所有托管服务节省 15%

测试技能,享折扣

使用代码: Skills 开始使用
China
安全

DDoS 攻击:类型、OSI 模型层和如何保护您的基础设施

分布式拒绝服务 (DDoS) 攻击仍然是当今在线业务、Web 应用程序和托管基础设施面临的最具破坏性和成本最高的威胁之一。无论您运营小型电子商务网站还是管理企业级服务器,了解 DDoS 攻击的工作原理以及它们如何映射到 OSI 模型的特定层,都是任何严肃防御策略的基础。

在这份全面的指南中,我们分解了每一种主要的 DDoS 攻击类型,解释了每种攻击针对的 OSI 层,概述了对您业务的实际影响,并介绍了经过验证的缓解策略,以保持您的服务在线。

什么是DDoS攻击?

一个分布式拒绝服务(DDoS)攻击是一种协调的恶意尝试,用大量流量或消耗资源的请求淹没目标服务器、网络或服务——使其无法响应合法用户。

与从单台机器发起的简单DoS攻击不同,DDoS攻击利用僵尸网络:由数千甚至数百万个被攻击的设备(计算机、物联网设备、服务器)组成的网络,同时向目标发起攻击。分布式的特性使这些攻击更难以阻止,威力也更大。

最终目标很简单:耗尽目标的资源——带宽、CPU、内存或连接容量——导致停机、性能下降和服务中断。

OSI 模型:为什么它对 DDoS 防御很重要

OSI(开放系统互连)模型是一个概念框架,将网络通信分为七个不同的层,每一层负责特定的功能。DDoS 攻击被故意设计为在特定层利用漏洞,这就是为什么理解该模型对于诊断和防御它们至关重要。

OSI 层名称功能
第 1 层物理层原始数据的硬件传输
第 2 层数据链路层节点到节点的数据传输
第 3 层网络层路由和 IP 寻址
第 4 层传输层端到端通信(TCP/UDP)
第 5 层会话层会话管理
第 6 层表示层数据格式化和加密
第 7 层应用层面向用户的协议(HTTP、DNS 等)

DDoS 攻击主要针对第 3、4 和 7 层,每一层都需要不同的检测和缓解方法。

按OSI层分类的DDoS攻击类型

1. 基于流量的攻击 — 第3层(网络层)

基于流量的攻击是最直接的,通常在原始流量体积方面最大。其主要目标是饱和目标或连接到互联网的网络基础设施的可用带宽。攻击规模通常以每秒千兆比特(Gbps)每秒数据包数(PPS)来衡量。

ICMP洪泛(Ping洪泛)

攻击者向目标发送大量ICMP Echo Request(ping)数据包。受害者的服务器被迫处理每个请求并发送相应的回复,消耗入站和出站带宽以及CPU周期。当流量超过服务器容量时,合法流量会被完全挤出。

关键特征:执行简单,通常用作更复杂同步攻击的掩护。

UDP洪泛

UDP洪泛中,攻击者向目标主机的随机端口发送大量用户数据报协议(UDP)数据包。由于UDP是无连接和无状态的,目标服务器必须:

  1. 检查是否有应用程序在目标端口上监听。
  2. 如果未找到应用程序,则响应ICMP”目标不可达”数据包。

这个过程每秒重复数百万次,迅速耗尽服务器资源和可用带宽。

放大攻击(DNS/NTP放大)

一种特别危险的第3层容量攻击子类型,放大攻击利用可公开访问的服务器(DNS解析器、NTP服务器、memcached实例)来增加攻击流量。攻击者伪造受害者的IP地址并向这些服务器发送小请求,这些服务器响应的数据包大10倍到100倍 — 全部指向受害者。

2. 协议攻击 — 第4层(传输层)

协议攻击利用TCP/IP通信协议本身的弱点,而不仅仅是洪泛带宽。它们旨在耗尽服务器端资源,如连接状态表、防火墙会话表和负载均衡器容量。攻击规模以每秒数据包数(PPS)衡量。

SYN洪泛

SYN洪泛是最著名和最广泛使用的DDoS技术之一。它利用TCP三次握手

  1. 客户端发送SYN数据包以启动连接。
  2. 服务器响应SYN-ACK并在等待最终ACK时分配资源。
  3. 在SYN洪泛中,攻击者发送数千个SYN数据包 — 通常带有伪造的源IP — 但从不完成握手。

服务器的连接表填满了半开连接,防止它接受任何新的合法连接。即使在相对较低的流量下,这也是一种高效的攻击。

死亡之Ping

死亡之Ping攻击涉及向目标发送格式错误或超大数据包。IPv4规范将数据包大小限制为65,535字节;当超大数据包被分片和重组时,可能导致易受攻击的系统出现缓冲区溢出、系统崩溃或重启。虽然现代操作系统已基本修补了经典死亡之Ping,但变体仍在不断出现。

