DDoS 攻击是什么？5 招教您保护网站

什么是 DDoS 攻击？

分散式阻断服务（Distributed Denial-of-Service）攻击，一般简称为 DDoS 攻击，是一种网路攻击的手法。以大量流量造成网路阻塞，耗费资源或瘫痪基础设施，进而导致目标电脑、网页或线上服务速度严重下降，或甚至无法照常运作。阻断网页或伺服器提供服务给其他正常的使用者。

DDoS 流量攻击除了造成因服务中断而带来的财务损失、影响公司名声和品牌形象以外，也可能是网路犯罪声东击西的伎俩，趁资安人员忙于应付流量攻击时，窃取敏感资料、植入勒索软体等。或是透过 DDoS 流量攻击来向受害者施加压力。因此做好流量攻击的防御，并留意其徵兆，是资安防护的重要课题。

DDos 攻击原理说明

DDoS 流量攻击可以想像成高速公路被人刻意塞满了自动驾驶、又无目的的赃车。而需要移动的正常驾驶和乘客要不是上不了高速公路，就是卡在车流之间，动弹不得。高速公路也因此无法发挥本来的功用。

发动 DDoS 攻击前，骇客首先会以木马、殭尸病毒等恶意软体感染，并远端控制大量的电脑、行动装置，或其他可连上网的设备（例如：物联网设备）。而这一整群被控制的机器，通常会称为「殭尸网路」或「机器人网路」。DDoS 攻击中的大量流量，就是来自于听命于骇客的殭尸电脑或装置。建立好殭尸网路后，骇客的下一步就是操控殭尸们，对目标的电脑或是伺服器发出请求。所谓的请求，指的是使用者希望电脑系统执行的工作内容，例如：在文字编辑器中输入文字、在电脑中开启应用程式、在网页上点击按钮等，都是送出请求。

一时之间收到大量流量和请求，很可能会造成被攻击的目标系统过载，无法负荷或即时执行请求的内容。轻则处理速度降低，重则整个服务下线。即使殭尸网路已经被骇客挟持，作为犯罪工具，从殭尸网路发出的请求对于系统来说，仍算是来自合法网路装置的流量。因此遭受 DDoS 攻击的目标，也无法在短时间内分辨出正常流量和恶意流量，增加缓解 DDoS 攻击的困难度。

【殭尸网路＆DDoS 攻击示意图】

DoS 与 DDoS 一样吗？

DoS（Denial-of-Service）攻击和 DDoS 攻击一样，皆以耗尽网路或系统资源、阻断服务为目的。两者的差别在于 DoS 攻击透过单一电脑进行，并非殭尸网路。也因此和 DDoS 攻击比起来，DoS 攻击的规模和伤害力还要较小，发动攻击所需的时间也较长。同时，DoS 攻击也因为形式较简单，无论是侦测、缓解攻击或追查流量来源都相对容易。DDoS 攻击可以说是 DoS 攻击的全面进阶版。

【Dos 攻击 vs DDoS 攻击示意图】

常发生 DDoS 攻击的 5 种产业

发动 DDoS 攻击成本低廉，又可以对目标造成巨大损害，常常被利用来达到勒索钱财、攻击竞争对手、进行抗争运动、展开网路战、宣扬理念或政治意图、恶作剧等目的。目标电脑系统被瘫痪之后，营运中断，除了直接财务损失，更可能进一步衍伸出名誉受损、失去客户信任等问题。以发表宣言为目的的骇客也可以藉 DDoS 攻击博得新闻版面。DDoS 攻击的目标通常有以下共同点：获利高、知名度高、有大量使用者及存有敏感资料。

DDoS 攻击常针对以下产业：

【想更进一步瞭解网路攻击如何运作与预防，可以参考《网路攻击》文章。】

DDoS 攻击的常见类型：

DDoS 攻击依照瘫痪系统的方式，可以分为两大类型：频宽消耗型和资源消耗型。

一、频宽消耗型

讨论网路资讯传递时，频宽指的是固定时间之内，可以传输的资料量。频宽消耗型 DDoS 攻击以大量的无效资料，攻击目标的基础设施层，佔用其频宽，排挤其正常的使用者。

UDP 洪水攻击、ICMP 洪水攻击、 DNS / NTP 放大攻击都是常见频宽消耗型 DDoS 攻击，分别利用大量的使用者资料包通讯协定（UDP）封包和网际网路控制讯息协定（ICMP）封包，以及向网域名称系统（DNS）和网路时间协定（NTP）伺服器请求大量封包，以瘫痪目标。

想了解有哪些方式可以协助企业找出资安漏洞？可以参考【弱点扫描是什么】以及【渗透测试是什么】

晟崴小知识：

1. 什么是通讯协定（Protocols）？

两个系统传输资料时，需要遵守相同的规则，通讯协定就是这类规则的统称。可以想像成资讯系统之间的共通语言，两台电脑要说同一个语言才能沟通。

2. 什么是封包（Data Packet）？

用网路传递讯息时，为了减轻系统运作的负担，资料通常被切成一小段一小段，被切割出来的段落即为封包。

二、资源消耗型

资源消耗型 DDoS 攻击则是针对目标伺服器的运算资源，使伺服器无间断重复无效的运算，而无法处理来自正常使用者的请求、提供原本的服务。以攻击目标应用程式层为主，较针对基础设施层的攻击更为复杂。

