客户喜欢运行良好且顺利的事情。分布式拒绝服务 (DDoS) 攻击使服务器和数据中心无法响应所有请求。这就是网络犯罪分子继续依赖这些攻击的原因，旨在损害受害者产品和服务的性能和可用性。,,为了降低失去客户信任的风险并维护企业声誉，在开发新产品时优先考虑 DDoS 缓解非常重要。在本文中，我们将讨论最常见的 DDoS 攻击类型以及有助于检测它们的技术。我们还提供了一些建议，以帮助您的开发团队及时进行必要的调整并构建安全且有弹性的 Web 应用程序。, 想象一下有人一遍又一遍地拨打您的电话，使用不同的电话号码，因此您无法将他们列入黑名单。您可能最终会关闭手机并变得无法访问。这就是通常的 DDoS 攻击的样子。, 分布式拒绝服务 (DDoS) 攻击是一种旨在使受害者的资源无法使用的协同攻击。DDoS 攻击通常针对网站、Web 应用程序或 API，可以由黑客执行，也可以在连接到互联网的多个受感染设备（僵尸网络）的帮助下执行。, 早在史蒂夫乔布斯推出第一款 iPhone 之前，DDoS 攻击就已经出现。而且它们在黑客中仍然非常受欢迎，因为它们有效、易于启动并且几乎不留痕迹。, 一次 DDoS 攻击可能会持续几分钟、几小时甚至几天。但是，攻击的影响通常不是根据它持续的时间来计算的，而是根据攻击受害者的流量来计算的。迄今为止报告的最大事件之一是Microsoft 在 2022 年初阻止的 每秒 3.47 TB 的攻击 。它针对 Microsoft Azure 服务的亚洲客户，据报道起源于全球约 10,000 个工作站。,, 有时，网络犯罪分子发起 DDoS 攻击只是为了提高他们的黑客技能或因为他们感到无聊。但更多情况下，这些攻击是出于特定原因进行的，包括：, 根据他们的目标和动机，网络犯罪分子使用各种工具进行各种类型的攻击。通常，DDoS 攻击通过以下方式执行：, 虽然 DDoS 攻击没有标准分类，但我们可以将它们分为四大类：, 让我们仔细看看这些类型的攻击。, 容量攻击旨在通过大量流量来阻止对受害者资源的访问，通常借助僵尸网络和放大技术。这些攻击的规模通常以每秒比特数 (bps) 来衡量。,, 最常见的容量攻击类型是：, 2020 年， Amazon Web Services 遭受了使用无连接轻量级目录访问协议 (CLDAP) 反射技术执行的  2.3 TBps 的大规模攻击。, 协议攻击针对不同互联网通信协议工作方式的弱点。通常，此类 DDoS 攻击的规模以每秒网络数据包数 (pps) 来衡量。最常见的协议攻击类型是：, 2020 年， Akamai 报告说 ，它与针对欧洲银行的每秒 8.09 亿个数据包 (Mpps) 的大规模 DDoS 攻击作斗争。, 应用程序攻击利用 6 级和 7 级协议栈中的弱点，针对特定应用程序而不是整个服务器。此类 DDoS 攻击的威力通常以每秒请求数来衡量。,, 应用层攻击通常针对常见的端口和服务，例如 DNS 或 HTTP。最常见的应用程序级攻击是：, 根据Cloudflare 最近的一份声明， 2022 年，一项未命名的加密货币服务遭到每秒 1530 万次请求的攻击。, 除了众所周知的攻击之外，还有所谓的 零日 DDoS 攻击。他们利用尚未修补的以前未知的软件漏洞或使用不常见的攻击媒介，因此更难以检测和保护。, 现在让我们谈谈检测 DDoS 攻击的方法。, 虽然完全阻止 DDoS 攻击是不可能的，但有一些有效的做法和方法可以帮助您检测和阻止已经发生的 DDoS 攻击。 下面，我们列出了几种最常见的 DDoS 保护方法，您可以依靠它来检测攻击并保护您的产品或服务。, 检测潜在 DDoS 攻击的一种方法是分析网络流量并将流量模式分类为正常或潜在威胁。您可以借助传统的静态分析或更复杂的技术（如机器学习和人工智能）来做到这一点。 除了网络流量分析之外，您还可以搜索其他网络性能因素中的异常情况，例如设备 CPU 利用率或带宽使用情况。, 您还可以通过将流量与已知攻击的特定模式进行比较来检测类似 DDoS 的活动。常见的 DDoS 防护技术包括签名分析、状态转换分析、专家系统、描述脚本和自组织图。,, 除了入口/出口流量过滤之外，您还可以使用访问控制列表 (ACL) 和防火墙规则来增强流量可见性。特别是，您可以分析 ACL 日志以了解通过您的网络运行的流量类型。