阻斷服務攻擊

阻斷服務攻擊（英語：denial-of-service attack，簡稱DoS攻擊），是一種網絡攻擊手法，其目的在於使目標電腦的網絡或系統資源耗盡，使服務暫時中斷或停止，導致其正常用戶無法訪問。

「阻斷服務攻擊」的各地常用名稱
中國大陸	拒絕服務攻擊
臺灣	阻斷服務攻擊

當駭客使用網絡上兩個或以上電腦向特定的目標發動「阻斷服務」式攻擊時，稱為分散式阻斷服務攻擊（distributed denial-of-service attack，簡稱DDoS攻擊）亦稱洪水攻擊，意在使阻止攻擊變得更加困難。據2014年統計，被確認為大規模DDoS的攻擊已達平均每小時28次。^[1]DDoS發起者一般針對重要服務和知名網站進行攻擊，如銀行、信用卡支付閘道器、甚至根域名伺服器等。

DDoS 攻擊示意圖。請注意多台電腦如何攻擊一台電腦

DoS也常見於部分網絡遊戲，被心懷不滿的玩家或是競爭對手廣泛使用。DoS也常被用於抗議，自由軟件基金會創辦人理查德·斯托曼曾表示，DoS是「網絡街頭抗議」的一種形式。^[2]

攻擊現象

美國國土安全部旗下的電腦警備小組（英語：United States Computer Emergency Readiness Team）（US-CERT）^[3]定義的阻斷服務攻擊症狀包括：

1. 網絡異常緩慢（打開檔案或訪問網站）
2. 特定網站無法訪問
3. 無法訪問任何網站
4. 垃圾郵件的數量急劇增加

阻斷服務的攻擊也可能會導致目標電腦同一網絡中的其他電腦被攻擊，互聯網和區域網絡之間的頻寬會被攻擊導致大量消耗，不但影響目標電腦，同時也影響區域網絡中的其他電腦。如果攻擊的規模較大，整個地區的網絡連接都可能會受到影響。

攻擊方式

DoS攻擊可以具體分成三種形式：頻寬消耗型、資源消耗型、漏洞觸發型。前兩者都是透過大量合法或偽造的請求佔用大量網絡以及器材資源，以達到癱瘓網絡以及系統的目的。而漏洞觸發型，則是觸發漏洞導致系統崩潰癱瘓服務。

頻寬消耗型攻擊

DDoS頻寬消耗攻擊可以分為兩個不同的層次；洪泛攻擊或放大攻擊。洪泛攻擊的特點是利用殭屍程式傳送大量流量至受損的受害者系統，目的在於堵塞其寬頻。放大攻擊與其類似，是通過惡意放大流量限制受害者系統的寬頻；其特點是利用殭屍程式通過偽造的源IP（即攻擊目標IP）向某些存在漏洞的伺服器傳送請求，伺服器在處理請求後向偽造的源IP傳送應答，由於這些服務的特殊性導致應答包比請求包更長，因此使用少量的寬頻就能使伺服器傳送大量的應答到目標主機上。

UDP洪水攻擊（User Datagram Protocol floods）

UDP（用戶數據報協定）是一種無連接協定，當封包通過UDP傳送時，所有的封包在傳送和接收時不需要進行握手驗證。當大量UDP封包傳送給受害系統時，可能會導致頻寬飽和從而使得合法服務無法請求訪問受害系統。遭受DDoS UDP洪泛攻擊時，UDP封包的目的埠可能是隨機或指定的埠，受害系統將嘗試處理接收到的封包以確定本地執行的服務。如果沒有應用程式在目標埠執行，受害系統將對源IP發出ICMP封包，表明「目標埠不可達」。某些情況下，攻擊者會偽造源IP位址以隱藏自己，這樣從受害系統返回的封包不會直接回到殭屍主機，而是被傳送到被偽造地址的主機。有時UDP洪泛攻擊也可能影響受害系統周圍的網絡連接，這可能導致受害系統附近的正常系統遇到問題。然而，這取決於網絡體系結構和線速。

