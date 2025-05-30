什么是分布式拒绝服务 (DDoS) 防护？

安全 IT 基础设施
2025 年 5 月 30 日

作者

Jim Holdsworth

Writer

Matthew Kosinski

Enterprise Technology Writer

分布式拒绝服务 (DDoS) 防护与缓解是指运用网络安全工具和服务来预防或快速解决 DDoS 攻击。DDoS 是一种网络攻击，通过用欺诈流量淹没数据中心、应用程序、网站及其他资源，导致其瘫痪。

IBM  X-Force  Threat Intelligence Index 报告显示，虽然 DDoS 攻击仅占 X-Force 响应攻击事件的 2%，但这些攻击造成的破坏可能代价高昂。事实上，IBM《数据泄露成本报告》指出，网络攻击导致的业务损失平均成本达 147 万美元。

启用强大的 DDoS 防护措施有助于确保系统正常运行时间，预防停机与业务中断，并保护组织声誉。

了解 DDoS 攻击

预防 DDoS 攻击始于了解其常见目标。DDoS 攻击流量通常针对开放系统互连 (OSI) 网络模型中的以下三个层级之一：

  • 应用层（第 7 层） ：最顶层， 面向用户的应用程序在此层与网络交互。
  • 传输层（第 4 层）：数据在此层传输至各个应用程序或从应用程序传出。
  • 网络层（第 3 层）：处理跨不同网络交互的设备之间的数据寻址、路由和转发过程。 

DDoS 攻击的类型

应用层攻击 

应用层攻击针对网络的应用层。例如 HTTP 洪水攻击：攻击者从多个设备向同一网站发送海量 HTTP 请求以使其崩溃。DNS 查询洪水攻击则针对域名系统(DNS) 服务器，用大量对虚假网站的请求使其过载。

协议攻击

协议攻击 针对网络层和传输层。例如 SYN 洪水攻击：利用 TCP 握手（两个设备相互建立连接的过程）向服务器发送大量欺诈数据包使其不堪重负。 Smurf 攻击则利用互联网控制报文协议 (ICMP)，向受害设备发送成百上千条 ICMP 回应回复进行淹没。

容量耗尽攻击

流量型攻击 会耗尽目标网络内部或目标服务与互联网其余部分之间的所有可用带宽，致使合法用户无法连接网络资源。 

例如 UDP 洪水攻击：向目标主机端口发送虚假的用户数据报协议（UDP）数据包。主机资源被徒劳地消耗在寻找接收这些虚假数据包的应用程序上。ICMP 洪水攻击（亦称“ping 洪水攻击”）则利用多个伪造的 IP 地址，向目标发送海量 ICMP 回显请求进行轰炸。

多向量攻击

多向量攻击 利用多个攻击途径或节点（而非 单一来源）发起攻击，以最大化破坏效果并阻碍 DDoS 缓解措施的实施。

攻击者可同时启用多个攻击向量，或在某个向量被阻断时实时切换至其他向量。例如，黑客可能会从 Smurf 攻击开始，但当安全系统阻断来自网络设备的流量时，他们可能会从僵尸网络发起 UDP 洪流攻击。

DDoS 攻击是否违法？

绝对违法。美国联邦调查局 (FBI) 明确指出：“参与分布式拒绝服务 (DDoS) 攻击及 DDoS 攻击租赁服务属违法行为。FBI 及其他执法机构将 DDoS 攻击作为网络犯罪进行调查。”处罚措施可包括：

  • 扣押电脑和其他电子设备
  • 逮捕及刑事起诉
  • 重刑监禁
  • 高额罚款

如何预防和缓解 DDoS 攻击

DDoS 安全解决方案和服务通常围绕自动检测与响应能力构建，以帮助组织实时识别网络流量中的异常模式或可疑激增并采取行动。一旦检测到异常活动，许多 DDoS 防护解决方案会即时阻断恶意流量或关闭攻击者可能试图利用的漏洞。

常见的 DDoS 预防和缓解工具及技术包括：

黑洞路由

“黑洞”路由（亦称“空路由”）：指网络中将传入流量未经处理或存储即行删除的部分。当怀疑发生 DDoS 攻击时，黑洞路由的作用是将传入流量重定向至黑洞。

其弊端在于良莠不分。合法且有价值的流量亦遭抛弃，故此法虽简单却如钝器御敌。

僵尸程序识别与管理 

僵尸程序识别与管理工具通过识别来自僵尸程序的恶意流量，帮助对抗 DDoS 威胁。

部分僵尸程序（例如 Google 用于索引搜索结果页面的程序）是良性的。但有些则用于恶意目的。例如，许多 DDoS 攻击是利用僵尸网络实施的。僵尸网络是由网络犯罪分子通过控制笔记本电脑、台式机、手机、物联网 (IoT) 设备及其他消费者或商业终端设备而建立的僵尸程序网络。

僵尸管理软件常用于阻止不受欢迎或恶意的互联网僵尸程序流量，同时允许有用的僵尸程序访问网络资源。此类工具大多利用人工智能 (AI)机器学习 (ML) 技术来区分僵尸程序与真实用户访问。僵尸管理软件可通过 CAPTCHA 测试或其他质询机制拦截潜在恶意僵尸程序，并自动对可能压垮系统的僵尸程序实施速率限制或拒绝访问。 

内容交付网络 (CDN)

CDN 是一个分布式服务器网络，可以帮助用户更快速、更可靠地访问在线服务。部署 CDN 后，用户请求无需返回服务的源服务器。相反，请求会被路由到地理位置较近的 CDN 服务器，由这些服务器交付内容。

