提交工单 
+373 79 600002 
Telegram 在线聊天 
常见问题 
中文 (中国)
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
安全DDoS 攻击:类型、OSI 模型层和如何保护您的基础设施
分布式拒绝服务 (DDoS) 攻击仍然是当今在线业务、Web 应用程序和托管基础设施面临的最具破坏性和成本最高的威胁之一。无论您运营小型电子商务网站还是管理企业级服务器,了解 DDoS 攻击的工作原理以及它们如何映射到 OSI 模型的特定层,是任何严肃防御策略的基础。
在本综合指南中,我们分解了每一种主要的 DDoS 攻击类型,解释了每种攻击针对的 OSI 层,概述了对您业务的实际影响,并介绍了经过验证的缓解策略,以保持您的服务在线。
什么是 DDoS 攻击?
一个分布式拒绝服务 (DDoS) 攻击是一种协调的恶意尝试,用大量流量或耗尽资源的请求淹没目标服务器、网络或服务,使其无法响应合法用户。
与从单台机器发起的简单 DoS 攻击不同,DDoS 攻击利用僵尸网络:由数千甚至数百万台被入侵设备(计算机、物联网设备、服务器)组成的网络,同时向目标发送流量。分布式特性使这些攻击更难被阻止,威力也更大。
最终目标很直接:耗尽目标的资源——带宽、CPU、内存或连接容量——导致停机、性能下降和服务中断。
OSI 模型:为什么它对 DDoS 防御很重要
OSI(开放系统互连)模型是一个概念框架,将网络通信分为七个不同的层,每层负责特定的功能。DDoS 攻击被故意设计为利用特定层的漏洞,这就是为什么理解该模型对于诊断和防御它们至关重要。
| OSI 层 | 名称 | 功能 |
|---|---|---|
| 第 1 层 | 物理层 | 原始数据的硬件传输 |
| 第 2 层 | 数据链路层 | 节点到节点的数据传输 |
| 第 3 层 | 网络层 | 路由和 IP 寻址 |
| 第 4 层 | 传输层 | 端到端通信 (TCP/UDP) |
| 第 5 层 | 会话层 | 会话管理 |
| 第 6 层 | 表示层 | 数据格式化和加密 |
| 第 7 层 | 应用层 | 面向用户的协议 (HTTP、DNS 等) |
DDoS 攻击主要针对第 3、4 和 7 层,每一层都需要不同的检测和缓解方法。
按 OSI 层分类的 DDoS 攻击类型
1. 基于容量的攻击——第 3 层(网络层)
基于容量的攻击是最直接的,通常在原始流量容量方面最大。它们的主要目标是饱和目标或连接到互联网的网络基础设施的可用带宽。攻击大小通常以千兆比特每秒 (Gbps)或每秒数据包数 (PPS)来衡量。
#### ICMP 洪泛(Ping 洪泛)
攻击者向目标发送大量ICMP 回显请求(ping)数据包。受害者的服务器被迫处理每个请求并发送相应的回复,消耗入站和出站带宽以及 CPU 周期。当容量超过服务器容量时,合法流量完全被挤出。
关键特征:执行简单,通常用作更复杂同时攻击的烟幕。
#### UDP 洪泛
在UDP 洪泛中,攻击者向目标主机上的随机端口发送大量用户数据报协议 (UDP) 数据包。由于 UDP 是无连接和无状态的,目标服务器必须:
- 检查是否有任何应用程序在监听目标端口。
- 如果未找到应用程序,则用 ICMP”目标不可达”数据包进行响应。
这个过程每秒重复数百万次,会迅速耗尽服务器资源和可用带宽。
#### 放大攻击 (DNS/NTP 放大)
一种特别危险的第 3 层容量攻击子类型,放大攻击利用可公开访问的服务器(DNS 解析器、NTP 服务器、memcached 实例)来增加攻击流量。攻击者伪造受害者的 IP 地址,向这些服务器发送小请求,这些服务器用大 10 倍到 100 倍的响应进行回复——全部指向受害者。
2. 协议攻击——第 4 层(传输层)
协议攻击利用TCP/IP 通信协议本身的弱点,而不仅仅是淹没带宽。它们旨在耗尽服务器端资源,例如连接状态表、防火墙会话表和负载均衡器容量。攻击大小以每秒数据包数 (PPS)来衡量。
#### SYN 洪泛
SYN 洪泛是最著名和最广泛使用的 DDoS 技术之一。它利用TCP 三路握手:
