分散式阻斷服務攻擊(DDoS)是什麼？遇到攻擊有哪些解決方法？

DDoS阻斷式服務攻擊介紹與防禦措施

隨著網際網路的發達，DDos攻擊手法也變得越來越多元且難以防範，尤其官方網站、線上交易平台、使用者登入頁面皆為攻擊者之首選目標，DDos攻擊讓許多廠商與企業蒙上巨大的損失，那究竟有什麼DDos防禦措施能在遭受攻擊事前進行佈署或於事後進行防範再次的攻擊呢？本篇就帶各位認識一下常見的DDos攻擊手法，以及遇到攻擊後要如何進行防禦應變。

DDoS(分散式阻斷式服務攻擊)是什麼？與DoS的差別為何？

DDos攻擊全名為 distributed denial-of-service attack，又稱為分散式阻斷服務攻擊，是舊時Dos攻擊（denial-of-service attack，阻斷服務攻擊）的擴大版，其目的是以各種攻擊手法，讓網路系統的功能癱瘓或資源耗盡，迫使網頁或遊戲伺服器中斷服務，以致正常的用戶無法使用網頁功能與進行遊戲。

DoS攻擊：

單一來源：DoS攻擊通常來自單一的攻擊者或系統。
攻擊方式：攻擊者利用各種方法，如洪水攻擊（Flood Attacks）或系統漏洞，來耗盡目標服務的資源。
影響範圍：由於來自單一來源，DoS攻擊的規模和影響通常較小。

DDoS攻擊：

多重來源：DDoS攻擊涉及多個攻擊來源，通常是由大量受感染的電腦（稱為「殭屍網路」）組成。
攻擊方式：這些受控系統協同發起攻擊，使得攻擊更難以防範和追蹤。
影響範圍：DDoS攻擊由於來源眾多，因此攻擊強度和影響範圍遠大於DoS攻擊。

	Dos (Denial-of-service Attack)	DDoS (Distributed Denial-of-service Attack)
形式	一對一	多對一
常見類型	常見於部分網路遊戲，被心懷不軌的玩家或競爭對手廣泛利用	針對重要服務和知名網站進行攻擊，例如遊戲業、金融業等

而早期因為電腦不如今日發達，只要攻擊方電腦性能高於被攻擊方，一對一的Dos攻擊就容易達到目的，不過如今電腦科技的進步，單純的Dos攻擊大多能被成功防禦與破解，所以多對一的DDos便成為了現今駭客愛用的攻擊手法。

DDoS攻擊手法有哪些呢？

DDos攻擊手法都是以大量的無效請求進行網頁的資源消耗，可略分為：

寬頻消耗型攻擊

藉由傳送大量無效、或惡意放大流量的數據請求，堵塞被攻擊的伺服器頻寬，使其達到飽和狀態，讓正常用戶無法進入，甚至造成網頁當機癱瘓的DDos攻擊。

像是常見的UDP Flood、ICMP Flood ，給予伺服器大量無效的數據內容，又稱洪水攻擊；捏造資料切割位移資訊，導致系統發生重組問題，佔用網頁寬頻，達到DDos攻擊效果的TearDrop（淚滴攻擊）；與能生成超過IP協定能容忍的數據長度，導致系統當機的Ping of Death，皆屬此類。

資源消耗型攻擊

有別於寬頻消耗型的DDos攻擊，資源消耗型攻擊是讓被攻擊方的伺服器不斷進行反覆的無效運作，導致網頁資源被耗盡，無法再回覆正常用戶的請求與提供需求。

這類型的DDos攻擊手法如SYN Flood，即對伺服器提出建立TCP連線需求，卻蓄意阻斷TCP的三次交握，讓伺服器持續發出請求並等待回覆，進而導致資源消耗，使一般用戶無法使用；若將 SYN Flood 攻擊中提出請求的IP來源，設定為被攻擊方的位址，就會讓系統不斷的自我答覆，直到資源耗盡，即為常見的 LAND 攻擊手法。除此之外，還有利用大量伺服器對被攻擊方提出模擬HTTP正常請求的CC攻擊、網路殭屍攻擊等，都是以耗盡伺服器資源為目標。