ICMP洪水攻擊（ICMP floods）

ICMP（互聯網控制訊息協定）洪水攻擊是通過向未良好設置的路由器傳送廣播資訊佔用系統資源的做法。

資源消耗型攻擊

協定分析攻擊（SYN flood，SYN洪水）

傳送控制協定（TCP）同步（SYN）攻擊。TCP行程通常包括傳送者和接受者之間在封包傳送之前建立的完全訊號交換。啟動系統傳送一個SYN請求，接收系統返回一個帶有自己SYN請求的ACK（確認）作為交換。傳送系統接着傳回自己的ACK來授權兩個系統間的通訊。若接收系統傳送了SYN封包，但沒接收到ACK，接受者經過一段時間後會再次傳送新的SYN封包。接受系統中的處理器和主記憶體資源將儲存該TCP SYN的請求直至逾時。DDoS TCP SYN攻擊也被稱為「資源耗盡攻擊」，它利用TCP功能將殭屍程式偽裝的TCP SYN請求傳送給受害伺服器，從而飽和服務處理器資源並阻止其有效地處理合法請求。它專門利用傳送系統和接收系統間的三向訊號交換來傳送大量欺騙性的原IP位址TCP SYN封包給受害系統。最終，大量TCP SYN攻擊請求反覆傳送，導致受害系統主記憶體和處理器資源耗盡，致使其無法處理任何合法用戶的請求。

LAND攻擊

這種攻擊方式與SYN floods類似，不過在LAND攻擊包中的原地址和目標地址都是攻擊對象的IP。這種攻擊會導致被攻擊的機器無窮迴圈，最終耗盡資源而死機。

CC攻擊（Distributed HTTP flood，分散式HTTP洪水攻擊）

CC攻擊使用代理伺服器向受害伺服器傳送大量貌似合法的請求（通常為HTTP GET)。攻擊者創造性地使用代理，利用廣泛可用的免費代理伺服器發動DDoS攻擊。許多免費代理伺服器支援匿名，這使追蹤變得非常困難。

2004年，一位匿名為KiKi的中國黑客開發了一種用於傳送HTTP請求的DDoS攻擊工具以攻擊名為「Collapsar」的NSFOCUS防火牆，因此該黑客工具被稱為「Challenge Collapsar」（挑戰黑洞，簡稱CC），這類攻擊被稱作「CC攻擊」。^[4]

殭屍網絡攻擊

殭屍網絡是指大量被命令與控制（英語：command and control (malware)）（C&C）伺服器所控制的互聯網主機群。攻擊者傳播惡意軟件並組成自己的殭屍網絡。殭屍網絡難於檢測的原因是，殭屍主機只有在執行特定指令時才會與伺服器進行通訊，使得它們隱蔽且不易察覺。殭屍網絡根據網絡通訊協定的不同分為IRC、HTTP或P2P類等。

應用程式級洪水攻擊（Application level floods）

與前面敘說的攻擊方式不同，應用程式級洪水攻擊主要是針對應用軟件層的，也就是高於OSI的。它同樣是以大量消耗系統資源為目的，通過向IIS這樣的網絡服務程式提出無節制的資源申請來破壞正常的網絡服務。

漏洞觸發型

這類攻擊手法，透過嘗試觸發緩衝區溢位等漏洞^[5]，使作業系統發生核心錯誤或藍畫面死機，達到阻斷服務攻擊。

死亡之Ping（ping of death）

死亡之Ping是產生超過IP協定能容忍的封包數，若系統沒有檢查機制，就會宕機。

淚滴攻擊

每個資料要傳送前，該封包都會經過切割，每個小切割都會記錄位移的資訊，以便重組，但此攻擊模式就是捏造位移資訊，造成重組時發生問題，造成錯誤。

防禦方式

阻斷服務攻擊的防禦方式通常為入侵檢測，流量過濾和多重驗證，旨在堵塞網絡頻寬的流量將被過濾，而正常的流量可正常通過。

防火牆

防火牆可以設置規則，例如允許或拒絕特定通訊協定，埠或IP位址。當攻擊從少數不正常的IP位址發出時，可以簡單的使用拒絕規則阻止一切從攻擊源IP發出的通訊。

複雜攻擊難以用簡單規則來阻止，例如80埠（網頁服務）遭受攻擊時不可能拒絕埠所有的通訊，因為其同時會阻止合法流量。此外，防火牆可能處於網絡架構中過後的位置，路由器可能在惡意流量達到防火牆前即被攻擊影響。然而，防火牆能有效地防止用戶從啟動防火牆後的電腦發起攻擊。

交換機

大多數交換機有一定的速度限制和存取控制能力。有些交換機提供自動速度限制、流量整形、後期連接、深度包檢測和假IP過濾功能，可以檢測並過濾阻斷服務攻擊。例如SYN洪水攻擊可以通過後期連接加以預防。基於內容的攻擊可以利用深度包檢測阻止。