- 客户端发送 SYN 数据包以启动连接。
- 服务器用 SYN-ACK 进行响应,并在等待最终 ACK 时分配资源。
- 在 SYN 洪泛中,攻击者发送数千个 SYN 数据包——通常带有伪造的源 IP——但从不完成握手。
服务器的连接表填满了半开连接,防止它接受任何新的合法连接。即使在相对较低的流量容量下,这也是一种高度有效的攻击。
#### 死亡之 Ping
死亡之 Ping攻击涉及向目标发送格式错误或超大数据包。IPv4 规范将数据包大小限制为 65,535 字节;当超大数据包被分段和重新组装时,它可能导致缓冲区溢出、系统崩溃或在易受攻击的系统上重启。虽然现代操作系统在很大程度上已针对经典死亡之 Ping 进行了修补,但变体仍在不断出现。
#### ACK 洪泛
在ACK 洪泛中,攻击者向目标发送大量 TCP ACK 数据包。由于服务器没有相应 SYN 数据包的记录,它必须处理每一个以确定其无效——在此过程中消耗 CPU 和内存。
3. 应用层攻击——第 7 层(应用层)
应用层攻击是最复杂的,也是最难检测的,因为它们密切模仿合法用户行为。它们不是淹没带宽或耗尽连接表,而是针对特定应用程序的计算资源——Web 服务器、数据库、API 和登录系统。攻击大小以每秒请求数 (RPS)来衡量。
#### HTTP 洪泛
HTTP 洪泛向 Web 服务器发送大量看似合法的 HTTP GET 或 POST 请求。因为每个请求看起来都有效,简单的基于 IP 的阻止是无效的。服务器必须处理每个请求——查询数据库、呈现页面、执行脚本——直到完全不堪重负,无法为真实用户提供服务。
GET 洪泛通常针对资源密集型页面(搜索结果、产品列表)。
POST 洪泛针对表单和登录端点,强制服务器处理大量提交的数据。
#### Slowloris
Slowloris 是一种独特的隐蔽攻击,需要很少的带宽。它的工作原理是:
- 打开大量到目标 Web 服务器的连接。
- 发送部分、不完整的 HTTP 请求标头——足以保持每个连接活动。
- 定期发送其他标头行以防止超时。
服务器保持每个连接打开,等待请求完成,逐渐耗尽其最大连接池。一旦池满了,就无法接受新的合法连接——有效地使服务器离线,同时使用最少的攻击者资源。
#### DNS 查询洪泛
针对第 7 层的 DNS 基础设施,攻击者发送大量DNS 查询请求以查询不存在或随机的域名。DNS 服务器必须处理每个查询,消耗 CPU 和内存,直到无法再解析合法请求——有效地将目标与互联网断开连接。
#### SSL/TLS 耗尽
这些攻击利用SSL/TLS 握手的计算成本。建立加密连接需要服务器端的大量 CPU 资源。通过每秒启动数千个 SSL 握手而不完成它们,攻击者可以压倒即使是配置良好的服务器。
DDoS 攻击的实际影响
理解技术机制只是问题的一半。成功的 DDoS 攻击的业务后果可能是严重的和长期的:
服务停机和收入损失
您的网站或应用程序离线的每一分钟都直接转化为收入损失。对于电子商务平台、SaaS 产品和在线服务,即使只是几小时的停机也可能造成数千或数万美元的损失——这还不包括客户流失的间接成本。
运营成本增加
紧急事件响应、额外的带宽配置、专家缓解服务以及 IT 人员的加班费在 DDoS 攻击期间和之后迅速累积。
声誉损害
客户和合作伙伴会注意到服务何时出现故障。重复或长期停机会侵蚀信任、损害品牌声誉,并可能将用户永久驱赶到竞争对手。对于受监管行业的企业,停机也可能触发合规违规和相关处罚。
安全分散(烟幕攻击)
一些 DDoS 攻击被故意设计为转移注意力——让安全团队忙碌,同时攻击者通过未被监控的向量同时执行数据泄露、勒索软件部署或其他入侵。
DDoS 缓解策略:实用指南
有效的 DDoS 防御需要一种分层、主动的方法,在每个 OSI 层解决威胁。没有单一的解决方案是充分的。
1. 选择为弹性而构建的基础设施
您的托管基础设施至关重要。选择提供DDoS 感知基础设施的提供商,具有高容量网络上行链路、硬件级过滤和冗余连接,是第一道防线。