CDN 可通过提升服务的整体流量承载能力来支持 DDoS 缓解工作。当 CDN 服务器因 DDoS 攻击而离线时，用户流量可被路由至网络中其他可用的服务器资源。

自动化检测与响应工具

端点检测与响应 (EDR)网络检测与响应 (NDR)用户与实体行为分析 (UEBA)  及类似工具可监控网络基础设施和流量模式，以发现入侵指标。其工作原理通常是构建正常网络行为的基线模型，并识别可能表征恶意流量的模型偏差。

当系统检测到 DDoS 迹象（如流量模式异常）时，即触发实时事件响应（如终止可疑网络连接）。

设备指纹识别

设备特征指纹利用收集到的软硬件信息来确定特定计算设备的身份。部分 DDoS 防护工具（如僵尸管理系统）使用特征指纹 数据库 来识别已知僵尸程序，或筛选出与已证实或涉嫌恶意意图相关联的设备。

负载均衡

负载均衡是在多个服务器之间分配网络流量以优化应用程序可用性的过程。负载均衡可以自动将流量从不堪重负的服务器中路由出去，从而帮助防御 DDoS 攻击。

企业可以部署基于硬件或软件的负载均衡器处理流量。它们还可以采用任播网络技术——将单一 IP 地址分配至多地域的多台服务器或节点，使流量分散至各服务器。通常请求会发送至最优服务器。当流量激增时，负载被分摊，服务器更不易过载。

本地部署 DDoS 防护设备

这些设备可以是安装在公司网络上的物理设备或虚拟机。它们监控传入流量，检测可疑模式，并阻断或限制潜在危险的流量。

由于这些设备安装在本地，因此无需将流量发送至基于云的服务进行检查或清洗。本地部署的 DDoS 防护设备对要求低延迟的组织（如会议和游戏平台）非常 有用。 

协议过滤

协议过滤根据常见通信协议（如 TCP、DNS 和 HTTPS）的正常行为来分析网络流量。若使用特定协议的流量偏离该协议规范，协议过滤工具可标记或阻断它。

例如，DNS 放大攻击利用伪造的 IP 地址和恶意 DNS 请求，向受害设备发送大量数据造成淹没。协议过滤有助于在造成损害前识别并丢弃这些异常的 DNS 请求。 

速率限制

速率限制指在规定时间内，对服务器允许接受的传入请求数量设置上限。合法用户的服务速度也可能变慢，但服务器不会不堪重负。 

流量清洗

清洗中心是专用网络或安全服务，可通过流量认证和异常检测等技术过滤恶意流量，仅允许合法流量通过。清洗中心在阻断恶意流量的同时，允许合法流量到达其目的地。

Web 应用程序防火墙 (WAF)

标准防火墙在端口级别保护网络，而 WAF 有助于确保请求在被转发到 Web 服务器之前是安全的。WAF 可以确定哪些类型的请求是合法的，哪些类型是非法的，从而能够丢弃恶意流量并防止应用层攻击。

人工智能和机器学习

AI 和 ML 工具可实现自适应 DDoS 缓解，帮助组织对抗 DDoS 攻击，同时最大程度减少对合法用户的影响。通过分析流量并从中学习，AI 和 ML 工具可优化其检测系统，减少可能错误阻断有效流量并损害商业机会的误报。

DDoS 攻击能否被追踪？

可能性较低。DDoS 攻击通常由包含成百上千台被劫持无辜用户设备组成的僵尸网络发起。操控僵尸网络的黑客通常会伪造这些设备的 IP 地址，因此追踪所有设备耗时耗力，且极难指向真正的幕后黑手。

然而在某些情况下，若资源充足，部分 DDoS 攻击仍可被溯源。组织通过与互联网服务提供商 (ISP) 及执法团队合作，运用高级取证分析技术，有可能识别攻击者。对于重复攻击者而言，这种可能性更高，因为他们的攻击模式中可能遗留线索。 

防火墙能否阻止 DDoS 攻击？

大多数情况下不能。若攻击规模小或手段简单，传统网络防火墙可能提供一定防护，但大规模或复杂攻击则能轻易穿透。

问题在于大多数防火墙无法识别并阻止伪装成正常流量的恶意流量。例如，HTTP GET 攻击会向目标服务器发送大量文件请求，此类流量在标准网络安全工具看来很可能呈现为正常请求。 

然而，如前所述，网络应用防火墙 (WAF) 运行在网络层级与传统防火墙不同，在缓解 DDoS 攻击方面有其适用场景。 

为什么 DDoS 防护至关重要

DDoS 攻击可使组织的应用程序、网站、服务器及其他资源瘫痪，中断用户服务，并因业务损失和声誉受损造成重大经济损失。

DDoS 攻击还可能阻碍组织满足其服务等级协议 (SLA)，导致客户流失。若组织的系统无法按需使用，用户可能转向其他服务商。

此类网络威胁正日益以关键基础设施为目标，例如金融服务和公共事业。近期研究 显示，过去四年针对关键基础设施的 DDoS 攻击增加了 55%。

此外，DDoS 攻击常被用作更具破坏性网络攻击的掩护。例如，黑客有时发起 DDoS 攻击以转移受害者注意力，趁网络安全团队疲于应对之际，向网络部署勒索软件

DDoS 缓解解决方案及防护服务可帮助组织完全阻止此类攻击，防止关键行业和服务中断。即使无法完全阻止攻击，也能显著减少停机时间，助力保障业务连续性。

现代 DDoS 防护解决方案可以帮助防护本地资产和基于云的资产，使组织能够保护位于任何位置的资源。

 