DDoS攻擊會造成非常嚴(yán)重的影響，61%的各類型服務(wù)提供商因被攻擊而威脅到正常的商業(yè)運作，甚至造成利潤流失或者客戶隱私被竊。

　　威脅如此巨大的DDoS到底為何物?

　名詞解釋

　　DDoS：Distributed Denial of Service，即分布式拒絕服務(wù)攻擊。借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。

　　形象比喻

　　可以用一個比方來深入理解什么是DDOS。一群惡霸試圖讓對面那家有著競爭關(guān)系的商鋪無法正常營業(yè)，他們會采取什么手段呢?惡霸們扮作普通客戶一直擁擠在對手的商鋪，賴著不走，真正的購物者卻無法進(jìn)入;或者總是和營業(yè)員有一搭沒一搭的東扯西扯，讓工作人員不能正常服務(wù)客戶;也可以為商鋪的經(jīng)營者提供虛假信息，商鋪的上上下下忙成一團(tuán)之后卻發(fā)現(xiàn)都是一場空，最終跑了真正的大客戶，損失慘重。此外，惡霸們完成這些壞事有時憑單干難以完成，需要叫上很多人一起。嗯，網(wǎng)絡(luò)安全領(lǐng)域中DoS和DDoS攻擊就遵循著這些思路。

　　現(xiàn)實版DDOS

　　Lyft 是 Uber 的競爭對手。去在2014年某段時間 Lyft 的司機收到很多假訂單：有人定了車，等司機出發(fā)后又取消預(yù)定。最后發(fā)現(xiàn)這些假訂單中至少有 5560 個來自 177 名 Uber 員工。甚至有 1 名 Uber 員工用 14 個假帳號向 Lyft 的司機發(fā)出了 680 次假訂單。Uber 對此作出了解釋，大概意思就是說這是臨時工干的。Uber 此員工的行為就是現(xiàn)實版DDOS。

　　攻擊原理，如何發(fā)起DDOS攻擊

　　在信息安全的三要素：“保密性”、“完整性”和“可用性”中，DoS(Denial of Service)，即拒絕服務(wù)攻擊，針對的目標(biāo)正是“可用性”。該攻擊方式利用目標(biāo)系統(tǒng)網(wǎng)絡(luò)服務(wù)功能缺陷或者直接消耗其系統(tǒng)資源，使得該目標(biāo)系統(tǒng)無法提供正常的服務(wù)。

　　DDoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。單一的DoS攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項指標(biāo)不高的性能，它的效果是明顯的。隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了，目標(biāo)對惡意攻擊包的"消化能力"加強了不少。在此情況下，分布式的拒絕服務(wù)攻擊手段(DDoS)就應(yīng)運而生了。DDoS就是利用更多的“傀儡機”來發(fā)起進(jìn)攻，以比從前更大的規(guī)模來進(jìn)攻受害者，導(dǎo)致“可用性”坍塌、失效。

　　攻擊手段

　　DDoS攻擊通過大量合法的請求占用大量網(wǎng)絡(luò)資源，以達(dá)到癱瘓網(wǎng)絡(luò)的目的。可分為以下幾種：

　　1、通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。

　　2、通過向服務(wù)器提交大量請求，使服務(wù)器超負(fù)荷。

　　3、阻斷某一用戶訪問服務(wù)器。

　　4、阻斷某服務(wù)與特定系統(tǒng)或個人的通訊。

　　DDoS的攻擊史和典型事件

　　DDoS攻擊的第一次“揚名”是1999年令明尼蘇達(dá)大學(xué)的一臺計算機宕機超過兩天。但是僅僅一年后的2000年，范圍更廣泛了，這一次Amazon、CNN、eBay和Yahoo在24小時內(nèi)都受到了攻擊，導(dǎo)致網(wǎng)站或者鏈接巨慢無比或者集體掉線。預(yù)計Amazon和Yahoo的損失合計大概有110萬美元。

　　在2001到2005年間，DDoS攻擊的案例在無形增長之中，其中也不乏幾起突出的事件，最有名的莫過于對Register.com和對eBay的又一次攻擊，此次攻擊導(dǎo)致一位男性被起訴，聲稱其一年間造成“至少5000美元”的損失。

　　在2006年，DDoS工具就成為黑客的重型武器，但是那時的攻擊通常依舊是由個人發(fā)起實施，而不是一個團(tuán)體。在英國一個值得注意的案例就是一個少年給前任雇主發(fā)送了500萬封電子郵件而導(dǎo)致其服務(wù)器宕機。

　　2007年由于愛沙尼亞國家網(wǎng)站遭到來自俄羅斯方面的攻擊而給在線戰(zhàn)爭帶來了外交影響。沖突的最初爆發(fā)是蘇維埃戰(zhàn)爭紀(jì)念碑計劃從愛沙尼亞首都搬遷時演變成俄羅斯族民眾的暴動，隨后蔓延到網(wǎng)絡(luò)空間，幾個政府機關(guān)和城市的網(wǎng)站被俄羅斯激進(jìn)分子攻破或修改。

　　在2009年7月迫受爭議的伊朗大選中，當(dāng)一些艾哈邁迪內(nèi)賈德支持者的網(wǎng)站被眾多自制的拒絕服務(wù)工具拖垮時，街頭抗議反映到了網(wǎng)絡(luò)空間。此次不再是使用自動的僵尸，而是來自民眾對政府的攻擊用到了php腳本。

　　……

　　2014年3月底， Anonymous黑客組織發(fā)動了大規(guī)模的DDoS攻擊，導(dǎo)致該索尼公司的PlayStationnetwork.com網(wǎng)站一度無法訪問。但這只是冰山的一角，索尼公司所稱，DDoS攻擊過程中，索尼的PSN服務(wù)服務(wù)器被攻破，造成7700萬用戶數(shù)據(jù)被盜。

　　……

　　DDoS的影響與防范

危害和損失估算

　　來自卡巴斯基的調(diào)查分析顯示，38%的DDoS攻擊的受害者無力保護(hù)其核心業(yè)務(wù)免遭攻擊。攻擊也能影響信用評級以及保險費。一個單一的DDoS(分布式拒絕服務(wù))對公司的在線資源的攻擊可能會造成相當(dāng)大的損失，平均的數(shù)字根據(jù)公司規(guī)模的不同，大概從52，000美元到美國444，000美元不等。

　　對于許多組織來說，攻擊可能對資產(chǎn)負(fù)債表造成了嚴(yán)重影響。影響公司聲譽，并且?guī)砗献骰锇楹涂蛻魺o法訪問網(wǎng)絡(luò)資源的情況，帶來致命的打擊。

　　DDoS攻擊造成61%的公司無法訪問其關(guān)鍵業(yè)務(wù)信息，38%公司無法訪問其關(guān)鍵業(yè)務(wù)，33%的受害者因此有商業(yè)合同或者合同上的損失。

　　而以上紕漏的僅僅是表層的傷害，對于關(guān)鍵業(yè)務(wù)的破壞帶來的嚴(yán)重后果以及聲譽的損失有時候是不能夠簡單量化計算的。

　　防范措施

　　從目前來看，雖然降低DDoS攻擊的影響并非易事，但還是可以采取必要措施以減少損失。

　　企業(yè)有必要將DDoS防御措施視為整體IT安全策略中不可或缺的一部分。對于企業(yè)而言，抵御DDoS攻擊與部署反病毒保護(hù)、針對性攻擊防御、數(shù)據(jù)泄露措施等安全方案同樣至關(guān)重要。