如果您运行业务关键应用程序,请考虑升级到VPS 托管计划或专用服务器解决方案,提供专用资源、更好的网络配置控制以及实现自定义防火墙规则的能力——在受到攻击时都是关键优势。
2. 实施流量过滤和防火墙
部署有状态防火墙和入侵检测/防御系统 (IDS/IPS)来检查传入流量并自动丢弃与已知攻击签名匹配的数据包。配置规则以:
- 阻止来自已知恶意 IP 范围和 ASN 的流量。
- 丢弃格式错误的数据包和无效的协议状态。
- 将 ICMP 和 UDP 流量限制为合法用途。
- 强制执行严格的 TCP 状态验证以对抗 SYN 洪泛。
3. 应用速率限制
速率限制控制单个 IP 地址或连接在定义的时间窗口内可以发出多少请求。这对于 HTTP 洪泛和 DNS 查询洪泛等第 7 层攻击特别有效。在多个级别实施速率限制:
- Web 服务器级别 (NGINX、Apache)
- 应用防火墙级别 (WAF 规则)
- CDN/边缘级别 (Cloudflare、Akamai)
4. 部署 Web 应用防火墙 (WAF)
WAF 在第 7 层运行,可以根据行为分析、请求模式和声誉评分区分合法用户和攻击流量。它对 HTTP 洪泛、Slowloris 和应用程序特定的漏洞特别有效。
5. 使用 Anycast 网络扩散
Anycast 路由将传入流量分布在多个地理位置分散的数据中心。所有攻击流量不是击中单个服务器,而是分散在整个网络中——稀释其影响,使容量攻击的效果大大降低。
6. 实施冗余和负载均衡
使用负载均衡器将您的应用程序分布在多个服务器和地理区域中,确保即使一个节点被压倒,其他节点也继续为合法用户提供服务。这种架构也改进了正常条件下的性能和可用性。
7. 利用专门的 DDoS 保护服务
对于面临严重或持续 DDoS 威胁的企业,专门的 DDoS 缓解服务(如 Cloudflare Magic Transit、Radware 或 Imperva)提供始终在线的流量清理——在恶意流量到达您的基础设施之前清理它。
8. 保护您的 DNS 基础设施
由于 DNS 是频繁的 DDoS 目标,请确保您的 DNS 提供商提供DDoS 弹性基础设施,具有 anycast 路由和速率限制。考虑使用DNSSEC来防止 DNS 欺骗和缓存中毒攻击,这些攻击可能会加重 DDoS 损害。
9. 保持 SSL 证书有效且配置正确
过期或配置错误的 SSL 证书可能会造成攻击者利用的漏洞。维护有效的SSL 证书确保加密连接得到有效处理,并减少 SSL 耗尽攻击的暴露。
10. 制定和测试事件响应计划
拥有一份文档化、经过测试的DDoS 响应计划可以大大减少缓解攻击的时间。您的计划应包括:
- 清晰的升级路径和联系人列表。
- 为常见攻击类型预先配置的防火墙规则模板。
- 与上游提供商的关系,用于紧急空路由或流量清理。
- 事件后审查程序以改进防御。
DDoS 攻击摘要:一览 OSI 层
| 攻击类型 | OSI 层 | 目标资源 | 测量单位 |
|---|---|---|---|
| ICMP 洪泛 | 第 3 层——网络层 | 带宽 | Gbps |
| UDP 洪泛 | 第 3 层——网络层 | 带宽 / CPU | Gbps / PPS |
| DNS/NTP 放大 | 第 3 层——网络层 | 带宽 | Gbps |
| SYN 洪泛 | 第 4 层——传输层 | 连接表 | PPS |
| ACK 洪泛 | 第 4 层——传输层 | CPU / 状态表 | PPS |
| 死亡之 Ping | 第 4 层——传输层 | 系统稳定性 | PPS |
| HTTP 洪泛 | 第 7 层——应用层 | Web 服务器 CPU | RPS |
| Slowloris | 第 7 层——应用层 | 连接池 | 连接 |
| DNS 查询洪泛 | 第 7 层——应用层 | DNS 服务器 CPU | RPS |
| SSL 耗尽 | 第 7 层——应用层 | CPU(加密操作) | 握手/秒 |
构建 DDoS 弹性托管环境
对 DDoS 攻击的最有效长期防御始于选择正确的基础设施。AlexHost 如何帮助您: