【国际视野】欧盟发布《DoS攻击威胁态势》

本报告的目的是让组织了解DoS 攻击的动机和后果，帮助他们理解并提出防御建议。为此，报告探讨了2022 年 1月至 2023 年8 月期间 DoS攻击的威胁状况，确定了攻击者和防御者、动机、影响、分类和特征。

本报告以ENISA 网络安全威胁态势方法为基础，采用严格的研究方法，重点分析DoS 事件。研究方法包括五个步骤。

首先，使用开源情报工具和技术对DoS 事件进行搜索。搜索范围包括所有地区，涉及新闻和媒体机构、安全公司和专业DoS 防护公司报告的事件；目标组织的官方声明；以及攻击者自己的报告。

其次，对所有事件进行存储并按日期编制索引，然后进行人工核查，以确保其在本报告的范围之内。

对于报告范围内的所有事件，都进行了研究，以找到更多的第三方报告来确认攻击是否发生，并排除了所有无法核实的攻击。

第四，对每次袭击进行详细分析，以提取随后用于事件总体分析的信息。如果需要翻译，则使用自动翻译引擎。每起事件都提取了以下特征：目标名称、目标行业、目标国家和事件起始日期。第五，在社会政治背景、技术实力和破坏效果方面与众不同的事件被标记为突出事件。有关这些事件的深入研究，请参见第4 节"突出事件"。对所介绍方法产生的最终事件清单进行剖析、汇总、归纳和分析，以提取见解和结论。

本研究方法的重要部分是定义什么是DoS。在本报告中，DoS攻击被定义为可用性攻击，攻击者通过在一段时间内耗尽或利用目标的资产，部分或完全阻碍目标服务的合法使用。分析仅限于可测量成功的DoS 攻击，未考虑DoS 攻击尝试。然而，由于有良好的保护机制，许多尝试都失败了。因此，也考虑了DoS 防护公司确定的最重要的未成功DoS 尝试。

DoS攻击的检测、描述和分析相当复杂，与其他网络安全攻击不同。在其他类型的网络安全攻击中，例如利用服务或甚至供应链攻击，攻击者会留下人工制品，事件响应者可以发现、分析、共享、确认、验证并最终用于解释甚至归因。

DoS攻击则不同，因为大多数攻击都是基于网络的，这意味着没有软件人工制品留下，安全分析人员只能对来自成千上万个不相关和不可操作的源IP 地址的数据包进行分析。无法采取行动的IP地址通常是来自云提供商、家庭设备、物联网和攻击者无法控制的其他地址的欺骗（即伪造）。这种复杂性导致报告不完整、不现实，有时甚至是完全错误的。高质量的信息，即可信度高的数据，往往来自攻击者自己的报告和说法。这些信息必须得到目睹攻击发生的第三方组织或用户的证实，或目标的声明。攻击者通常在这些组织的Telegram频道上分享这些信息。攻击者为了证明攻击确实奏效，通常会分享第三方网站来证明目标已瘫痪

劣质信息，即中等可信度数据，来自实际阻止了攻击的DoS防护提供商。这些报告作为高级报告是有用的，但仍被认为是劣质的，因为它们不能用于评估目标或动机。这些提供商保护着许多国家成千上万的客户，因此很难了解是谁攻击了谁、为什么攻击以及在哪里攻击。此外，由于合同原因，它们通常不能披露目标的姓名。如果目标不确认报告，攻击者也不声称对此负责，这些报告就很难核实。

质量低劣的信息，即可信度低的数据，来自目标创建的报告。在没有第三方确认的情况下，这些报告很难使用，因为目标可能会夸大攻击或在没有足够证据的情况下将攻击归咎于某个威胁组织。这些报告不可靠的例子包括：DoS攻击的目标利用攻击作为提高其知名度的机会（"我们很重要，因为我们受到了攻击"），或者谎称其服务受到了更大的影响，以助长法律行动，或者在没有证据的情况下声称对手正在进行攻击，以证明未来行动的合理性。

为了充分利用所有这些不同类型的报告，我们采用了一套全面的交叉检查和验证程序，以确保与事件有关的所有信息都得到验证和使用。

DoS攻击有许多分类法，但所有分类法都侧重于其技术特征和防御。从广义上讲，DoS攻击通常分为三种类型：体积攻击（以每秒比特为单位）、协议攻击（以每秒数据包为单位）和应用层攻击（以每秒请求为单位）。本报告提出了一种多样化的方法，即根据动机和目标对DoS 攻击进行分类，因为大多数DoS 攻击都以这些参数为特征，对目标造成不同程度的破坏。

