拒絕服務攻擊會導致哪些資源被消耗

拒絕服務攻擊會導致以下資源被消耗：

• 消耗帶寬資源：攻擊者直接或間接地向受害者的網絡發送大量的無用數據分組，從而消耗掉受害者網絡的所有入口帶寬。這些分組可以是任何內容，通常使用的是ICMP回應分組。為了使此類攻擊取得更好的效果，攻擊者可以使用多臺機器向同一個受害者發送大量的分組。

• 消耗網絡連接資源：這里的網絡連接資源是指邏輯資源。我們知道，TCP是面向連接的傳輸層協議，在進行數據通信之前需要通過三次握手的方式建立TCP連接。在一般的TCP實現中，連接資源是有限的，即當系統中處于打開（Open）狀態的TCP連接數量超過了系統設計的閾值時，該系統就無法接收后面到達的連接請求，從而造成連接擁塞。在這類攻擊中，攻擊者試圖通過非正常地大量消耗連接資源來阻止合法用戶的訪問請求，以達到拒絕服務攻擊的目的。

• 其他資源的消耗：也有許多攻擊者會試圖消耗受害者的其他資源，比如CPU處理能力和內存資源等。我們知道，任何系統在正常運行時都需要在程序的數據結構中臨時存儲一些信息；攻擊者可以通過運行特定的惡意程序，持續消耗直至耗盡服務器的存儲空間，從而無法向其他正常的用戶請求提供服務。同樣，攻擊者也可以通過生成大量需要消耗CPU資源的各類進程致使服務器的計算能力不堪重負，以致無法為正常用戶請求提供服務。

• 消耗用戶相互之間的資源：有一類攻擊是通過使兩個受害主機不斷互相發送數據分組來實現的。CERT描述了這類攻擊的一個例子，在這個攻擊中，攻擊者利用偽造的UDP分組使受害者網絡中兩臺主機的回應服務（Echo Service）建立連接，兩臺配置了回應服務的主機一旦進入工作模式，如果沒有外力強制其停止下來，將一直不斷地互相發送數據分組，直至耗盡它們之間的網絡帶寬。

防御拒絕服務攻擊的方法有以下這些：

• 分組過濾：為了避免被攻擊，可以對特定的流量進行過濾（丟棄），例如，用防火墻過濾掉所有來自某些主機的報文，為了防止Smurf攻擊而設置過濾器過濾掉所有ICMP協議的ECHO報文。這種基于特定攻擊主機或者內容的過濾方法只限于已經定義的固定的過濾器，不適合動態變化的攻擊模式。還有一種“輸入診斷”方案，由受害者提供攻擊特征，沿途的因特網服務提供商（Internet Service Provider，ISP）配合將攻擊分組過濾掉，但是這種方案需要各個ISP的網絡管理員人工配合，工作強度高、時間耗費大，因此較難實施，但效果明顯。

• 源端控制通：常參與DoS攻擊的分組使用的源IP地址都是假冒的，因此如果能夠防止IP地址假冒，就能夠防止此類DoS攻擊。通過某種形式的源端過濾可以減少或消除假冒IP地址的現象，從而防范DoS攻擊。例如，路由器檢查來自與其直接相連的網絡分組的源IP地址，如果源IP地址非法（與該網絡不匹配）則丟棄該分組。電信服務提供商利用自身的優勢加強假冒地址的控制，可大大降低DDoS攻擊的影響。現在越來越多的路由器支持源端過濾。但是，源端過濾并不能徹底消除IP地址假冒。例如，一個ISP的客戶計算機仍然能夠假冒成該ISP網絡內成百上千臺計算機中的一臺。

• 追溯：追溯發起攻擊的源端的方法很多，這些方法假定存在源地址假冒，它試圖在攻擊的源處抑制攻擊，并識別惡意的攻擊源。它在IP地址假冒的情況下也可以工作，是日后采取必要的法律手段防止將來攻擊的必要一步。但是追溯過程中并不能實時控制攻擊的危害，當攻擊很分散時也不能做到有效追溯。

• 路由器動態檢測和控制：這種方法的基本原理是在路由器上動態檢測和控制DoS攻擊引起的擁塞，其主要依據是DoS攻擊分組雖然可能來源于多個流，但這些流肯定有某種共同特征，比如有共同的目的地址或源地址（或地址前綴），或者都是TCP SYN類型的報文。這些流肯定在某些路由器的某些輸出鏈路上聚集起來并造成大量的分組丟失。這些有共同特征的流可以稱為流聚集（aggregate）。其主要設想是流聚集所通過的路由器有可能通過分析分組丟失的歷史辨識出這種流聚集。如果一個路由器辨識出了這些高帶寬的流聚集，它就可以通知送來這些流聚集的上游路由器限制其發送速率。這種由發生擁塞的路由器發起的回推（pushback）信號可能一直遞歸地傳播到源端。這種機制從直觀上不難理解，如果能夠實際使用，則對于解決DoS攻擊問題有很好的效果。但是這種機制在實際的網絡中能否實用面臨著檢測標準、公平性機制、高效實現及運營管理等很多未解決的問題。

• 前端代理：我們可為靜態資源準備多個站點做冗余備份，當Service Worker加載資源出錯時，可不返回錯誤給上層頁面，而是繼續從備用站點加載，直到獲得正確結果才返回。這樣，只要有一個備用站點可用，資源就不會加載失敗。

• 離線訪問：Service Worker 的設計初衷就是為了增強網頁的離線化體驗，因此一旦安裝即可在后臺長期運行，即使服務器關機、瀏覽器重啟，它也不會失效。

• 免費節點：使用冗余站點雖能提升穩定性，但攻擊者仍可對備用站點發起攻擊，尤其是惡意消耗流量費用的攻擊，導致成本大幅上升。為此，我們還可使用一種更極端的方案使用免費 CDN 作為備用站點，例如 jsdelivr.net、unpkg.com、IPFS Gateway 等等，圖片則可上傳到各大網站的相冊。

• 接口防御：對于純靜態資源的站點，我們可將所有資源甚至包含 HTML 文件都通過免費 CDN 加速，從而大幅降低成本、增加穩定性。

回答所涉及的環境：聯想天逸510S、Windows 10。