分布式拒绝服务（DDoS）攻击是组织定期面对的最具破坏性和成本最高的网络攻击之一。网络罪犯使用DDoS攻击使网站和其他在线服务无法合法使用。
他们通过协调大量恶意流量来吞噬带宽，吞噬协议进程，消耗服务器资源以引起故障，从而淹没受害者的IT基础架构，从而达到目的。攻击者不仅将DDoS用作消除企业所依赖的重要系统的方法，而且还将其作为掩盖其他欺诈或数据盗窃的转移。

DDoS攻击
的关键漏洞典型的DDoS攻击倾向于掠夺系统在设计上进行通信的方式上的弱点，而不是软件代码中的直接漏洞。
例如，大多数容积式DDoS攻击会将来自世界各地的流量大量涌入特定目标，目的是完全饱和该系统网络上的可用带宽。在这种情况下，被利用的漏洞是缺乏基础架构的弹性来吸收大量流量。
SYN洪水攻击
在其他情况下，DDoS攻击者会找出协议工作方式或配置方式方面的弱点，以提示系统超时和崩溃。这里的经典示例是SYN Flood攻击，它通过半开放的TCP协议连接使服务器不堪重负。攻击者通过在不完成TCP三向握手的情况下发起一整套连接请求来完成此任务，从而用半开连接填充系统资源，因此没有空间可以完全打开合法的TCP连接。在这种情况下，利用该漏洞的方式是将服务器配置为处理半开连接请求。
网络罪犯还可以利用应用程序层的通信安全漏洞进行DDoS攻击。例如，利用HTTP洪水攻击，犯罪分子利用Web服务器在来自客户端浏览器的每个请求中可能具有的固有信任。如果没有某种方法来检测流量是否是恶意的，Web服务器就会通过尝试满足来自攻击者僵尸网络的数据库调用或随机信息的集中而大量的请求而使自己精疲力尽。
探索DDoS防御选项
与任何其他类型的网络安全防御一样，DDoS防御也需要分层的方法。合理的DDoS缓解策略包括健壮的体系结构，仔细的监视，有针对性的安全控制以及精心计划的事件响应。
抵御DDoS尝试的一些关键选项包括：
弹性和冗余
任何DDoS防御的基础都是针对弹性和冗余而设计的健壮体系结构。这意味着加强带宽功能，分割网络和数据中心，配置应用程序和协议以提高弹性，并在出现问题时为故障转移建立镜像。
监视和流量分析
主动防御DDoS要求组织保持24/7全天候监视，以跟踪网络上的所有bot行为，识别未知的bot并迅速及早发现潜在攻击，以便在DDoS流量淹没资源之前做出响应。
净化和过滤
在没有增加DDoS缓解措施来帮助转移和转移恶意流量的情况下，即使是最具弹性的基础架构也无法满足当今最激烈的DDoS攻击。DDoS缓解机制应能够基于监视和流量分析快速移动，以执行数据包清理并从影响目标系统的恶意软件中筛选出恶意软件。
规划和压力测试
组织应该准备好DDoS响应计划，并针对众多DDoS攻击场景开发剧本，以加快响应速度并减轻影响。组织还应该考虑定期进行压力测试，以确保DDoS防御的有效性。
本地与云解决方案
抵御DDoS攻击的本地解决方案通常依赖于DDoS缓解硬件设备，防火墙和统一威胁管理设备的组合。虽然有些组织对通过将这些设备保持在内部状态而提供的内部控制有所了解，但它们却放弃了响应速度，可负担性和可伸缩性这一优势。
本地DDoS防御要求内部团队进行大量调整，以拒绝防火墙规则和调整设备。而且，配备有高级流量过滤功能的DDoS缓解设备价格昂贵，此外，本地设备受本地网络连接的限制，可以偏转或吸收多少流量。
另一方面，Cloud DDoS解决方案甚至可以在DDoS流量通过本地系统之前消除最强烈的DDoS流量泛滥，从而过滤掉云中的恶意数据包。这些负担得起的解决方案可以通过自动或手动干预触发的即时响应服务进行全面管理或触发。
常见问题解答
恶意DDoS流量来自何处？
网络罪犯通常会使用受感染机器的远程控制网络，称为僵尸网络。这些有时被称为僵尸程序或僵尸程序的机器可能是笔记本电脑，台式机，服务器，甚至是IoT设备。攻击者协调这些机器以创建分布式攻击流量源，以淹没组织基础架构。
为什么DDoS攻击应该使网络安全专业人员感到担忧？
DDoS攻击可能会破坏可获利的在线资源的可用性，也可能成为转移策略，以执行网络上其他地方的其他非法活动。