本报告针对拒绝服务攻击提出了一种新的分类方案，重点关注攻击的关键要素，捕捉攻击和目标的重要特征。因此，选择分类标准的目的是突出DoS 攻击的共同特征，概述挑战并规定应对措施的设计。

引入DoS攻击分类的好处是多方面的。首先，它有助于首次尝试构建该领域的知识结构，并为后续分析提供支持。其次，建议的分类旨在加强战略情报，并促进更好地了解这类威胁和可能的应对措施。最后，它旨在使DoS攻击领域实现一致性和标准化。拟议的分类可能会促进合作，便利交流，并为讨论相关解决方案提供一种共同语言，同时确定需要改进的领域。

图1 展示了拟议分类方案的高层视图。首先，DoS攻击被分为攻击信息和目标信息。其次，攻击信息进一步分为四个关键要素：动机、目标、方法和技术。目标信息也分为四个关键要素：服务、资源、破坏程度和破坏长度。第三，每个关键要素都进一步扩展了具体的相应信息。以下各小节将对每个类别和要素进行详细说明。

图1：拒绝服务攻击的分类方案

攻击目标。目标是指攻击者打算通过攻击达到的目的。在本研究中，针对DoS攻击，确定了几个目标：诋毁名誉、通过勒索获得经济利益、抗议、获得认可、复仇或报复、获得声望、分散注意力、造成物理损害、参与战争和造成破坏。本清单并非详尽无遗，将来可能会有所扩展。请注意，战争仅限于在已宣布的冲突中敌对双方之间的攻击，是冲突本身的一部分。这与战争参与方的支持者对不属于战争正式组成部分的第三方实体实施的报复性或报复性攻击相反。

攻击方法。攻击方式是指如何在高层次上进行DoS 攻击。DoS攻击可以是分布式的（DDoS），通常依靠大规模僵尸网络或代理。DoS攻击也可以是非分布式的（DoS），通常依靠人工攻击和利用漏洞。

攻击技术/工具。为实施DoS攻击，攻击者会使用各种高级工具和技术。这种分类与发送的数据包类型无关，而是攻击的高级方式。这方面最常见的是僵尸网络、漏洞利用、人工攻击、垃圾邮件攻击等。请注意，该分类方案并不涉及所用协议或数据包类型的技术描述，而是涉及进行攻击的手段。图2 概述了所讨论的攻击动机、目标、方法和技术。

图 2：DoS攻击中攻击信息的分类

目标服务。DoS攻击通常针对特定的目标服务。攻击者通常将网站和网络应用程序编程接口等网络基础设施作为攻击目标。其他受攻击的服务包括一般网络基础设施、电子邮件服务器、卫星通信基础设施、其他或未知服务。目标资源。DoS攻击旨在通过耗尽目标资源来阻止服务的可用性。这些资源可以是网络带宽、服务器内存、中央处理单元（计算能力）、数据（用于删除）、存储容量、未知资源等。

破坏程度。在观察到的不同事件中，DoS攻击的强度和效果差异很大，而且并不总是成功的。为了能够对不同事件进行比较，攻击破坏分为四个等级：零破坏、部分破坏、完全破坏和未知。零中断通常是指目标受到攻击，但由于攻击的性质或目标的恢复能力，对目标的可用性或性能没有明显影响。部分中断是指目标出现间歇性中断或性能下降，但总体上仍能正常运行。完全中断是指目标出现严重中断，用户无法访问或使用服务。

中断时间。攻击造成的中断时间衡量的是DoS攻击对组织造成中断的时间长短。本研究定义了六大级别的中断时间：分钟、小时、天、周、月和未知。由于几乎没有账户报告过这一参数，因此很难找到。

图3列出了所讨论的目标服务、资源、中断级别和中断时长。

图3：DoS攻击中目标信息的分类

在2022 年至2023年期间，有许多事件因其技术特征或破坏效果而被视为突出事件。之所以选择突出事件，是因为它们在社会政治背景、技术实力和破坏效果方面具有独特性。技术实力与攻击的规模或技术复杂性有关；如果攻击规模巨大、引人注目或高度复杂，则该事件被纳入本报告。目标的重要性指的是高价值目标或影响大量人员的事件。

