阻斷服務ふくむ攻擊こうげき

「阻斷服務ふくむ攻擊こうげき」的てき各地かくち常用じょうよう名稱めいしょう
「阻斷服務ふくむ攻擊こうげき」的てき各地かくち常用じょうよう名稱めいしょう
中国ちゅうごく大陸たいりく	拒こばめ绝服务攻击
臺灣たいわん	阻斷服務ふくむ攻擊こうげき

阻斷服務ふくむ攻擊こうげき（英語えいご：denial-of-service attack，简称DoS攻おさむ击），是ぜ一いち種しゅ網あみ路ろ攻擊こうげき手法しゅほう，其目的もくてき在ざい於使目標もくひょう電腦でんのう的てき網あみ路ろ或ある系統けいとう資源しげん耗盡，使つかい服ふく务暂时中斷ちゅうだん或ある停止ていし，导致其正常用じょうよう户无法ほう访问。

当とう黑くろ客きゃく使用しよう網もう絡からま上うわ两个或ある以上いじょう電腦でんのう向こう特定とくてい的てき目標もくひょう发动「拒こばめ绝服务」式しき攻おさむ击时，稱たたえ為ため分散ぶんさん式しき阻斷服務ふくむ攻擊こうげき（distributed denial-of-service attack，简称DDoS攻おさむ击）亦また称たたえ洪水こうずい攻おさむ击，意い在ざい使つかい阻止そし攻おさむ击变得どく更さら加か困こま难。据すえ2014年ねん统计，被ひ确认为大规模DDoS的てき攻おさむ击已达平均へいきん每ごと小しょう时28次じ。^[1]DDoS发起者しゃ一般针对重要服务和知名網站进行攻击，如银行ぎょう、信用しんよう卡支付づけ网关、甚至根ね域いき名めい服ふく务器等ひとし。

DoS也常见于部分ぶぶん网络游ゆう戏，被ひ心しん怀不满的玩家或ある是ぜ竞争对手广泛使用しよう。DoS也常被ひ用よう于抗议，自由じゆう軟體基金ききん會かい創そう辦人理り查德·斯托曼曾表示ひょうじ，DoS是ぜ“网络街がい头抗议”的てき一いち种形式しき。^[2]

攻おさむ击现象ぞう

美國びくに國土こくど安全あんぜん部ぶ旗下きか的てき美国びくに计算机つくえ应急准じゅん备小组（英えい语：United States Computer Emergency Readiness Team）（US-CERT）^[3]定てい义的拒こばめ绝服务攻击症状じょう包括ほうかつ：

网络异常缓慢（打だ开文件けん或ある访问网站）
特定とくてい网站无法访问
无法访问任にん何なん网站
垃圾邮件的てき数量すうりょう急きゅう剧增加ぞうか

拒こばめ绝服务的攻おさむ击也可能かのう会かい导致目め标计算さん机つくえ同どう一网络中的其他计算机被攻击，互联网和わ局きょく域いき网之これ间的带宽会かい被ひ攻おさむ击导致大量りょう消耗しょうもう，不ふ但ただし影かげ响目标计算さん机つくえ，同どう时也影かげ响局域いき网中的てき其他电脑。如果攻おさむ击的规模较大，整せい个地区ちく的てき网络连接都と可能かのう会かい受到影かげ响。

攻おさむ击方式しき

DoS攻おさむ击可以具体ぐたい分ぶん成なり三さん种形式しき：頻しき寬ひろし消耗しょうもう型がた、资源消耗しょうもう型がた、漏も洞ほら觸發しょくはつ型がた。前ぜん兩者りょうしゃ都と是ぜ透とおる过大量りょう合法ごうほう或ある伪造的てき请求占うらない用よう大量たいりょう网络以及器材きざい资源，以达到瘫痪网络以及系けい统的目的もくてき。而漏洞ほら觸發しょくはつ型がた，則のり是ぜ觸發しょくはつ漏も洞ほら導しるべ致系統けいとう崩潰ほうかい癱瘓服務ふくむ。

