什么是服务拒绝攻击（DoS攻击）？

企业们需要确保网站和网络资源能够持续为用户提供服务。DoS攻击者正是利用了这一需求来实施他们的攻击行为。那些由虚假流量和请求构成的、数量庞大的网络。了解这些常见的攻击方式，以及如何构建有效的防御措施。

DoS攻击的定义

拒绝服务攻击将流量引导到目标网络，从而使其系统过载或崩溃。大多数DoS攻击都是通过向目标系统发送大量请求来实施的。当这些请求的数量达到一定程度时，就会使服务器的处理能力不堪重负，从而导致网络的可用性受到威胁。

DoS攻击是如何进行的呢？

拒绝服务攻击源自于同一个设备或地点这种架构使得它们与那些涉及许多相互连接的设备的分布式拒绝服务攻击（DDoS）区分开来。

攻击者利用目标网络中的安全漏洞。这些漏洞包括：在处理数据包请求时出现的错误、对琐碎的请求做出过多的响应（即“放大效应”），以及超出连接限制等问题。

在所有情况下，系统和应用程序最终都会崩溃，导致网站或远程连接无法正常运行。

网络攻击者可以使用普通的计算机来发起拒绝服务攻击。像Hping3和LOIC这样的工具，可以让攻击者发送大量的请求。同时，欺骗技术还可以隐藏攻击者的身份。这种隐蔽性使得攻击者有更多时间来规避网络安全措施。

那个DoS攻击所带来的后果从不便到灾难性的变化。其影响包括：

• 由于攻击行为消耗了系统或网站的资源，导致系统或网站运行速度变慢。
• 网络范围内的连接问题
• 那些导致网站或网络服务器无法正常运行的崩溃情况
• 在DoS攻击导致安全系统被瘫痪之后，还会发生二次攻击。
  
  

基于DoS攻击的攻击也变得越来越常见。2022年，此类攻击的数量增加了150%，占所有针对政府目标的网络攻击的25%。与此同时，针对金融目标的DoS攻击在2024年则增加了49%。每个组织都面临着这种威胁。

拒绝服务攻击的类型

DoS攻击有多种类型。企业必须加强其终端防御措施，以防范各种类型的DoS攻击。

洪水式攻击

在这种常见的DoS攻击中，犯罪分子们会……向网络服务器发送大量的数据包和访问请求。服务器必须分别处理每一个请求。这样做会迅速增加资源的消耗，而且在没有防DoS工具的情况下，这种情况是无法避免的。

洪水攻击主要使用三种方法。攻击者可以通过发送ICMP Ping包来攻击目标设备。他们还可以用用户数据报协议（UDP）来向目标设备发送大量数据包。此外，他们还可以通过SYN洪水攻击来请求与目标设备进行多次TCP握手过程。

所有的攻击方式都基于一个关键事实：攻击者必须拥有比目标更多的带宽。否则，目标服务器就会调动足够的资源来中和攻击，从而保护网络流量不受破坏。

缓冲区溢出攻击

这种DoS攻击类型，其重点在于……超越了目标设备的缓冲能力服务器使用缓冲区来处理请求，但缓冲区的容量总是有限的。如果超过这个容量限制，可能会导致应用程序崩溃，或者数据溢出时可能会覆盖系统内存中的数据。

那个死亡之音这是一种缓冲区溢出攻击的例子。这种攻击方式起源于20世纪90年代。Ping of Death这种攻击方式是通过向目标设备发送损坏的ICMP数据包来实施攻击的。如果服务器无法处理这些损坏的数据包，那么目标设备的网络架构就会受到破坏。

那个Heartbleed漏洞(CVE-2014-0160)是另一个例子。这种漏洞会影响SSL加密协议。攻击者可以利用经过特殊设计的数据包来破坏SSL协议的心脏出血漏洞。作为一种DoS攻击手段，这种攻击可以使网站无法正常运行。此外，它还会为中间人攻击提供机会。

