资讯安全网: 拒绝服务 / 分布式拒绝服务攻击

拒绝服务 / 简介

拒绝服务（Denial of Service，简称DoS）攻击和分布式拒绝服务（Distributed Denial of Service，简称DDoS）攻击是互联网上一种常见的网络威胁。这些攻击都是采用类似的攻击方式，试图削弱目标系统的效能或消耗其资源，使其不能提供正常服务。这些目标系统包括网站、电子邮件服务、域名系统、网络应用程式等。

DoS攻击通常只涉及少数的主机发动攻击，甚至只涉及一台主机，意图令目标机构系统不胜负荷。如果目标系统无法处理攻击主机发出的网络请求，目标系统的可用性就会受到影响。

另一方面，DDoS攻击是大规模的DoS攻击，攻击者通过远端控制多台受到感染的主机向特定目标机构的服务 / 网络 / 伺服器同时发动DoS攻击。攻击者可能会采用一些常用的攻击技俩，例如利用反射放大技术以加强攻击，设法令运作受阻。根据一篇报道指出，有一家资讯科技服务供应商在2021年4月经历了一次针对域名系统的DDoS攻击，导致其全球服务中断数小时，用户因而无法使用该服务供应商提供的一些云端服务。由此可见，DDoS攻击可能会对机构的服务造成重大影响，为机构带来潜在的损失。

图一：一般的DoS / DDoS攻击图表

除此之外，DDoS攻击有时候会被用作诱饵以分散目标机构在网络安全运作上的注意力，以掩饰其他恶意行为（例如资料盗窃或网络入侵）。

简而言之，下文的DDoS将包括DoS和DDoS。

DDoS攻击的影响

DDoS事故可在财政和运作上对有关机构造成灾难性影响。DDoS攻击所引致的后果包括：

服务中断 – 电脑系统因异常大的通讯流量而不胜负荷，令用户无法使用系统的服务（例如网上的销售服务被干扰导致持份者失去信心）。

业务运作中断 – DDoS攻击可能会影响机构电脑网络的表现，导致其性能降低甚至停止运作（即违反服务层面协议）。

损害机构声誉 – 网上服务中断可能会引致客户不满或投诉，损害机构的声誉。

财政损失 – 攻击者可能会发送勒索电子邮件，要胁机构支付赎金以换取不发动DDoS攻击。

妨碍网络保安防御能力 – 攻击者利用DDoS攻击作为诱饵以分散网络保安团队的注意力，同时试图通过恶意软件攻击或网络入侵破坏机构系统的保安防线。

常见的DDoS攻击

DDoS攻击大致可分为以下四类：

洪水或流量攻击 – 攻击者发送大量的数据封包以图完全占用目标机构的互联网频宽，从而令合法用户的网络流量中断，使系统服务无法被接达。

例子：用户数据报规约（User Datagram Protocol，简称UDP）洪水攻击、互联网控制信息规约（Internet Control Message Protocol，简称ICMP）洪水攻击和域名系统洪水攻击

连接状态攻击（亦称为规约攻击） – 位于网络基础设施和伺服器中的连接状态资源必须符合应用系统的规约，一般涉及规约交握。在设计上，规约交握会发送互相协调的连接请求到目标伺服器进行确认及要求回应。攻击者会利用交握机制伪装成合法的连接，产生难以由无状态防火墙或边界路由器装置阻隔的网络流量，其目的在于消耗目标机构伺服器的资源。这些攻击所产生的网络流量最终可能成功耗尽目标机构的系统资源，导致合法用户无法接达系统。

例子：SYN洪水攻击和保密插口层（Secure Sockets Layer，简称SSL） / 传输层保安（Transport Layer Security，简称TLS）通讯规约攻击

图二：SYN 洪水攻击的例子

应用层攻击 – 攻击者发动针对应用层内部特定功能的恶意活动。目标机构的应用程式因面对过量的系统资源请求，使所有可用的资源被耗尽，最后导致无法回应合法用户的请求。

例子：Slowloris DoS / DDoS攻击、超文本传输规约（Hyper Text Transmission Protocol，简称HTTP）洪水攻击

反射及放大流量攻击 – 攻击者利用用户数据报规约或传输控制规约（Transmission Control Protocol，简称TCP）向一些有保安漏洞和对外开放的伺服器（也称为流量放大器）发送小型的仿冒服务请求，请求发送大量数据到攻击目标的互联网规约地址，当中的流量可达百万字节或十亿字节。由于攻击目标需要处理和回应大量的网络封包，可能导致伺服器资源耗尽，令合法用户无法接达。