2023年8 月25 日，波兰铁路系统因列车紧急停车装置遭受DoS攻击而中断。攻击者利用了系统设计中的一个漏洞，特别是铁路系统用于控制这些装置的无线电信号缺乏加密。攻击者发出的停车信号被列车正确解读，导致列车停止运行。随着波兰铁路成为西方支持乌克兰抵御俄罗斯入侵的战略要地，这次攻击破坏事件变得越来越重要。这次攻击之所以具有现实意义，是因为当涉及到军事冲突时，大多数DoS攻击都集中在网络基础设施和互联网上，但攻击面会发生变化，组织应将所有媒介都视为可能的目标，包括射频信号、无线系统甚至物理设备1011。有迹象表明，这次攻击可能是由非冲突当事国的同情者实施的，因此引起了广泛关注。最终，两名波兰公民因与该事件有关而被捕。

根据建议的分类方法，这次攻击可分为以下几类。就攻击而言，其动机可被评估为政治/活动分子，目标是破坏，方法是DoS，技术是信号欺骗。关于目标，服务是铁路基础设施，资源是无线电频率，破坏程度是全面的，破坏时间是数天。这种分类如图4 所示。

图4：使用建议的分类对波兰铁路系统DoS 攻击进行分析

2023 年6 月7 日，一个威胁组织（匿名苏丹，又名Storm-1359，声称对此负责） 对微软 Azure 应用层基础设施发起了DDoS 攻击，造成服务下降和轻微中断 。该组织称，这次攻击是在美国可能入侵苏丹的消息传开后发起的。该组织使用各种DDoS工具和僵尸网络进行攻击。目标遭受了数天的部分中断，之后该威胁组织试图向微软勒索钱财以停止攻击。由于这次攻击破坏了Azure 基础设施的一部分，因此其影响可以被评估为重大。

根据建议的分类方法，这次攻击可分为以下几类。关于攻击，动机是政治/活动分子，目标是抗议和经济利益与勒索的混合，方法是DDoS，技术是僵尸网络和IP压力源。在攻击目标方面，被攻击的服务是网络基础设施，资源是网络带宽，破坏程度是部分破坏，由于攻击的间歇性，破坏时间长达数天。这种分类如图5 所示。

图5：使用建议的分类对Microsoft Azure DoS 攻击进行分析

2023 年2 月23 日，根据在Akamai 平台上检测到的流量，一名身份不明的Akamai 客户成为最大规模DDoS攻击的目标。这次攻击被认定为DDoS攻击，可能是通过使用僵尸网络和IP压力器产生的。攻击持续时间很短，只有几分钟，估计没有成功破坏目标服务。攻击的目标、动机和目的尚不清楚，也没有提供技术细节来确认攻击的来源或背后的潜在威胁组织。

这充分说明了当今DDoS攻击的攻击性和实施预防措施的重要性。这也体现了匿名DoS 攻击的影响。

根据建议的分类，这次攻击可分为以下几类。关于攻击，其动机不明，目标不明，方法是DDoS，技术是僵尸网络和IP压力源。关于攻击目标，服务目标是基础设施（不清楚基础设施的哪个部分被攻击），资源目标是网络带宽，中断级别为零（有报道但未经证实），中断时长为几分钟。这种分类如图6 所示。

图6：使用建议的分类对Akamai 客户DoS 攻击的分析

2023 年1 月30 日，一个与俄罗斯有关联的组织针对美国的医院发起了一次DDoS 攻击。这次攻击经过协调，通过网络DDoS 攻击十几家医院的网络基础设施。该组织在Telegram上宣布了此次攻击，并声称针对美国机构的攻击是对美国在俄罗斯入侵后支持乌克兰的报复。

这次袭击之所以引人注目，是因为它是在俄乌冲突持续不断的情况下，在报复行动的框架内，以民用医疗设施为目标的，因而具有争议性。目前尚不清楚攻击造成破坏的实际影响。根据建议的分类，这次袭击可分为以下几类。该分类如图7 所示。

图7：使用提议的分类对美国医院的DoS 攻击进行分析

在俄罗斯入侵乌克兰的当天，即2022 年2 月24 日，攻击者利用了KA-SAT（Viasat旗下的全球卫星提供商）上的虚拟专用网(VPN) 配置错误，该配置提供了对KA-SAT网络可信管理段的远程访问。这使得攻击者可以控制提供互联网接入的卫星调制解调器。攻击部分包括重新刷新调制解调器的固件，使其无法使用。