ACK洪泛

ACK洪泛中,攻击者向目标发送大量TCP ACK数据包。由于服务器没有相应SYN数据包的记录,它必须处理每一个以确定其无效 — 在此过程中消耗CPU和内存。

3. 应用层攻击 — 第7层(应用层)

应用层攻击是最复杂的,也是最难检测的,因为它们密切模仿合法用户行为。它们不是压倒带宽或耗尽连接表,而是针对特定应用程序的计算资源 — Web服务器、数据库、API和登录系统。攻击规模以每秒请求数(RPS)衡量。

HTTP洪泛

HTTP洪泛向Web服务器发送大量看似合法的HTTP GET或POST请求。由于每个请求看起来都有效,基于IP的简单阻止是无效的。服务器必须处理每个请求 — 查询数据库、渲染页面、执行脚本 — 直到完全不堪重负,无法为真实用户服务。

GET洪泛通常针对资源密集型页面(搜索结果、产品列表)。

POST洪泛针对表单和登录端点,强制服务器处理大量提交的数据。

Slowloris

Slowloris是一种独特的隐蔽攻击,需要很少的带宽。它的工作原理是:

  1. 打开大量到目标Web服务器的连接。
  2. 发送部分、不完整的HTTP请求头 — 足以保持每个连接活跃。
  3. 定期发送额外的头行以防止超时。

服务器保持每个连接打开以等待请求完成,逐渐耗尽其最大连接池。一旦池满了,就无法接受新的合法连接 — 有效地使服务器离线,同时使用最少的攻击者资源。

DNS查询洪泛

针对第7层的DNS基础设施,攻击者发送大量DNS查询请求以查询不存在或随机的域名。DNS服务器必须处理每个查询,消耗CPU和内存,直到无法再解析合法请求 — 有效地将目标与互联网断开连接。

SSL/TLS耗尽

这些攻击利用SSL/TLS握手的计算成本。建立加密连接需要服务器端的大量CPU资源。通过每秒启动数千个SSL握手而不完成它们,攻击者可以压倒即使是配置良好的服务器。

DDoS 攻击的现实影响

理解技术机制只是问题的一半。成功的 DDoS 攻击的业务后果可能是严重且长期的:

服务停机和收入损失

您的网站或应用程序离线的每一分钟都直接转化为收入损失。对于电子商务平台、SaaS 产品和在线服务,即使只有几个小时的停机时间也可能造成数千或数万美元的损失——这还不包括客户流失的间接成本。

运营成本增加

紧急事件响应、额外的带宽配置、专业缓解服务以及 IT 员工的加班费在 DDoS 攻击期间和之后迅速累积。

声誉损害

当服务中断时,客户和合作伙伴会注意到。重复或长期的停机会侵蚀信任、损害品牌声誉,并可能将用户永久驱赶到竞争对手那里。对于受监管行业的企业,停机时间也可能触发合规违规和相关罚款。

安全分散(烟幕攻击)

某些 DDoS 攻击被故意设计为转移注意力——让安全团队忙于应对,同时攻击者通过未被监控的向量同时执行数据泄露、勒索软件部署或其他入侵。

DDoS 缓解策略:实用指南

有效的 DDoS 防御需要采用分层、主动的方法,在 OSI 的每个层级应对威胁。单一解决方案本身是不够的。

1. 选择为弹性而构建的基础设施

您的托管基础非常重要。选择提供支持 DDoS 的基础设施的提供商,具有高容量网络上行链路、硬件级过滤和冗余连接,是第一道防线。

如果您运行业务关键型应用程序,请考虑升级到VPS 托管计划或专用服务器解决方案,这些方案提供专用资源、对网络配置的更好控制,以及实施自定义防火墙规则的能力——在遭受攻击时都是关键优势。

2. 实施流量过滤和防火墙

部署有状态防火墙入侵检测/防御系统 (IDS/IPS) 来检查传入流量,并自动丢弃与已知攻击特征匹配的数据包。配置规则以:

  • 阻止来自已知恶意 IP 范围和 ASN 的流量。
  • 丢弃格式错误的数据包和无效的协议状态。
  • 将 ICMP 和 UDP 流量限制在合法用途。
  • 强制执行严格的 TCP 状态验证以对抗 SYN 洪泛。

3. 应用速率限制

速率限制控制单个 IP 地址或连接在定义的时间窗口内可以发出的请求数。这对于 HTTP 洪泛和 DNS 查询洪泛等第 7 层攻击特别有效。在多个级别实施速率限制:

  • Web 服务器级别(NGINX、Apache)
  • 应用防火墙级别(WAF 规则)
  • CDN/边缘级别(Cloudflare、Akamai)

4. 部署 Web 应用防火墙 (WAF)

WAF 在第 7 层运行,可以基于行为分析、请求模式和信誉评分来区分合法用户和攻击流量。它对 HTTP 洪泛、Slowloris 和特定于应用程序的漏洞特别有效。

5. 使用任播网络扩散

任播路由将传入流量分散到多个地理位置分散的数据中心。与其让所有攻击流量击中单个服务器,不如将其分散到整个网络——稀释其影响,使容量型攻击的效果大大降低。

6. 实施冗余和负载均衡

使用负载均衡器将您的应用程序分布在多个服务器和地理区域中,确保即使一个节点被淹没,其他节点也继续为合法用户服务。这种架构还改进了正常条件下的性能和可用性。

7. 利用专门的 DDoS 防护服务

对于面临严重或持续 DDoS 威胁的企业,专门的 DDoS 缓解服务(如 Cloudflare Magic Transit、Radware 或 Imperva)提供始终在线的流量清理——在恶意流量到达您的基础设施之前清理它。

8. 保护您的 DNS 基础设施

由于 DNS 是频繁的 DDoS 目标,请确保您的 DNS 提供商提供支持 DDoS 的基础设施,具有任播路由和速率限制。考虑使用 DNSSEC 来防止 DNS 欺骗和缓存中毒攻击,这些攻击可能会加剧 DDoS 损害。

9. 保持 SSL 证书有效且配置正确

过期或配置错误的 SSL 证书可能会造成攻击者可以利用的漏洞。维护有效的SSL 证书确保加密连接得到有效处理,并降低 SSL 耗尽攻击的风险。

10. 制定并测试事件响应计划

拥有一份有文档记录、经过测试的 DDoS 响应计划可以大大减少缓解攻击的时间。您的计划应包括:

  • 清晰的升级路径和联系人列表。
  • 针对常见攻击类型的预配置防火墙规则模板。
  • 与上游提供商的关系,用于紧急空路由或流量清理。
  • 事后审查程序以改进防御。

DDoS 攻击摘要:OSI 层一览

攻击类型OSI 层目标资源测量单位
ICMP Flood第 3 层 — 网络层带宽Gbps
UDP Flood第 3 层 — 网络层带宽 / CPUGbps / PPS
DNS/NTP 放大第 3 层 — 网络层带宽Gbps
SYN Flood第 4 层 — 传输层连接表PPS
ACK Flood第 4 层 — 传输层CPU / 状态表PPS
Ping of Death第 4 层 — 传输层系统稳定性PPS
HTTP Flood第 7 层 — 应用层Web 服务器 CPURPS
Slowloris第 7 层 — 应用层连接池连接数
DNS Query Flood第 7 层 — 应用层DNS 服务器 CPURPS
SSL Exhaustion第 7 层 — 应用层CPU(加密操作)握手次数/秒

构建DDoS弹性托管环境

对DDoS攻击最有效的长期防御始于选择正确的基础设施。以下是AlexHost如何帮助您的方式:

  • VPS托管 — 隔离的虚拟服务器,具有专用资源、完整root访问权限,以及实现根据您的安全要求定制的防火墙规则和网络配置的能力。
  • 专用服务器 — 为需要最高级别DDoS弹性和自定义网络保护的高流量应用提供最大性能和控制。
  • VPS控制面板 — 直观的管理界面,使监控流量模式、配置安全规则和快速响应异常变得容易。
  • SSL证书 — 保持您的加密连接安全且配置正确,以最小化基于SSL的攻击面。
  • 共享网络托管 — 对于较小的项目,AlexHost的共享托管基础设施包括网络级保护,提供坚实的安全基线,而无需管理自己的服务器的复杂性。

结论

DDoS 攻击是一种持久的、不断演变的威胁,任何在线业务都不能忽视。通过了解不同的攻击类型如何针对特定的 OSI 层——从第 3 层的原始带宽洪泛,到第 4 层的协议利用,再到第 7 层的复杂应用级攻击——你可以获得构建真正全面防御策略所需的知识。

有效的保护从来不是单一的解决方案。它是弹性基础设施、智能流量过滤、速率限制、冗余和主动监控的组合——所有这些都协同工作,以在攻击者发动攻击时保持你的服务在线。

投资于正确的托管基础设施是该防御的基础。探索 AlexHost 的托管解决方案范围,以找到适合你的安全和性能要求的合适方案——并确保你的业务无论如何都保持在线。