頻しき寬ひろし消耗しょうもう型がた攻おさむ击

DDoS頻しき寬ひろし消耗しょうもう攻おさむ击可以分为两个不同ふどう的てき层次；洪ひろし泛攻击或放ひ大だい攻おさむ击。洪ひろし泛攻击的特とく点てん是ぜ利用りよう僵尸程ほど序じょ发送大量たいりょう流量りゅうりょう至いたり受损的てき受害者しゃ系けい统，目的もくてき在ざい于堵塞ふさが其宽带。放ひ大だい攻おさむ击与其类似に，是ぜ通どおり过恶意い放ひ大だい流量りゅうりょう限げん制せい受害者しゃ系けい统的宽带；其特点てん是ぜ利用りよう僵尸程ほど序じょ通どおり过伪造づくり的てき源げんIP（即そく攻おさむ击目标IP）向むかい某ぼう些存在そんざい漏も洞ほら的てき服ふく务器发送请求，服ふく务器在ざい处理请求后きさき向こう伪造的てき源げんIP发送应答，由ゆかり于这些服务的特殊とくしゅ性せい导致应答包つつみ比ひ请求包つつみ更さら长，因いん此使用しよう少量しょうりょう的てき宽带就能使し服ふく务器发送大量たいりょう的てき应答到いた目め标主机上きじょう。

UDP洪水こうずい攻おさむ击（User Datagram Protocol floods）: UDP（用よう户数据すえ报协议）是ぜ一种无连接协议，当とう数すう据すえ包つつみ通どおり过UDP发送时，所有しょゆう的てき数すう据すえ包つつめ在ざい发送和わ接收せっしゅう时不需要じゅよう进行握手あくしゅ验证。当とう大量たいりょうUDP数すう据すえ包つつみ发送给受害がい系けい统时，可能かのう会かい导致带宽饱和从而使し得とく合法ごうほう服ふく务无法ほう请求访问受害系けい统。遭受DDoS UDP洪ひろし泛攻击时，UDP数すう据すえ包つつみ的てき目的もくてき端はし口こう可能かのう是ぜ随ずい机つくえ或ある指定してい的てき端はし口こう，受害系けい统将尝试处理接收せっしゅう到いた的てき数すう据すえ包つつみ以确定本ていほん地ち运行的てき服ふく务。如果没ぼつ有ゆう应用程ほど序じょ在ざい目め标端口こう运行，受害系けい统将对源IP发出ICMP数すう据すえ包つつめ，表明ひょうめい“目め标端口こう不可ふか达”。某ぼう些情况下，攻おさむ击者会かい伪造源げんIP地ち址し以隐藏ぞう自己じこ，这样从受害がい系けい统返回かい的てき数すう据すえ包つつめ不ふ会かい直接ちょくせつ回かい到いた僵尸主ぬし机つくえ，而是被ひ发送到いた被ひ伪造地ち址し的てき主しゅ机つくえ。有ゆう时UDP洪ひろし泛攻击也可能かのう影かげ响受害がい系けい统周围的网络连接，这可能かのう导致受害系けい统附近ふきん的てき正常せいじょう系けい统遇到いた问题。然しか而，这取决于网络体系たいけい结构和わ线速。

ICMP洪水こうずい攻おさむ击（ICMP floods）: ICMP（互联网控制せい消息しょうそく协议）洪水こうずい攻おさむ击是通どおり过向未み良好りょうこう设置的てき路ろ由よし器き发送广播信しん息いき占うらない用よう系けい统资源げん的てき做法。

