DDoS攻击不仅在增加，而且比以往任何时候都更大，更具破坏性。从独立网站到跨国银行，似乎没有人可以幸免。

攻击者并不是唯一具有适应能力的人。通过研究近期历史上最著名的五种DDoS攻击，您可以了解如何在将来更好地保护自己。让我们看一下最著名的DDoS攻击及其必须提供的教训。

什么是DDoS攻击？

在深入探讨五种最著名的DDoS攻击之前，让我们首先回顾一下什么是DDoS攻击。

DDoS代表“分布式拒绝服务”，它是指部署大量Internet机器人（从数十万到数十万不等）。这些僵尸程序旨在通过大量请求，数据包或消息攻击单个服务器，网络或应用程序，从而拒绝为合法用户（例如员工或客户）提供服务。

通常，攻击者通过利用单个计算机系统中的漏洞来发起DDoS攻击。然后，攻击者的系统将成为DDoS主机，并致力于识别其他易受攻击的系统以将其转变为僵尸程序。

犯罪者通过使用命令和控制服务器或僵尸网络来指导这些计算机僵尸进行攻击。那时，攻击者所需要做的就是告诉僵尸程序针对谁。

谁会进行DDoS攻击？事实证明，答案包括许多不同类型的不良行为者，例如网络犯罪分子或不满的员工。犯罪者出于多种原因执行DDoS攻击，例如勒索，复仇或政治。

DDoS攻击可通过每秒在目标上发送多少位流量（二进制数字）来衡量-例如，一次小型攻击可能仅每秒测量几兆位（Mbps），而较大的攻击可能每秒测量几百兆位（Gbps），甚至每秒超过1 TB（Tbps）。

重要的是要注意，并非所有的DDoS攻击都以带宽为中心。例如，网络协议攻击是低带宽，每秒有很多数据包（PPS）。

DDoS攻击的安全威胁

更重要的是，在许多情况下，DDoS攻击仅旨在分散其他犯罪活动的注意力，例如数据盗窃或网络渗透。攻击者使其目标忙于抵御DDoS攻击，然后潜入某种恶意软件。

五种最著名的DDoS攻击

近年来，DDoS攻击的频率和严重性都只是在增加。在这里，我们将研究五个最大和最著名的DDoS攻击。

1. GitHub：1.35 Tbps

2018年2月28日，流行的开发人员平台GitHub突然受到攻击，每秒流量达1.35 TB。如果听起来像是很多，那是因为—不仅流量巨大，而且还是破记录。

根据GitHub的说法，流量可以追溯到“跨越成千上万个唯一端点的一千个不同的自治系统（ASN）”。

在此图中，您可以看到正常流量水平与攻击流量水平之间的差异是多少：

更糟糕的是，GitHub并非没有为DDoS攻击做充分的准备-他们根本无法得知将会发起这种规模的攻击。

正如GitHub在上面链接的事件报告中所解释的那样：“在过去的一年中，我们已经向我们的设施部署了额外的传输。在此期间，我们的运输能力增加了一倍以上，这使我们能够承受一定的体积攻击，而不会影响用户……。即便如此，这样的攻击有时仍需要拥有较大传输网络的合作伙伴的帮助才能提供阻止和过滤功能。”

2.香港占领区：500 Gbps

该PopVote DDoS攻击是在2014年进行了有针对性的被称为占据中央的总部设在香港的草根运动。该运动正在争取建立更民主的投票制度。

为了响应他们的活动，攻击者向Occupy Central的三个网络托管服务以及两个独立的站点（在线模拟选举站点PopVote和新闻网站Apple Daily）发送了大量流量。归占领中央所有，但公开支持其事业。据推测，那些负责者对占领中央的民主信息做出了反应。

该攻击用伪装成合法流量的数据包对服务器进行了攻击，并以一个，两个，五个僵尸网络来执行。这导致每秒500吉比特的峰值流量水平。

3. CloudFlare：400 Gbps

2014年，安全提供商和内容交付网络CloudFlare每秒遭受约400吉比特的流量冲击。该攻击是针对单个CloudFlare客户和欧洲的目标服务器的，并借助网络时间协议（NTP）（一种用于计算机时钟同步的网络协议）中的漏洞进行了发动。即使攻击仅针对CloudFlare的一个客户，但攻击是如此强大，以至于影响了CloudFlare自己的网络。

此攻击说明了一种技术，其中攻击者使用欺骗的源地址将大量NTP服务器的响应发送给受害者。这被称为“反射”，因为攻击者能够镜像和放大流量。

攻击后不久，美国计算机应急准备小组解释说，NTP放大攻击 “特别难以阻止”，因为“响应是来自有效服务器的合法数据。”

4. Spamhaus：300 Gbps

2013年，针对非营利威胁情报提供商Spamhaus发起了DDoS攻击。尽管作为反垃圾邮件组织的Spamhaus曾经受到并且经常受到威胁和攻击，但这种DDoS攻击的规模足以使他们的网站以及电子邮件服务的一部分瘫痪。