放大攻击

在放大攻击中，威胁行为者会……简单的问题可能会被升级为安全事件。这些攻击依赖于像DNS或NTP这样的可放大协议。当这些协议被恶意利用时，它们会生成比最初请求更多的响应。

放大攻击同样依赖于IP地址欺骗技术。通过伪造的IP地址，攻击者可以将DNS请求指向目标设备。

那个蓝精灵攻击下面展示了这一过程是如何运作的。Smurf攻击通过欺骗手段，将ICMP流量引导到目标服务器上。攻击者会在ICMP数据包中添加一个虚假的源地址。然后，他们将这个虚假的地址发送到目标网络的广播地址，从而触发所有接收该数据包设备的响应。

资源耗尽型攻击

资源耗尽型DoS攻击是一种 Flood攻击的子类。这种攻击会消耗目标设备的资源。利用所有的资源它们依赖于那些缺乏有效权限管理的安全系统。

攻击者利用他们能够使用所有可用资源的能力。通过限制权限，就可以让攻击者无法自由地利用这些资源。

网络犯罪分子拥有多种工具来消耗资源。例如：叉式炸弹这些恶意程序会自动复制自己，最终耗尽系统的资源。因此，企业需要拥有能够主动检测这些威胁的系统，以便在它们扩散之前将其阻止。

应用层攻击

DoS攻击不仅仅是网络层面的威胁。它们也可能在应用层发挥作用。这类攻击会导致应用程序向服务器发送请求，从而引发广泛的网络中断现象。

HTTP洪水攻击这是一种针对应用层的DoS攻击。这种攻击通过反复的HTTP请求来使Web服务器崩溃。攻击者会利用HTTP GET请求来下载图片或文件，而POST请求则用于向Web服务器发送大量恶意流量。

Slowloris这是另一个例子。这种攻击方式会同时打开多个HTTP连接，并试图让这些连接保持开启状态尽可能长的时间。Slowloris攻击方式类似于那些效率低下但却是合法的Web服务器请求。这种攻击方式很难被检测到，而且其实施过程也相对简单。

DDoS攻击和DoS攻击有什么区别呢？

DoS表示“服务拒绝”，而DDoS则代表“分布式拒绝服务攻击”。分布式拒绝服务攻击“再增加一个词，就能极大地影响这些攻击方式的效果。安全团队在制定安全策略时，必须明确了解这些差异。”

DoS攻击使用的是单个设备来实施攻击。而DDoS攻击则采用分布式模型来实施攻击。利用大量设备的协同群体来发挥最大作用DDoS攻击具有一些标准DoS攻击所没有的特性。

• DDoS攻击利用了大量设备的协同作用来实施攻击。僵尸网络这些设备包括物联网设备、智能手机或普通笔记本电脑。DoS攻击方式通常依赖于单个设备来实施攻击。
• DDoS攻击可以发送这样的威胁：更多的流量它们能够针对目标进行攻击，从而对大型企业网络造成破坏。
• 分布式僵尸网络难以摧毁尤其是在没有统一的指挥控制中心的情况下，DoS攻击者可以被追溯到他们的设备上。而且，他们往往还会留下更多的证据。
• DDoS攻击可以…能够更快地使目标失效/无法发挥作用与拒绝服务攻击相比，僵尸网络从多个方向发起攻击，能够迅速摧毁那些没有防御措施的目标。

如何防止DoS攻击？

DoS攻击会使网站无法正常运行，破坏网络流量，同时还会让您的数据暴露于恶意分子的攻击之下。因此，企业需要采取相应的预防策略，以便在攻击发生时能够及时发现、阻止并减轻其影响。

实施冗余措施以应对DoS攻击的泛滥情况。

冗余设计提供了一种安全保障，有助于您在遭遇DoS攻击时仍能保持业务的正常运行，而不会受到任何影响。将网络流量分散到多个服务器或云环境中。同时，通过备份工作负载，可以迅速恢复网站或业务网络的功能。