要如何偵測DDoS攻擊？

要偵測DDoS攻擊通常涉及多種技術和策略，主要目的是識別異常流量和潛在的攻擊模式。以下是一些常見的DDoS攻擊偵測方法：

流量監控：

透過監控網路流量，可以識別出不尋常的流量增加。例如，如果某個網站突然間流量暴增，這可能是DDoS攻擊的跡象。
異常行為分析：

分析流量模式，尋找與正常行為不符的模式。DDoS攻擊通常會產生異常的流量模式，如流量突然增加或來自特定地區的異常流量。
基線建立：

建立正常網路流量的基線，以便於比較。當實際流量與基線有顯著差異時，可能表示正在發生DDoS攻擊。
封包分析：

分析網路封包，尋找可疑或非正常的封包模式。例如，大量相同類型的封包或來自同一來源的封包可能是攻擊的跡象。
IP地址黑名單：

使用IP地址黑名單來過濾已知的惡意來源。這可以幫助阻止來自已知攻擊者的流量。
異常連接數據分析：

監控連接數據，如同時連接數量和連接請求速率。異常的增加表示可能有DDoS攻擊。
使用第三方安全服務：

利用專業的DDoS防護服務，這些服務通常具有更先進的偵測和防禦機制。
響應時間監控：

監控伺服器和應用程式的響應時間。如果響應時間突然變長，可能是因為伺服器正承受著DDoS攻擊。

DDoS攻擊會對企業造成哪些影響？

當企業遭受DDoS攻擊時，除了被勒索高額贖金、造成重大財務損失之外，也會失去客戶對企業的信任度，影響企業商譽及信譽，而資安漏洞不只會導致企業負面形象產生，更可能會因此承擔法律責任、吃上官司。

被勒索贖金，造成財務損失
失去客戶對企業信任度
影響企業商譽及信譽
法律責任

面對DDoS攻擊，能採取哪些解決辦法？

DDos攻擊之所以難以防禦，是因為DDos的「攻擊」會用看似正常的「需求」包裝，加上難以追蹤來源，也是DDos攻擊棘手的主因，不過仍能利用下述3個面向，加強系統的DDos防禦：

加強防火牆的通行規則

藉由高性能的防火牆設置，限制異常IP位址發出的請求，降低大量無效數據佔用頻寬或損耗資源的可能性，加強篩選機制、阻斷DDos攻擊的效果。

提升設備的性能、規格

提升設備的性能，讓其遭受DDos攻擊時可爭取多一點的緩衝時間，在不讓網頁癱瘓的狀況下，即時針對攻擊模式採取應對的DDos防禦措施，將傷害減至最低。

使用具備DDos防禦的系統

像是DDos流量清洗機制，會將流量導入清洗系統中，把異常的流量來源過濾、剔除，又或是系統本身具備防禦一定數目的無效數據包、以及設定合理的同時連線數量等，讓DDos攻擊無功而返。

📖 想了解更詳細的 DDoS 防禦措施，推薦閱讀：高防IP、流量清洗能有效阻擋攻擊嗎？3種常見DDoS防禦機制，一次搞懂！

面臨DDoS攻擊時，蓋亞能為您做到：

由於傳統設備無法抵禦大流量的DDOS攻擊，導入雲端防禦策略為阻擋攻擊的唯一方案，科技日新月異，DDos的攻擊手法也不斷在變化，倘若遇到更棘手的DDos攻擊時，建議尋找專業團隊協助才是上策！而蓋亞能在客戶受到DDos攻擊時，即時為您提供：

協助客戶在第一時間組建DDos防禦團隊，並在當天完成DDos防禦的策略佈署。
即時監測網路狀況並協調資安反應中心，進行DDos攻擊的緩解。
持續系統性監測狀況與產出DDos攻擊事件報告。
24小時中英雙語線上的即時維運服務。

身為亞太最大的專業 DDos 服務代理商，蓋亞擁有豐富的DDos防禦經驗，處理超過一萬起的DDos攻擊事件，針對不同的攻擊手法，亦能提供多元的DDos防禦措施，並給予最快10分鐘即可上線的服務效率，專業的一站式顧問服務，一次為客戶解決相關的雲端問題，若您有任何需求，都誠心歡迎您與我們聯繫。

科技趨勢

分散式阻斷服務攻擊(DDoS)是什麼？遇到攻擊有哪些解決方法？