文章目录:

• 1、分布式拒绝服务攻击的攻击原理
• 2、Denial of Service (DoS)的分布式拒绝服务攻击
• 3、分布式拒绝服务攻击的攻击方式
• 4、什么是 DDoS 攻击?
• 5、面对分布式拒绝服务和勒索软件攻击威胁，云原生架构有哪些具体优势可帮助抵御这类攻击？

分布式拒绝服务攻击的攻击原理

拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

DDOS（分布式拒绝服务）：凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。 也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击，但是DDOS 和DOS 还是有所不同，DDOS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包， 从而造成网络阻塞或服务器资源耗尽而导致拒绝服务， 分布式拒绝服务攻击一旦被实施， 攻击网络包就会犹如洪水般涌向受害主机， 从而把合法用户的网络包淹没， 导致合法用户无法正常访问服务器的网络资源， 因此， 拒绝服务攻击又被称之为 “洪水式攻击” ，常见的 DDOS 攻击手段有 SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood 等；而 DOS 则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、 主机死机而无法提供正常的网络服务功能， 从而造成拒绝服务， 常见的 DOS 攻击手段有 T earDrop、 Land、 Jolt、 IGMP Nuker、 Boink、 Smurf、 Bonk、OOB 等。就这两种拒绝服务攻击而言，危害较大的主要是 DDOS 攻击，原因是很难防范，至于 DOS 攻击，通过给主机服务器打补丁或安装防火墙软件就可以很好地防范DDOS 的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞， 合法网络包被虚假的攻击包淹没而无法到达主机； 另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU 被内核及应用程序占完，造成的无法提供网络服务。

　如何判断网站是否遭受了流量攻击可通过 Ping 命令来测试，若发现 Ping 超时或丢包严重(假定平时是正常的)，则可能遭受了流量攻击，此时若发现和你的主机接在同一交换机上的服务器也访问不了， 基本可以确定是遭受了流量攻击。 当然， 这样测试的前提是你到服务器主机之间的 ICMP 协议没有被路由器和防火墙等设备屏蔽， 否则可采取 T elnet 主机服务器的网络服务端口来测试，效果是一样的。不过有一点可以肯定，假如平时 Ping 你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都 Ping 不通了或者是严重丢包，那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击，再一个流量攻击的典型现象是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。相对于流量攻击而言， 资源耗尽攻击要容易判断一些， 假如平时 Ping 网站主机和访问网站都是正常的，发现突然网站访问非常缓慢或无法访问了，而 Ping 还可以 Ping 通，则很可能遭受了资源耗尽攻击 ，此时若在服务器上用Nistat -na命令观察到有大量的SYN_RECEIVED、TIME_W AIT、FIN_W AIT_1 等状态存在，而EST BLISHED 很少，则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是，Ping 自己的网站主机 Ping 不通或者是丢包严重，而 Ping 与自己的主机在同一交换机上的服务器则正常，造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序 CPU 利用率达到 100%无法回应 Ping 命令，其实带宽还是有的，否则就 Ping 不通接在同一交换机上的主机了。

Denial of Service (DoS)的分布式拒绝服务攻击

分布式拒绝服务攻击（英文：Distributed Denial of Service，缩写：DDoS）亦称洪水攻击。顾名思义，即是利用网络上已被攻陷的电脑作为“僵尸”，向某一特定的目标电脑发动密集式的“拒绝服务”式攻击，用以把目标电脑的网络资源及系统资源耗尽，使之无法向真正正常请求的用户提供服务。黑客通过将一个个“丧尸”或者称为“肉鸡”组成僵尸网络，就可以发动大规模DDoS或SYN洪水网络攻击，或者将“丧尸”们组到一起进行带有利益的刷网站流量、Email垃圾邮件群发，瘫痪预定目标受雇攻击竞争对手等商业活动。

分布式拒绝服务攻击的攻击方式

DDoS攻击通过大量合法分布式拒绝服务攻击软件的请求占用大量网络资源分布式拒绝服务攻击软件，以达到瘫痪网络的目的。 这种攻击方式可分为以下几种： 通过使网络过载来干扰甚至阻断正常的网络通讯分布式拒绝服务攻击软件； 通过向服务器提交大量请求分布式拒绝服务攻击软件，使服务器超负荷； 阻断某一用户访问服务器； 阻断某服务与特定系统或个人的通讯。 IP Spoofing IP欺骗攻击是一种黑客通过向服务端发送虚假的包以欺骗服务器的做法。具体说，就是将包中的源IP地址设置为不存在或不合法的值。服务器一旦接受到该包便会返回接受请求包，但实际上这个包永远返回不到来源处的计算机。这种做法使服务器必需开启自己的监听端口不断等待，也就浪费分布式拒绝服务攻击软件了系统各方面的资源。 LAND attack 这种攻击方式与SYN floods类似，不过在LAND attack攻击包中的原地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环，最终耗尽资源而死机。 ICMP floods ICMPfloods是通过向未良好设置的路由器发送广播信息占用系统资源的做法。 Application 与前面叙说的攻击方式不同，Application level floods主要是针对应用软件层的，也就是高于OSI的。它同样是以大量消耗系统资源为目的，通过向IIS这样的网络服务程序提出无节制的资源申请来迫害正常的网络服务。

什么是 DDoS 攻击?

DDoS就是Distributed Denial of Service，分布式拒绝服务攻击；是指攻击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求、耗尽目标主机资源或网络资源，从而使被攻击的主机不能为正常用户提供服务。

就以2014年最新的闪电DDOS来说他的DNS攻击模式可放大N倍进行反射攻击。不少公司雇佣黑客团队对自己的竞争对手进行DDOS攻击。业界的各类攻击产品很多，最强悍技术最领先的防火墙测试软件就是DDOS攻击器了。

DDoS攻击价值性

在当今维护网络安全的措施中，防火墙是应用最普遍、提供最基本网络防范功能的一种有效手段。针对威胁网络安全的DDOS攻击，DDOS防火墙扮演着重要的角色，其产品也是琳琅满目。

随着用户对DDOS防火墙的质量要求越来越高，对DDOS防火墙产品的DDOS压力测试的研究也随即展开，压力测试软件的重要性能够让企业及时发现自己网络环境的薄弱点，从而及时防范潜在的黑客攻击，降低企业的损失。

以上内容参考：百度百科-DDOS攻击器

面对分布式拒绝服务和勒索软件攻击威胁，云原生架构有哪些具体优势可帮助抵御这类攻击？

主要包括三方面：分布式、不可变和短生命周期。

1、分布式—应用与服务

如果您采用的是分布式应用交付模式（如利用包括CDN在内的云服务），就不用过分担心遭受DDoS攻击，因为这些攻击更喜欢集中火力攻击一个方向。

2、不可变–数据集

如果您的应用采用不是修改记录，而是“写时附加”（换句话说，您的数据集是不可变的），那么您就不必担心数据完整性会受到攻击，因为这种方式更容易检测和暴露此类攻击。

3、短生命周期——工作负载

如果应用生命周期较短，您也不用担心攻击者会发动持续性攻击并横向移动。包括应用实例相关的令牌在内的机密信息的价值，会在短期内随着旧资产的退役而消失，也会随着新资产的投入使用而实例化。

因此，利用好现代云原生架构的分布式、不可变和短生命周期三种属性，就可以解决网络安全的基本三要素，即机密性、完整性和可用性。