资源消耗しょうもう型がた攻おさむ击

协议分析ぶんせき攻おさむ击（SYN flood，SYN洪水こうずい）: 传送控ひかえ制せい协议（TCP）同どう步ふ（SYN）攻おさむ击。TCP进程通常つうじょう包括ほうかつ发送者しゃ和わ接受せつじゅ者しゃ之の间在数すう据すえ包つつみ发送之の前ぜん建立こんりゅう的てき完全かんぜん信号しんごう交换。启动系けい统发送一いち个SYN请求，接收せっしゅう系けい统返回かい一いち个带有ゆう自己じこSYN请求的てきACK（确认）作さく为交换。发送系けい统接着せっちゃく传回自己じこ的てきACK来らい授权两个系けい统间的てき通どおり讯。若わか接收せっしゅう系けい统发送了りょうSYN数すう据すえ包つつめ，但ただし没ぼっ接收せっしゅう到いたACK，接受せつじゅ者しゃ经过一段时间后会再次发送新的SYN数すう据すえ包つつみ。接受せつじゅ系けい统中的てき处理器き和わ内ない存そん资源将しょう存そん储该TCP SYN的てき请求直ちょく至いたり超ちょう时。DDoS TCP SYN攻おさむ击也被ひ称しょう为“资源耗尽攻おさむ击”，它利用りようTCP功こう能のう将はた僵尸程ほど序じょ伪装的てきTCP SYN请求发送给受害がい服ふく务器，从而饱和服ふく务处理り器き资源并阻止そし其有效ゆうこう地ち处理合法ごうほう请求。它专门利用りよう发送系けい统和接收せっしゅう系けい统间的てき三向信号交换来发送大量欺骗性的原IP地ち址しTCP SYN数すう据すえ包つつみ给受害がい系けい统。最さい终，大量たいりょうTCP SYN攻おさむ击请求もとめ反はん复发送，导致受害系けい统内存そん和わ处理器き资源耗尽，致使其无法ほう处理任にん何なん合ごう法用ほうよう户的请求。

LAND攻おさむ击: 这种攻おさむ击方式しき与あずかSYN floods类似，不ふ过在LAND攻おさむ击包中ちゅう的てき原はら地ち址し和わ目め标地址し都と是ぜ攻おさむ击对象ぞう的てきIP。这种攻おさむ击会导致被ひ攻おさむ击的机つくえ器き死し循环，最さい终耗尽つき资源而死机つくえ。

CC攻おさむ击（Distributed HTTP flood，分布ぶんぷ式しきHTTP洪水こうずい攻おさむ击）: CC攻おさむ击使用しよう代理だいり服ふく务器向こう受害服ふく务器发送大量たいりょう貌似合法ごうほう的てき请求（通常つうじょう為ためHTTP GET)。攻おさむ击者创造性せい地ち使用しよう代理だいり，利用りよう广泛可用かよう的てき免めん费代理だいり服ふく务器发动DDoS攻おさむ击。许多免めん费代理だいり服ふく务器支持しじ匿名とくめい，这使追つい踪变得どく非常ひじょう困こま难。; 2004年ねん，一いち位い匿名とくめい為ためKiKi的てき中國ちゅうごく黑くろ客きゃく開發かいはつ了りょう一いち種しゅ用よう於發送はっそうHTTP請求せいきゅう的てきDDoS攻擊こうげき工具こうぐ以攻擊げき名めい為ため“Collapsar”的てきNSFOCUS防火ぼうか牆，因いん此該黑くろ客きゃく工具こうぐ被ひ稱しょう為ため“Challenge Collapsar”（挑戰ちょうせん黑くろ洞ほら，簡稱CC），這類攻擊こうげき被ひ稱しょう作さく“CC攻擊こうげき”。^[4]

僵尸网络攻おさむ击: 僵尸网络是ぜ指ゆび大量たいりょう被かむ命令めいれい与あずか控ひかえ制せい（英えい语：command and control (malware)）（C&C）服ふく务器所しょ控ひかえ制せい的てき互联网主机つくえ群ぐん。攻おさむ击者传播恶意软件并组成なり自己じこ的てき僵尸网络。僵尸网络难于检测的てき原因げんいん是ぜ，僵尸主ぬし机つくえ只ただ有ゆう在ざい执行特定とくてい指令しれい时才会かい与あずか服ふく务器进行通どおり讯，使つかい得とく它们隐蔽且不易ふえき察觉。僵尸网络根ね据すえ网络通どおり讯协议的不同ふどう分ぶん为IRC、HTTP或あるP2P类等。

应用程ほど序じょ级洪水すい攻おさむ击（Application level floods）: 与あずか前面ぜんめん叙じょ说的攻おさむ击方式しき不同ふどう，应用程ほど序じょ级洪水すい攻おさむ击主要よう是ぜ针对应用软件层的，也就是ぜ高だか于OSI的てき。它同样是以大量りょう消耗しょうもう系けい统资源げん为目的もくてき，通つう过向IIS这样的てき网络服ふく务程序じょ提出ていしゅつ无节制せい的てき资源申さる请来破壞はかい正常せいじょう的てき网络服ふく务。