2. 使用Web应用程序防火墙（WAF）

Web应用防火墙有助于在应用层防止HTTP拒绝服务攻击。可以使用它们来限制可疑用户的访问频率，阻止来自源端的HTTP GET请求，并通过IP地址列表来允许合法的流量。

3. 减少攻击面

DoS攻击利用暴露的攻击面来造成最大的损害。不过，通过限制对网络资源的访问，可以削弱许多攻击的效果。应阻止来自过时且未被使用的端口的连接。同时，应实施具有防火墙保护的安全网关。此外，还可以通过网络分段来确保关键资产不受攻击。

4. 实施基于角色的访问控制（RBAC）机制

基于角色的访问控制是一种根据员工的角色来分配用户访问权限的策略。这样一来，如果在DoS攻击过程中某个账户被攻破，那么暴露的信息也会非常有限。

1. 分配角色/职责通过特定的访问权限，可以最大限度地减少关键系统受到攻击的风险。如果攻击者成功攻破某个账户，他们也无法控制整个网络。应将管理角色仅授予受信任的用户使用。
2. 监控器拒绝了所有的访问尝试。如果存在潜在的攻击迹象，那么登录尝试失败的次数可能会增加。这种现象可能表明存在网络钓鱼行为或DoS攻击的准备工作。因此，需要定期审查权限设置，并调整角色分配，以消除潜在的漏洞。
3. 使用日志记录功能通过这种方式，可以发现一些不寻常的异常情况。日志信息有助于IT团队在攻击者利用这些漏洞之前就及时发现问题。这种主动式的处理方式能够有效增强防御能力，从而防止资源被耗尽以及其他类型的DoS攻击。

5. 网络分段

网络分段能够限制DoS攻击的影响范围。通过隔离各个系统来实现防护。如果攻击者成功攻占网络中的某个部分，那么采用分段技术就可以阻止他们进入其他区域。

以下是它如何帮助防止攻击并提升安全性的具体方式：

• 阻止横向移动攻击者会被困在孤立的区域内，从而降低了病毒传播的风险。
• 限制访问权限只有经过授权的用户才能访问某些特定区域，从而保护敏感资源的安全。
• 加快检测速度较小的片段使得更容易发现异常行为。
• 提升性能分段处理可以防止某个区域出现过载现象，从而避免整个网络受到影响。
• 支持合规性要求许多法规都要求限制只有授权用户才能访问数据。
• 私人VPN网关有助于抵御攻击。与其将整个网络作为攻击目标，攻击者更倾向于针对VPN服务器进行攻击。由思博等供应商提供的私有网关能够有效抵御DoS攻击，从而减少对企业网络的损害。
  
  

使用 思博，设置私有网关只需几分钟时间即可完成。可以创建多个虚拟私有网关，划分不同的网络段，并分配不同的团队来负责控制访问权限。还可以利用 Cloud Firewall 功能为每个网络段应用自定义的安全规则，从而增强防护能力。

6. 安全的远程访问

确保远程访问的安全性至关重要，这样可以防止被攻破的设备加入僵尸网络。使用VPN或零信任解决方案可以降低设备被劫持以发起DoS攻击的风险。

远程访问VPN和零信任网络访问（ZTNA）可以确保只有经过验证的用户才能连接到您的网络。网络访问控制（NAC）则通过阻止来自不可信设备的访问来提供额外的保护。这些措施共同作用下，能够有效防止恶意行为者利用远程终端进行攻击。

思博的Secure Remote Access通过加密连接、身份验证以及威胁预防等功能，提升了系统的防御能力。 身份与访问管理（IAM）在授予用户对敏感资源的访问权限之前，会先对用户的身份进行验证。 多因素认证（MFA）为账户提供了额外的安全保障。 通过按类别进行DNS过滤，可以屏蔽恶意网站，从而防止恶意软件的感染。这样就能避免设备被利用来作为攻击工具。 这些解决方案有助于企业确保远程访问的安全性，控制网络入口，同时降低DoS攻击的风险。