常见的资源消耗型 DDoS 攻击包含：伪造 TCP 连线的SYN 洪水攻击、针对 IP 的 LAND 攻击、制造大量的 HTTP 封包的 HTTP 洪水攻击、透过大量将无效的访问请求伪装为合法请求的 CC 攻击。

我遇到 DDoS 攻击吗？8 种遭受攻击的徵兆

DDoS 攻击因为难以区分正常请求和恶意请求，不易即时发现。对于一般网路使用者来说，DDoS 攻击可能有以下影响：

1. 网站或服务异常缓慢、卡断、频频断线，或是无法读取。
2. 垃圾邮件量大幅增加。
3. 多次尝试存取网站或服务遭拒。
4. 网路（包含有线和无线）异常断线。

但出现以上徵兆不一定代表伺服器受到 DDoS 攻击，发现后，借助流量分析工具，进一步观察是否有更多 DDoS 攻击的徵兆：

1. 可疑流量来自单一 IP 位置或特定 IP 范围。
2. 对特定页面或特定端点的请求无原因大幅上升。
3. 大量的请求有相同的特徵，例如：相同设备类型、地理位址、浏览器类型和版本。
4. 流量模式异常，例如：流量大幅增加的时间间隔相同、在非平常流量大的时段激增等。

5 大 DDoS 攻击防御方式

一般企业可以透过以下五大方面，提升系统对抵御 DDoS 攻击的能力，减低流量攻击的威胁：

一、定期进行资安检测、加强防护

了解系统有哪些安全漏洞，评估可能造成哪些资安危害，补强漏洞或制定营运持续计画。避免发生 DDoS 攻击时，系统遭遇其他恶意攻击。同时，使用并定期更新防毒软体，以免电脑或设备沦为殭尸网路的一部份，被远端控制，变成 DDoS 攻击的受害者之一。

晟崴小知识：

营运持续计画（Business continuity planning，BCP）是指企业在地震、颱风、停电等可能造成营运停摆的天灾人祸发生前，先规划好的灾难应变和復原作业流程。内容分析灾难可能带来的冲击、企业营运所需的最低资源需求、优先恢復的营运项目和时程规划等。

二、扩充运算资源

DDoS 攻击以消耗资源为手法，达到使网路服务无法正常运作的目的。平时提升频宽、传输或伺服器容量，在遭受 DDoS 攻击时，可以减缓流量攻击的严重程度，也能争取时间进行紧急处理。

三、落实备援机制或资料备份

建立备用的伺服器、储存装置、和备份的系统资料，在本来的服务因为 DDoS 攻击中断时，可以立刻启用备援站点，让服务重新上线。或是将重要资料备份，避免在 DDoS 攻击和其他恶意网路攻击事件中，资料遭加密、删改。

四、全天候监视，并了解正常和异常流量

7x24 监控网站或服务的流量，才能在出现异常活动时，即时发现和反应。平时也要了解正常流量的大小和特性，例如：哪些时段请求最多、流量来自哪些地区、请求的内容大部分是什么等。知道在正常情况下，网站或服务流量后，较容易在系统侦测到大量流量时，判断是否遭受 DDoS 攻击，并尽速做出回应。

五、使用 DDoS 攻击防御产品服务

各云端厂商和资安公司针对 DDoS 攻击，推出多种防护解决方案，可以在网站或服务接收到巨量请求时，分析流量来源、分辨正常及异常流量和减少遭攻击的区域，缓解 DDoS 攻击。此外，同时使用多种 DDoS 攻击防御产品，缓解攻击效果更能加倍。以下整理了常见的流量清洗攻击防御服务：

1. 流量清洗服务

• 功能：将所有进入伺服器的流量导向到清洗中心，该中心会分析并过滤流量，将正常请求与恶意请求区分开来。

• 效益：能够高效地清除大量恶意流量，在不影响正常使用者访问的情况下，保障网站和服务的正常运行。

2. 负载平衡器

• 功能：根据每个伺服器的负载情况，将流量分配到不同伺服器。

• 效益：减轻单一伺服器的负荷，避免伺服器过载，提升整体服务的稳定性和响应速度。

3. Anti-DDoS／高防解决方案

• 功能：在伺服器之前增加一道防护层，对进入的流量进行全面的分析和过滤。

• 效益：能够快速辨识并拦截各类型的 DDoS 攻击，提供即时的防护措施，保障伺服器的安全。

4. CDN（内容传递网路）

• 功能：将网站的内容缓存到全球各地的多个节点上，让使用者可以从最近的节点存取内容。

• 效益：除了提升网站的访问速度外，还能分散流量，减少对伺服器的直接冲击，缓解 DDoS 攻击的效果。

5. WAF（Web应用程式防火墙）

• 功能：监控和过滤进入网站的请求，根据设置的规则拦截具有攻击特徵的恶意流量。

• 效益：能够自动学习和更新防护策略，设置频率限制、IP 黑白名单等，提高网站对 DDoS 攻击的抵御能力。

DDoS 攻击背后原理简单，发动也容易，但手法众多，且难以侦测，却又可以严重损害目标，达到获得经济利益或博得关注的效果。流量攻击也因此在骇客间盛行。虽然侦测和防御困难，透过平时做好资安防护措施，定期资安检测，分析并监控流量，和导入 DDoS 攻击解决方案，可以协助企业和组织缓解 DDoS 攻击的威力，降低营运风险。