。

• 无法访问其他网络服务

  网站或服务可能不是DDoS攻击的唯一目标，其他关键网络基础设施组件（如：DNS服务器或防火墙）也可能面临风险。如果无法访问这些服务，说明可能发生了DDoS攻击。

• 用户行为异常

  监控网站或服务上的用户行为。如果来自单个IP地址的请求数量显著增加或出现异常，则可能是DDoS攻击。

• 垃圾邮件或恶意邮件激增

  DDoS攻击可以与其他类型的攻击一同发起，例如垃圾邮件攻击。如果来自组织网络的垃圾邮件或恶意邮件激增，则说明可能发生DDoS攻击。

• DDoS防护服务通知

  如果启用了DDoS保护服务，服务会检测到网络受到的持续攻击，主动发出警报。

• 通信中断

  DDoS攻击可能针对IP语音（VoIP）服务或消息平台等通信渠道。如果网络通信服务中断或质量下降，则说明可能发生了DDoS攻击。

五

组织如何应对DDoS攻击

建议受到DDoS攻击的组织启动事件响应计划，与DDoS保护服务提供商（如适用）进行沟通，与网络安全团队合作，减轻攻击的影响并恢复正常运营。可参考以下步骤：

1. 发现攻击

寻找DDoS攻击的迹象，例如，流量激增、网络延迟增加或服务不可用。使用网络监控工具和流量分析确认攻击。

2. 启用事件响应计划

立即执行组织已记录且经过批准的事件响应计划。该计划应包括关键人员的角色和责任、通信渠道以及DDoS攻击期间采取的步骤。

3. 通知服务提供商

与互联网服务提供商（ISP）或主机提供商沟通，告知攻击的相关信息。提供商可能已经采取了缓解措施，或者能够重新路由流量，减轻影响。

4. 收集证据

尽可能多地记录并收集攻击信息，包括时间戳、IP地址、数据包捕获以及网络基础设施生成的日志或警报。这些证据可用于向执法机构报告相关事件或用于未来的分析。

5. 实施流量过滤措施

配置网络基础设施、防火墙或入侵防御系统，过滤恶意流量。启用速率限制或访问控制列表，阻止来自可疑IP地址或DDoS攻击中常用的特定协议的流量。

6. 启用DDoS防御服务

启用ISP或专注于DDoS防御的第三方供应商提供的DDoS缓解服务。过滤和分流恶意流量，使合法流量到达网络。

7. 扩展带宽和资源

如果组织有能力，请考虑扩大网络带宽和资源，吸收攻击流量。这需要添加额外的服务器或临时增加网络容量。

8. 启用内容交付网络（CDN）

利用CDN服务在地理位置上跨多个服务器和数据中心分发内容。CDN可以通过吸收和分发流量缓解DDoS攻击，最大限度地减少攻击对基础设施的影响。

9. 内部和外部沟通

与关键利益相关者定期保持清晰的沟通，涉及的人员包括员工、客户、合作伙伴和供应商。提供最新情况、为缓解攻击而采取的措施以及预期的解决方案时间计划。

10. 从攻击事件中总结教训

在情况得到解决后，进行彻底的事件后分析，了解攻击媒介、暴露的漏洞，总结经验教训。相应地更新事件响应计划和安全措施，预防未来的攻击。

11. 使用《MS-ISAC DDoS攻击指南》中提到的缓解措施。

即时缓解措施包括：

• 向ISP提供攻击IP地址。他们可以实施限制，阻拦其他流量。

• 请注意，反射型DDoS攻击通常来自合法的公共服务器。

• 请尝试使ISP实施端口和数据包大小过滤措施。

图8 DDoS攻击的潜在特征

图9 DDoS恶意攻击者避免检测的技术

注意：每一次DDoS攻击不尽相同，对攻击的响应可能会因攻击的性质和严重程度而异。建议组织咨询网络安全专业人员或事件响应专家，有效应对和减轻DDoS攻击。

六

如果组织遭受DDoS攻击，应采取哪些措施？

如果组织遭到了DDoS攻击，可以采取几个主要步骤，恢复和减轻潜在的损害。以下措施可供参考：

1. 影响评估

评估DDoS攻击对系统、网络和服务的影响。发现服务中断、数据丢失或系统受损的区域。帮助组织了解损失的程度，优先考虑恢复工作。

2. 恢复服务

将受影响的服务和系统恢复正常。根据攻击的性质和涉及的系统，重新启动服务器、配置网络设备或通过备份恢复数据。与组织内的IT团队密切合作，确保恢复过程顺利进行。

3. 事故后分析

对攻击进行彻底分析，了解其特征、利用的漏洞和使用的攻击媒介。帮助组织发现基础设施或安全措施中的弱点，指导未来的改进方向。

4. 实施补救措施

根据事故后分析，实施补救措施，解决发现的漏洞和问题。可能需要修复系统、更新安全配置、加强网络防御。

5. 检查安全控制

评估现有的安全控制措施，如防火墙、入侵检测系统和DDoS缓解服务。确保其配置正确，及时更新最新的威胁情报。进行必要的调整，增强对未来攻击的防御能力。

6. 更新事件响应计划

更新事件响应计划，吸取DDoS攻击的经验教训。修改角色和责任、沟通渠道和缓解策略，更有效地应对未来的攻击事件。

7. 员工培训

对员工进行培训，提高安全意识，让员工了解DDoS攻击、其影响以及如何发现和报告可疑活动。有助于防止社会工程攻击，提高整体网络安全水平。

8. 加强网络监控

增强网络监控能力，有效检测和应对未来的DDoS攻击。实施实时流量分析、入侵检测系统和异常检测机制，及时发现和缓解攻击。

9. 使用法律武器

如果DDoS攻击情况严重或涉及犯罪活动，请考虑与执法机关合作。向执法机关提供证据，配合调查，将网络犯罪者绳之以法。

10. 与利益相关者保持沟通

与关键利益相关者保持定期沟通，涉及的人员包括员工、客户、合作伙伴和供应商，向其公开有关攻击、为减轻攻击而采取的措施以及对服务或数据的潜在影响等信息。清晰的沟通有助于管理预期，保持彼此间的信任。

11. 备份和灾难恢复

检查备份和灾难恢复进程，确保其为最新版本且有效。定期备份关键数据，测试恢复过程，验证其是否有效，以备在未来发生攻击时进行快速恢复。

12. 持续改进

DDoS攻击不断演变，不断改善安全态势至关重要。随时了解最新的威胁情报，遵循行业最佳实践，定期评估和加强安全控制措施。

13. 注意

缓解DDoS攻击并进行恢复需要大家共同努力，持续保持警惕。让组织内的网络安全专业人员参与恢复过程，加强组织对未来DDoS攻击的防御，向相关当局报告DDoS攻击事件。

    ·  免责声明 ·    

该文章原文版权归原作者所有。文章内容仅代表原作者个人观点。本译文仅以分享先进网络安全理念为目的，为业内人士提供参考，促进思考与交流，不作任何商用。如有侵权事宜沟通，请联系littlebee@nsfocus.com邮箱。

·   文章信息    ·    

发布机构：CISA、FBI和多州信息共享和分析中心联合发布

发布日期：2024年3月

原文链接：https://www.cisa.gov/sites/default/files/2024-03/understanding-and-responding-to-distributed-denial-of-service-attacks\_508c.pdf

小蜜蜂翻译组公益译文项目，旨在分享国外先进网络安全理念、规划、框架、技术标准与实践，将网络安全战略性文档翻译为中文，为网络安全从业人员提供参考，促进国内安全组织在相关方面的思考和交流。