路由器

和交換機類似，路由器也有一定的速度限制和存取控制能力，而大多數路由器很容易受到攻擊影響。

黑洞引導

黑洞引導指將所有受攻擊電腦的通訊全部傳送至一個「黑洞」（空介面或不存在的電腦地址）或者有足夠能力處理洪流的網絡裝置商，以避免網絡受到較大影響。

流量清洗

當取得到流量時，通過DDoS防禦軟件的處理，將正常流量和惡意流量區分開，正常的流量則回注回客戶網站，反之則封鎖。這樣一來可站點能夠保持正常的運作，僅僅處理真實用戶訪問網站帶來的合法流量。

歷史

Panix是世界上第三古老的ISP，被認為是首個 DoS 攻擊的目標。 1996年9月6日，Panix 遭受了SYN 洪水攻擊，導致其服務中斷數日，而硬件供應商（尤其是思科）找到了適當的防禦措施。 DoS攻擊的另一個早期例子是 Khan C. Smith 在1997年的DEF CON活動期間進行的，導致拉斯維加斯大道的互聯網訪問中斷一個多小時。活動期間發佈的範例代碼引發了次年對斯普林特、地球連線、E-Trade等大公司的網絡攻擊。 迄今為止最大規模的DDoS攻擊發生在2017年9月，當時谷歌雲遭受了一次峰值量為2.54Tb/s 的攻擊，（Google於2020年10月17日透露）。

2020年2月，亞馬遜雲遭受了一次攻擊，攻擊量峰值為2.3Tb/s。  2021年7月，CDN提供商Cloudflare宣稱能夠保護其客戶免受來自全球Mirai殭屍網絡^[6]的DDoS攻擊，該攻擊每秒發出高達1720萬個請求。俄羅斯DDoS防禦提供商Yandex表示，它於2021年9月5日阻止了一次HTTP管道DDoS攻擊，該攻擊源自未修補的Mikrotik網絡裝置。  2022年上半年，俄烏戰爭極大地影響了網絡威脅格局，各個國家的支援和全球黑客趁機活動導致網絡攻擊大量增加。最引人注目的事件是2月份發生的DDoS攻擊，這是烏克蘭遭遇的最大規模的攻擊，擾亂了政府和金融部門的服務。這波攻擊也波及了英、美、德等西方盟國。

2023年2月，Cloudflare面臨每秒7100萬次請求的攻擊，Cloudflare聲稱這是當時最大的HTTP DDoS 攻擊。（HTTP DDoS 攻擊是通過每秒 HTTP 請求數而不是每秒封包或每秒位數來衡量的。 ）2023年7月10日，同人小說平台Archive of Our Own（AO3）遭遇 DDoS 攻擊，服務中斷。AO3和專家們對一個匿名蘇丹組織表示懷疑，聲稱此次襲擊是出於宗教和政治原因。2023年8月，黑客組織NoName057執行緩慢的DoS攻擊，目標針對多家意大利金融機構。2024年1月14日，在澤倫斯基總統出席達沃斯世界經濟討論區的推動下，他們對瑞士聯邦網站發起了DDoS攻擊。瑞士國家網絡安全中心迅速緩解了此次攻擊，確保聯邦核心服務保持安全，儘管某些網站暫時出現訪問問題。  2023年10月，利用 HTTP/2協定中的新漏洞導致最大HTTP DDoS攻擊記錄被兩度打破，其中一次是Cloudflare觀察到的每秒2.01億次請求的攻擊，另一次則是由Google觀察到的每秒3.98億次請求的攻擊。

參見

• 入侵預防系統
• DDoS緩解
• LOIC
• 大炮 (網絡攻擊工具)

參考來源

1. Preimesberger, Chris. DDoS Attack Volume Escalates as New Methods Emerge. eWeek. 2014-05-28 [2015-05-09]. （原始內容存檔於2019-07-13）.
2. The Philosophy of Anonymous. Radicalphilosophy.com. 2010-12-17 [2013-09-10]. （原始內容存檔於2015-09-24）.
3. McDowell, Mindi. Cyber Security Tip ST04-015 - Understanding Denial-of-Service Attacks. United States Computer Emergency Readiness Team. 2009-11-04 [2013-12-11]. （原始內容存檔於2013-11-04）.
4. 史上最臭名昭著的黑客工具 CC的前世今生. NetEase. 驅動中國網(北京). 2014-07-24 [2019-03-05]. （原始內容存檔於2019-03-05） （中文（簡體））.
5. Denial of Service Software Attack | OWASP Foundation. OWASP. [2022-01-25]. （原始內容存檔於2022-06-27）.
6. 什么是 Mirai 僵尸网络？. Cloudflare. [2024-06-26] （中文）.