例子：非连线式轻量型目录接达规约（Connection-less Lightweight Directory Access Protocol，简称CLDAP）放大流量攻击、域名系统放大流量攻击、DDoS反射攻击（Distributed reflective denial of service，简称DRDoS）

图三：CLDAP放大流量攻击的例子

防范DDoS攻击的良好作业模式

机构可以采用以下一些良好作业模式以防范DDoS攻击。

集中式资料收集和分析

建立集中监测仪表板，包括网络封包监测系统，以监测整个网络、系统和流量模式，以便及早发现和准确预测可能发生的DDoS攻击。

可按需求缩放和灵活的基础设施

当攻击流量接近频宽的饱和水平时，考虑把服务转移至以云端平台为基础的解决方案，例如内容分发网络（Content Delivery Network，简称CDN）和分布式域名系统服务。

通过采用多个互联网服务供应商（Internet Service Provider，简称ISP）的互联网接达服务以提高网络的复原能力。

层级防御方法

使用、来源位址过滤服务、DDoS攻击清理等网络安全措施来阻挡恶意流量。

为面向互联网的伺服器设置非军事区（Demilitarised Zone，简称DMZ）网络，并使用防火墙保护内部电脑设备。

把机构的网络划分为多个分网，以确保即使其他网络受到DDoS攻击时，关键网络也能正常运行。

考虑采用持续或按需要选择的DDoS缓解服务以保护机构网络免受DDoS攻击。

检查和分析应用程式的行为

检查和分析一般应用程式的行为，包括其效能和使用模式，以便一旦因应用层攻击而导致出现异常应用程式行为时，能够迅速作出回应。

制订DDoS应变计划

在DDoS攻击出现之前制定DDoS应变计划，确保机构可以更快、更冷静地作出回应，并将任何潜在的运作风险和财务损失降至最低。

进行资讯保安风险评估和审计

定期进行保安风险评估和审计，以确保已采取足够的保安措施抵御DDoS攻击。

如何侦测DDoS攻击

机构应定期监察网络流量和系统资源的使用情况，侦测DDoS攻击，以便机构能够迅速采取行动减低攻击所造成的损害并阻挡DDoS攻击。

监察内部网络流量和伺服器资源的使用情况，例如域名系统和网页伺服器，以及早侦测系统中流量急升和系统资源异常使用的情况。

与互联网服务供应商或保安服务供应商合作，利用其运作中心监察互联网流量。

记录安全事故，并检查由或、反恶意软件解决方案、互联网通讯闸和防火墙等保安系统产生的警报，以侦测可疑活动。

如何应对DDoS攻击

遏制
机构应遏制DDoS攻击造成的破坏，以免耗尽资源，令破坏程度加剧。

中断受影响的网络设备与机构网络之间的连接。

与互联网服务供应商或保安服务供应商合作，分析流量等异常流量负载和互联网规约的信誉，检查已知的DDoS攻击特征并在保安服务供应商的运作中心阻止DDoS攻击的流量。

使用DDoS黑洞（black hole）路由 / 过滤技术建立特定的IP路由表堵截网络攻击，并将DDoS攻击流量导向至「黑洞」弃置。

考虑就可疑攻击向相关机构（例如香港网络安全事故协调中心）报告并寻求意见。如有涉及犯罪活动，请向执法机构或规管机构（例如香港警务处）举报。

复原
机构应评估DDoS攻击造成的损害并制定合适的复原措施，以恢复受影响的服务并防范日后再被相同的攻击损害。

按照DDoS应变计划把服务复原至原有状态。

进行分析以找出保安事件的根本原因并修复任何潜在的保安漏洞。

考虑通过增加网络处理能力、采用第三方的DDoS防御服务、使用WAF等措施提升防御DDoS攻击的保安水平，以防止日后可能遭受更大规模的DDoS攻击。