漏も洞ほら觸發しょくはつ型がた

這類攻擊こうげき手法しゅほう，透過とうか嘗試觸發しょくはつ緩衝かんしょう區く溢位等ひとし漏も洞ほら^[5]，使つかい作業さぎょう系統けいとう發生はっせい核心かくしん錯誤さくご或ある蓝屏死し机つくえ，達いたる到いた阻斷服務ふくむ攻擊こうげき。

死亡しぼう之のPing（ping of death）: 死亡しぼう之のPing是ぜ產さん生せい超過ちょうかIP協定きょうてい能のう容よう忍にん的てき封ふう包つつみ數すう，若わか系統けいとう沒ぼつ有ゆう檢けん查機制せい，就會宕机。

泪なみだ滴しずく攻おさむ击: 每まい個こ資料しりょう要よう傳送でんそう前まえ，該封包つつみ都會とかい經過けいか切きり割わり，每まい個こ小しょう切きり割わり都會とかい記錄きろく位い移うつり的てき資し訊，以便重じゅう組ぐみ，但ただし此攻擊げき模も式しき就是捏造ねつぞう位い移うつり資し訊，造成ぞうせい重じゅう組ぐみ時じ發生はっせい問題もんだい，造成ぞうせい錯誤さくご。

防御ぼうぎょ方式ほうしき

拒こばめ绝服务攻击的防御ぼうぎょ方式ほうしき通常つうじょう为入にゅう侵おかせ检测，流量りゅうりょう过滤和わ多重たじゅう验证，旨むね在ざい堵と塞ふさが网络带宽的てき流量りゅうりょう将はた被ひ过滤，而正常せいじょう的てき流量りゅうりょう可か正常せいじょう通どおり过。

防火ぼうか墙

防火ぼうか墙可か以设置おけ规则，例れい如允许或拒こばめ绝特定とくてい通どおり讯协议，端はし口こう或あるIP地ち址し。当とう攻おさむ击从少数しょうすう不ふ正常せいじょう的てきIP地ち址し发出时，可か以简单的使用しよう拒こばめ绝规则阻止そし一切いっさい从攻击源IP发出的てき通信つうしん。

复杂攻おさむ击难以用简单规则来らい阻止そし，例れい如80端はし口こう（网页服ふく务）遭受攻おさむ击时不可能ふかのう拒こばめ绝端口こう所有しょゆう的てき通信つうしん，因いん为其同どう时会阻止そし合法ごうほう流量りゅうりょう。此外，防火ぼうか墙可能かのう处于网络架か构中过后的てき位置いち，路みち由よし器き可能かのう在ざい恶意流量りゅうりょう达到防火ぼうか墙前即そく被ひ攻おさむ击影响。然しか而，防火ぼうか墙能有效ゆうこう地ち防止ぼうし用よう户从启动防火ぼうか墙后的てき计算机つくえ发起攻おさむ击。

交换机つくえ

大だい多数たすう交换机つくえ有ゆう一定的速度限制和存取控制能力。有ゆう些交换机提供ていきょう自じ动速度そくど限げん制せい、流量りゅうりょう整形せいけい、后きさき期き连接、深度しんど包つつみ检测和かず假かりIP过滤功こう能のう，可か以检测并过滤拒こばめ绝服务攻击。例れい如SYN洪水こうずい攻おさむ击可以通过后期き连接加か以预防ぼう。基もと于内容ないよう的てき攻おさむ击可以利用りよう深度しんど包つつみ检测阻止そし。

路みち由よし器き

和かず交换機き類似るいじ，路みち由よし器き也有やゆう一定的速度限制和存取控制能力，而大多數たすう路ろ由よし器き很容易ようい受到攻擊こうげき影響えいきょう。

黑くろ洞ほら引导

黑くろ洞ほら引导指ゆび将しょう所有しょゆう受攻击计算さん机つくえ的てき通信つうしん全部ぜんぶ发送至いたり一いち个“黑くろ洞ほら”（空そら接せっ口こう或ある不ふ存在そんざい的てき计算机つくえ地ち址し）或ある者もの有ゆう足あし够能力りょく处理洪ひろし流りゅう的てき网络设备商しょう，以避免めん网络受到较大影かげ响。