就像上述2014年针对CloudFlare的攻击一样，此攻击利用反射使Spamhaus的服务器每秒过载300吉比特流量。

这次攻击可追溯到一家名为Cyberbunker的荷兰公司的成员，该公司在将Spamhaus列入了Cyberbunker的黑名单后，似乎将其瞄准了。

5.美国银行：60 Gbps

2012年，一连串的DDoS攻击不是美国一家，而是两家，而是多达六家美国银行。受害者也不是小镇银行：他们包括美国银行，摩根大通，美国银行，花旗集团和PNC银行。

攻击是由数百台被劫持的服务器进行的，每台服务器造成的峰值洪泛每秒流量超过60吉比特。

当时，这些攻击在持久性方面是独一无二的：作案者没有尝试执行一种攻击然后再撤退，而是使用多种方法对目标进行了攻击，以找到可行的方法。因此，即使一家银行具备处理几种DDoS攻击的能力，它们也无法抵抗其他类型的DDoS攻击。

如何预防DDoS攻击

正如您在检查了五种最著名的攻击之后所看到的那样，DDoS攻击并没有消失。实际上，它们只会变得更大，更具破坏性。因此，防止自己成为受害者的最好办法是从已经发生的攻击中吸取教训。

您可以按照以下方法开始考虑DDoS保护：

选择部署模式

主动DDoS部署模式和被动DDoS部署模式都有好处，您选择哪种模式取决于您的业务目标。

主动模式可提供最高分辨率的检测功能，通常用于语音，视频和游戏等实时应用。通过主动模式，检测始终处于打开状态，并且为您提供了内联工具，该工具可通过数据包分析提供100％的可见性。

另一方面，反应模式通过分析元数据以及利用交换机和边缘路由器提供的流数据来检测异常。被动模式比主动模式更具成本效益，但是它没有实时响应的能力。

针对业务目标的推荐部署体系结构

	积极主动	反应性
体积攻击防护
双向保护
保护重要的DNS服务
保护实时IMS基础架构
保护内部托管客户端
保护外部托管客户端
商务擦洗服务
托管安全服务	客户处所	清洁管

DDoS检测方法

当涉及到DDoS检测时，有很多不同的方法可供选择，例如：

• 流采样：在流采样中，路由器对数据包进行采样，然后导出包含有关这些数据包信息的数据报。几乎所有路由器都支持这种技术，而且它具有高度可扩展性，因此成为一种流行的选择。但是，此方法只能为您提供有限的流量快照，而不能进行详细分析。

• 数据包分析：在路径中部署高性能DDoS缓解设备时，它可以立即检测和缓解异常。这种类型的设备连续处理所有传入流量，也可以处理所有传出流量，这分别称为非对称和对称处理。

• 镜像数据包：尽管镜像数据包不在流量路径中运行，但它们提供了用于深入分析的完整细节，并且可以快速检测到异常。该方法的唯一缺点是可能难以扩大规模。

DDoS防御的分析可扩展性

无论您选择哪种部署模式和检测方法，如果您无法扩大规模以充分保护整个网络，这一切都是徒劳的。毕竟，DDoS攻击之所以起作用，是因为它们可以带给您大量的流量，因此，缓解系统需要能够处理大量数据包。

您还应该牢记分析基础架构的可伸缩性。例如，流量采样方法可以轻松缩放，但会牺牲粒度和缓解速度。同时，镜像数据包当然可以提供粒度，但是它们的伸缩性往往不好。

选择最佳的DDoS保护

有这么多种选择，选择适合您公司和预算的DDoS保护解决方案并不总是那么容易。

选择解决方案时，应注意以下几点：

• 精度：保护自己免受DDoS攻击时，解决方案的精度似乎仅次于其抵制孵化器和抵御风暴的能力。但是，事实并非遥不可及：为了有效地保护您的网络，解决方案必须能够精确地解析流量，以正确地区分攻击的bot和合法的用户。

• 外形尺寸：某些DDoS解决方案以“一刀切”的产品形式提供，这通常对于小型组织来说是成本高昂的，而对于大型组织来说却不足够。因此，寻找一种可提供各种外形尺寸的解决方案。

• 可扩展性和广度：根据您所从事的业务类型，您可能依赖DDoS解决方案来保护许多下游业务客户。因此，一个好的解决方案应该能够保护您的客户以及您的基础架构。

• 部署灵活性：如前所述，有两种类型的部署模式：主动和被动。一个并不能比另一个更好，并且每个都可以根据您的目标发挥重要作用，因此请确保您选择的解决方案可以使用任何一种模式。

• 自动化的升级响应：效率在业务的各个方面都很重要，因此您的DDoS解决方案也应该高效。这意味着它应该认识到正常的普通流量与全面的DDoS攻击之间的区别，并相应地调整缓解措施。

• 可编程API：尽管DDoS解决方案易于使用很重要，但它们具有完全可自定义的应用程序编程接口（API）也同样重要。可编程的API有助于自动化以及防御，应用程序和虚拟基础架构的快速交付，这对于使用敏捷SecOps或DevOps模型的组织而言至关重要。

如果您坚持要求满足所有这些要求的解决方案，则可以更好地防御DDoS攻击。显然，随着时间的流逝，DDoS攻击只会变得越来越强大，但幸运的是，DDoS解决方案也是如此。