来源：https://www.cyber.nj.gov/alerts-advisories/ddos-attack-types-and-mitigation-strategies

https://us-cert.cisa.gov/sites/default/files/publications/DDoS%20Quick%20Guide.pdf

https://bdtechtalks.com/2020/09/19/top-5-ddos-attacks-in-history/

https://javapipe.com/blog/ddos-types/

https://www.globaldots.com/resources/blog/types-of-ddos-attacks/#:~:text=When%20it%20comes%20to%20measuring%20the%20DDoS%20attack,the%20magnitude%20is%20measured%20in%20bits%20per%20second.

在过去的几个月里，NJCCIC注意到分布式拒绝服务(DDOS)攻击的数量有了显著的上升，在这些攻击中，数千个被恶意软件感染的系统被用来涌入组织的网络，从而阻止或削弱了目标网络、系统或应用程序的授权使用。在某些情况下，这些DDOS攻击导致组织无法执行关键的业务功能。

新冠肺炎疫情发生以来，许多组织转向远程办公。企业、学校甚至个人在工作和日常生活的各个方面都越来越依赖于在线服务。自今年3月以来，NJCCIC发现各种各样的网络攻击相应增加，包括与新冠病毒相关的垃圾邮件活动和更险恶的勒索软件攻击。最近，学校系统成为DDOS攻击的目标。当许多学校都在远程操作时，DDOS攻击会使学校的在线资源无法操作，学生、教师和管理员也无法使用。然而，最近DDOS攻击的上升并不局限于学校。许多私营和公共部门的组织也成为DDOS攻击者的目标。

DDOS攻击的动机各不相同。针对电子商务网站和在线业务的DDOS威胁是一种常见的勒索策略，威胁者出于经济利益的动机而使用。DDOS攻击也是在勒索软件案件中用来迫使立即付款的另一种策略;然而，经济利益并不是唯一的动机。在某些情况下，黑客主义、网络战和报复是潜在的动机。一些复杂的威胁行动者会对一个组织进行DDOS攻击，以引起对DDOS攻击的关注，同时也会进行其他未被发现的攻击。另一方面，DDOS攻击可能以恶作剧的形式进行，类似于拉响火警或打电话向学校发出炸弹威胁，以逃避考试。在某些情况下，DDOS攻击是由于网络设备或系统的错误配置造成的，或者是意外的。无论是企业、政府机构还是学校，DDOS攻击的负面影响是真实存在的，而且还在不断增长。因此，组织必须在其网络安全计划中包括DDOS攻击预防和恢复。

一、攻击类型

有各种类型的DDOS攻击可以对目标组织造成破坏。在本文中，我们将攻击类型组织为三组:容量攻击（volumetric）、协议攻击（protocol）和应用程序攻击（application），同时承认这三种类型之间的区别是模糊的。通常，攻击者会同时使用所有三种类型，以确保他们的攻击尽可能具有破坏性。

1.1容量攻击

容量DDOS攻击是最常见和最具破坏性的攻击。容量攻击用大量的网络流量使网络不堪重负，从而耗尽目标组织的资源。在容量攻击中，攻击者通常会使用大量被恶意软件感染的系统——称为机器人（bots）——来攻击一个组织。UDP (User Datagram Protocol，用户数据报协议)和ICMP (Internet Control Message Protocol, Internet Control Message Protocol, Internet Control Message Protocol) floods是一种常见的进行容量攻击的手段。UDP和ICMP是无连接协议，允许在不进行完整性检查的情况下快速传输数据，不幸的是，这使它们成为攻击者的主要工具。容量攻击通常也使用反射（reflection）和放大（ amplification）技术来覆盖目标网络/服务。UDP容量攻击的一种类型是网络时间协议(NTP)反射和放大DDOS攻击，攻击者利用数千机器人欺骗目标系统的IP地址，同时向Internet上的合法NTP服务器发出NTP请求。结果是大量的流量从NTP服务器流向目标系统，超过目标系统。