流量りゅうりょう清きよし洗あらい

当とう获取到いた流量りゅうりょう时，通つう过DDoS防御ぼうぎょ软件的てき处理，将はた正常せいじょう流量りゅうりょう和わ恶意流量りゅうりょう区分くぶん开，正常せいじょう的てき流量りゅうりょう则回注ちゅう回かい客きゃく户网站，反たん之の则屏蔽。这样一来可站点能够保持正常的运作，仅仅处理真ま实用户访问网站带来らい的てき合法ごうほう流量りゅうりょう。

历史

Panix 是ぜ世界せかい上じょう第だい三さん古老ころう的てき ISP，被ひ认为是ぜ首くび个 DoS 攻おさむ击的目め标。 1996年ねん9月がつ6日にち，Panix 遭受了りょう SYN 洪水こうずい攻おさむ击，导致其服务中断ちゅうだん数日すうじつ，而硬件けん供きょう应商（尤ゆう其是思おもえ科か）找到了りょう适当的てき防御ぼうぎょ措施。 DoS 攻おさむ击的另一个早期例子是 Khan C. Smith 在ざい1997年ねん的てきDEF CON活かつ动期间进行ぎょう的てき，导致拉ひしげ斯维加か斯大道どう的てき互联网访问中断ちゅうだん一いち个多小しょう时。活かつ动期间发布ぬの的てき示しめせ例れい代だい码引发了次じ年ねん对斯普林りん特とく、地球ちきゅう连线、E-Trade等とう大だい公司こうし的てき网络攻おさむ击。迄まで今こん为止最大さいだい规模的てき DDoS 攻おさむ击发生せい在ざい2017年ねん9月がつ，当とう时谷たに歌か云うん遭受了りょう一次峰值量为2.54Tb/s 的てき攻おさむ击，（Google于2020年ねん10月がつ17日にち透とおる露ろ）。

2020年ねん2月がつ，亚马逊云遭受了りょう一いち次じ攻おさむ击，攻おさむ击量峰ほう值为2.3Tb/s。 2021年ねん7月がつ，CDN提供ていきょう商しょう Cloudflare宣せん称しょう能のう够保护其客きゃく户免受来自じ全ぜん球たまMirai僵尸网络^[6]的てき DDoS 攻おさむ击，该攻击每秒まいびょう发出高だか达1720万まん个请求もとめ。俄にわか罗斯DDoS防御ぼうぎょ提供ていきょう商しょうYandex表示ひょうじ，它于2021年ねん9月がつ5日にち阻止そし了りょう一いち次じHTTP管かん道どうDDoS攻おさむ击，该攻击源自じ未み修おさむ补的Mikrotik网络设备。 2022年ねん上じょう半年はんとし，俄にわか乌战争そう极大地ち影かげ响了网络威い胁格局きょく，各かく个国家こっか的てき支持しじ和全わぜん球だま黑くろ客きゃく趁机活かつ动导致网络攻击大量りょう增加ぞうか。最さい引人注目ちゅうもく的てき事件じけん是ぜ2月がつ份发生せい的てきDDoS攻おさむ击，这是乌克兰遭遇そうぐう的てき最大さいだい规模的てき攻おさむ击，扰乱了りょう政府せいふ和わ金融きんゆう部ぶ门的服ふく务。这波攻おさむ击也波及はきゅう了英りょうえい、美よし、德とく等とう西方せいほう盟めい国こく。