您还可以配置您的 Web 应用程序防火墙，以根据特定规则、签名和模式阻止可疑的传入流量。, 入侵防御系统 (IPS) 和入侵检测系统 (IDS) 也增强了流量可见性。IPS 和 IDS 警报可作为异常和潜在恶意流量的早期指标。但请记住，这些系统往往会提供很多误报。, 至于处理可能涉及 DDoS 攻击的流量的方法，我们可以概述三种常见策略：, 特定方法和技术的选择将取决于特定服务或解决方案的特性。但是，确保及早发现 DDoS 攻击对于任何项目都至关重要，因为它可以帮助您显着减轻攻击的后果并保持服务或解决方案的正常性能。 , 在接下来的部分中，我们将讨论您可以尝试防止 DDoS 攻击的几种方法，并概述针对您的 Web 应用程序或服务的某些类型的 DDoS 保护措施。, 预防胜于治疗。因此，在开始构建之前，请考虑如何确保 Web 应用程序或服务的 DDoS 弹性。,, 即使您无法阻止 DDoS 攻击的发生，您也有能力让攻击者更难关闭您的网站或应用程序。这就是 DDoS 攻击预防技术发挥作用的地方。 , 您可以使用两组 DDoS 预防机制： , 通用 DDoS 预防 机制是可以帮助您使您的 Web 应用程序或服务器对 DDoS 攻击更具弹性的常用措施。这些措施包括：, 过滤机制 使用不同的方法来过滤流量并阻止潜在的危险请求。这些机制包括入口/出口过滤、基于历史的 IP 过滤和基于路由器的数据包过滤。, 在选择云服务提供商 (CSP) 时，请选择拥有自己的 DDoS 缓解策略的提供商。确保此策略确保检测和缓解基于协议、基于容量和应用程序级的攻击。, 此外，研究您的 CSP 关于 DDoS 缓解的建议，并在构建您的 Web 产品时实施它们。大多数云服务提供商都有详细的指导方针，以及保护您的 Web 产品和服务免受常见 DDoS 攻击的最佳实践。您可以先看看 Google Cloud 、 Microsoft Azure 和 Amazon Web Services 的建议。, 通过将足够的计划和资源投入到其可扩展性中，使您的 Web 应用程序能够有效地处理突然的负载变化。您可以部署应用程序和网络负载均衡器或内容分发网络 (CDN)，通过跨多个实例分发所有流量来保护您的解决方案免受流量过载的影响。通过这种方式，您将能够减轻基础设施和应用程序层的潜在攻击。,, 除非确实有必要，否则不要公开您的应用程序和资源。通过这种方式，您可以限制基础设施中可能被攻击者攻击的薄弱环节的数量。您还可以禁止到数据库服务器和基础设施的其他关键部分的直接 Internet 流量。, DDoS 攻击不仅可以针对您的网站和应用程序，还可以针对您的 API。 有多种方法可以增强 API 的反 DDoS 保护：应用流量过滤工具和技术，限制 API 在给定时间段内可以处理的请求数量，甚至部署 蜜罐 。, 考虑将 Web 应用程序的保护委托给第三方供应商。DDoS 预防工具和缓解服务甚至可以在有问题的流量到达受害者的网络之前将其移除。您可以寻找基于 DNS 的服务来重定向来自您的网络的有问题的流量，或者寻找基于边界网关协议的解决方案来处理持续攻击。, 黑客不断使用和改进 DDoS 攻击，旨在破坏特定网站、应用程序和服务的工作。在处理 Web 应用程序时，请特别注意强化您的解决方案以抵御可能的 DDoS 攻击。, 考虑到稳定性和弹性来构建您的网络产品非常重要。您可以结合不同的 DDoS 攻击预防方法和 DDoS 防御技术，以增加有效缓解潜在攻击的机会。或者，您可以部署多个云以确保更好地提供服务。 虽然大多数 CSP 都提供反 DDoS 建议，但在开发 Web 应用程序时设计全面的 DDoS 缓解策略需要额外的专业知识。在 Apriorit，我们拥有由知名 云和 Web 安全专家组成 的团队，他们很乐意帮助您构建稳定、弹性和性能良好的 Web 产品。, ,客户喜欢运行良好且顺利的事情。分布式拒绝服务 (DDoS) 攻击使服务器和数据中心无法响应所有请求。这就是网络犯罪分子继续依赖这些攻击的原因，旨在损害受害者产品和服务的性能和可用性。, 早在史蒂夫乔布斯推出第一款 iPhone 之前，DDoS 攻击就已经出现。而且它们在黑客中仍然非常受欢迎，因为它们有效、易于启动并且几乎不留痕迹。,