Acunetix

在容量攻击中，更多的机器人和服务器被招募来攻击一个给定的目标，确保几乎任何网络都不堪重负。谷歌最近公布，2017年遭受了有史以来最大的DDOS攻击——2.54Tbps。关于DDoS攻击数量呈指数级增长的报告描绘了DDoS威胁的一幅清晰的画面。由于容量攻击使目标网络的带宽饱和，它们通常以每秒比特(bps)来度量。

Google

1.2协议攻击

协议攻击的目的是通过向给定的目标网络/服务发送大量连续的畸形连接请求来消耗其所有资源。SYN flood是一种常见的协议攻击。在两台计算机之间建立连接的普通三次握手中，客户端计算机向主机发送一个SYN请求。主机通过发送回SYN-ACK消息来确认SYN请求，然后客户端计算机通过发送ACK消息来确认SYN-ACK以建立与主机的连接。在SYN flood攻击中，大量的SYN包被发送到目标服务器上的每个端口，使用一个欺骗的IP地址。主机响应一个SYN- ack，但是因为最初的SYN包被欺骗了，所以客户端没有响应。最终，主机的端口会因为半开放的连接而不堪重负，因此，合法的连接请求将被拒绝。除了SYN flood攻击外，还有许多其他类似的协议攻击，包括Ping of Death、Smurf DDOS等。协议攻击会消耗防火墙、负载均衡器和服务器等网络设备的处理资源，通常以每秒包数(pps)来衡量。

Imperva   

1.3应用层攻击

应用程序攻击的目标是组织的web应用程序，攻击者向该应用程序发送大量看似合法的处理请求。这些攻击要求应用程序使用CPU和内存资源，直到这些资源耗尽并且应用程序无法响应任何请求为止。一个电子商务网站，向购物车中添加商品和结账的过程在计算上是昂贵的。攻击者使用大量并发请求来攻击这些应用程序进程，可能耗尽目标系统的资源并使服务器崩溃。应用层攻击通常以每秒请求数(rps)来衡量。

二、准备和预防

任何拥有面向互联网服务的组织都可能成为DDOS攻击的目标。因此，有一个事件响应计划来解释针对您的组织的DDOS攻击是至关重要的。事件响应计划的准备阶段包括为预防和准备应对攻击而实施的所有活动和控制。通常，对DDOS攻击的响应包括与您的互联网服务提供商(ISP)或DDOS缓解服务提供商合作，以协助偏转或清除针对您的网络的DDOS流量。在任何攻击之前与这些提供商建立关系将有助于您预防和快速响应攻击。

为了减少攻击的风险，组织可以采取许多行动。这份清单虽然不全面，但将为评估和管理风险提供指导。

（1）确保您的信息安全计划包括容量和性能规划策略和标准，以便您的网络、系统和应用程序满足业务需求，并以减轻容量和性能限制风险的方式实现。

（2）对面向互联网的服务进行分类，并对那些需要防范DDOS攻击的服务进行排序。

（3）确保网络容量适宜。随着向远程工作的转变，组织正在使用更多的带宽。您的组织的带宽是否已经增加，以应对这种扩展的使用情况?网络硬件是否能够处理流量的增加?

（4）限制攻击面。不要向互联网公开不必要的端口或服务，这会使它们成为潜在的目标。大多数组织没有必要向公共互联网公开NTP。在路由器上丢弃流量，或者让ISP从网络上游丢弃流量。类似地，如果没有合法的业务需要，就放弃或限制分配给其他有风险的协议的带宽。需要考虑的风险协议包括Chargen、SMB、ICMP、SSDP、rpcBind、Ripv1、CLDAP等。

（5）对所有网络设备和服务器进行软件和固件更新，并确保及时应用安全补丁。

（6）实现安全的编码实践以最小化风险并确保应用程序的组件高效执行。

（7）使用多个isp来提供冗余和/或分配负载。一些组织使用一个ISP提供面向公众的网站和服务，而使用另一个ISP提供VPN和其他内部业务功能。

（8）如上所述，提前与ISP接触，了解他们可以提供哪些保护和补救帮助。

（9）考虑与DDOS缓解服务提供商签订合同，后者监视并自动响应针对您的资源的攻击。在使用此类服务时，请确保充分了解其服务水平协议，其中包括检测阈值和缓解时间。