2023年ねん2月がつ，Cloudflare面めん临每秒まいびょう7100万次请求的攻击，Cloudflare声ごえ称しょう这是当とう时最大さいだい的てきHTTP DDoS 攻おさむ击。(HTTP DDoS 攻おさむ击是通どおり过每秒まいびょう HTTP 请求数すう而不是ぜ每秒まいびょう数すう据すえ包つつめ或ある每秒まいびょう位い数すう来らい衡量的てき。 )2023年ねん7月がつ10日とおか，同人どうじん小しょう说平台だいArchive of Our Own（AO3）遭遇そうぐう DDoS 攻おさむ击，服ふく务中断ちゅうだん。AO3和わ专家们对一个匿名苏丹组织表示怀疑，声こえ称しょう此次袭击是ぜ出で于宗教きょう和わ政治せいじ原因げんいん。2023年ねん8月がつ，黑くろ客きゃく组织NoName057执行缓慢的てきDoS攻おさむ击，目もく标针对多家か意い大利おおとし金融きんゆう机つくえ构。2024年ねん1月がつ14日にち，在ざい泽伦斯基总统出席しゅっせき达沃斯世界かい经济论坛的てき推动下か，他た们对瑞みず士し联邦网站发起了りょうDDoS攻おさむ击。瑞みず士し国家こっか网络安全あんぜん中心ちゅうしん迅速じんそく缓解了りょう此次攻おさむ击，确保联邦核かく心服しんぷく务保持ほじ安全あんぜん，尽つき管かん某ぼう些网站暂时出现访问问题。 2023年ねん10月がつ，利用りよう HTTP/2协议中ちゅう的てき新しん漏も洞ほら导致最大さいだいHTTP DDoS攻おさむ击记录被两度打破だは，其中一いち次じ是ぜCloudflare观察到的てき每秒まいびょう2.01亿次请求的てき攻おさむ击，另一いち次じ则是由よしGoogle观察到的てき每秒まいびょう3.98亿次请求的てき攻おさむ击。

参まいり见

參考さんこう來らい源げん

^ Preimesberger, Chris. DDoS Attack Volume Escalates as New Methods Emerge. eWeek. 2014-05-28 [2015-05-09]. （原始げんし内容ないよう存そん档于2019-07-13）.
^ The Philosophy of Anonymous. Radicalphilosophy.com. 2010-12-17 [2013-09-10]. （原始げんし内容ないよう存そん档于2015-09-24）.
^ McDowell, Mindi. Cyber Security Tip ST04-015 - Understanding Denial-of-Service Attacks. United States Computer Emergency Readiness Team. 2009-11-04 [2013-12-11]. （原始げんし内容ないよう存そん档于2013-11-04）.
^ 史上しじょう最さい臭におい名めい昭あきら著ちょ的てき黑くろ客きゃく工具こうぐ CC的てき前世ぜんせい今生こんじょう. NetEase. 驱动中国ちゅうごく网(北京ぺきん). 2014-07-24 [2019-03-05]. （原始げんし内容ないよう存そん档于2019-03-05）（中ちゅう文ぶん（简体））.
^ Denial of Service Software Attack | OWASP Foundation. OWASP. [2022-01-25]. （原始げんし内容ないよう存そん档于2022-06-27）.
^ 什么是ぜ Mirai 僵尸网络？. Cloudflare. [2024-06-26] （中ちゅう文ぶん）.

[preimesberger2014-1] Preimesberger, Chris. DDoS Attack Volume Escalates as New Methods Emerge. eWeek. 2014-05-28 [2015-05-09]. （原始げんし内容ないよう存そん档于2019-07-13）.

[2] The Philosophy of Anonymous. Radicalphilosophy.com. 2010-12-17 [2013-09-10]. （原始げんし内容ないよう存そん档于2015-09-24）.

[US-CERT1-3] McDowell, Mindi. Cyber Security Tip ST04-015 - Understanding Denial-of-Service Attacks. United States Computer Emergency Readiness Team. 2009-11-04 [2013-12-11]. （原始げんし内容ないよう存そん档于2013-11-04）.

[4] 史上しじょう最さい臭におい名めい昭あきら著ちょ的てき黑くろ客きゃく工具こうぐ CC的てき前世ぜんせい今生こんじょう. NetEase. 驱动中国ちゅうごく网(北京ぺきん). 2014-07-24 [2019-03-05]. （原始げんし内容ないよう存そん档于2019-03-05）（中ちゅう文ぶん（简体））.

[5] Denial of Service Software Attack | OWASP Foundation. OWASP. [2022-01-25]. （原始げんし内容ないよう存そん档于2022-06-27）.

[6] 什么是ぜ Mirai 僵尸网络？. Cloudflare. [2024-06-26] （中ちゅう文ぶん）.

[1]

[2]

[3]

[4]

[5]

[6]