这次攻击主要造成乌克兰以及捷克和斯洛伐克等邻国的网络中断。调制解调器重新上线需要重新配置，这意味着中断持续了两个多星期。作为附带损害，德国5 000 多台风力涡轮机受到影响，因为它们正在使用KA-SAT网络发送数据进行维护和更新。希腊、法国、意大利、匈牙利和波兰的其他客户也受到了影响。根据提议的分类，这次袭击可分为以下几类。

图 8：使用拟议分类对KA-SAT 网络（Viasat）进行DoS 攻击分析

本节介绍对2022 年1 月至2023 年8 月期间发生的大量全球DoS 事件的分析结果。该分析旨在帮助了解当前的DoS 威胁状况及其主要特征。

本报告分析由DoS攻击引发的全球事件。纳入事件的标准是有限的。事件必须符合以下标准才能纳入分析。首先，事件应发生在2022 年1 月至2023 年8 月之间。其次，事件应至少经过一个第三方来源验证为DoS 攻击。

很难评估DoS攻击的总数。本研究依赖于第三方报告和公开来源的情报验证，因为没有可用于见证和跟踪这些攻击的公开网络监控平台。由于提供DDoS保护的实体具有很高的知名度，它们经常报告说，每天有成千上万的DDoS 攻击被阻止2526，这增加了实际衡量DoS攻击的难度。这些攻击大多未在季度指标文件之外报告，也未提供攻击性质的具体细节或从业务角度对攻击的定义。

一般来说，没有哪个行业能幸免于DoS 攻击。然而，在本报告涵盖的时间范围内，46%的注册攻击针对的是公共管理部门。其他部门也遭受了相当比例的攻击，包括9% 的攻击和5% 的数字基础设施攻击。图9 按观察到的事件数量列出了受影响最严重的八个部门。

与其他部门相比，针对公共行政部门的攻击次数明显增多。这种激增在很大程度上是与持续冲突有关的报复行动造成的。表示支持的国家往往成为威胁团体的目标。因此，这些事件引发了对政府机构的大量警告和建议。

还应强调网络媒体/娱乐部门，因为它也是任何军事冲突的首要目标之一。压制反对派的声音，阻止民众了解官方故事的其他版本，是众所周知的维持控制的手段。目前尚不清楚这些策略的效果如何，但对这一部门的攻击目的可能已超出了破坏，而是试图引发恐惧、不确定性和怀疑。

图 9：2022年1 月至2023 年8 月事件数量最多的10 个部门

本研究的分析表明，DoS攻击最普遍的驱动因素是政治或活动动机，占所观察到事件的66%。战略、财务和社会动机只占5%。在其余28%的案例中，事件动机不明。虽然在特定情况下，攻击背后的动机难以理解，但这些不明动机大多是由于其他因素造成的，如报道质量不高，或目标本身太小或媒体认为不够有趣而不予报道。图10 显示了按事件数量分列的全部攻击动机。

图 10：2022年1 月至2023 年8 月期间按事件数量分列的攻击者动机

就攻击背后的最终目标而言，本研究的调查显示，在观察到的事件中，近43%是为了对目标进行报复或复仇。在这一类别中，大部分攻击是由亲俄黑客组织发起的，他们针对所有反对俄罗斯入侵乌克兰或向乌克兰提供支持的国家或组织发起攻击。同样，在所研究的事件中，有9.4% 的事件与战争有关。

在8.4%的事件中，DoS攻击也是为了造成破坏。DoS攻击仍然是抗议和诋毁目标的工具，

本研究发现了DoS 攻击的一个新的最终目标，即作为培训攻击者掌握DoS 技术的一种手段而进行的拒绝服务攻击。

图 11显示了按事件数量分列的观察到的目标的全部细目。

图 11：2022年1 月至2023 年8 月期间按事件数量划分的攻击者目标

DoS 攻击的定义是旨在使资源不可用的攻击。然而，DoS攻击的实际影响很难衡量。本报告试图测量破坏程度和破坏长度。测量结果来自攻击报告中的定性陈述，然后根据建议的分类进行归类。

总体而言，56.8%的攻击造成了目标的全面中断，用户在攻击期间经历了严重的服务中断。21.3%的事件造成了部分中断，据说是间歇性中断或服务严重下降。只有3.9% 的攻击造成了所谓的"零中断"，即攻击本身无效，或对目标实施的DoS 保护意味着对目标没有明显影响。

在 18.1%的事件中，没有报告破坏程度，因此不清楚是攻击不成功、目标因自身的DoS 保护而未受影响，还是其他原因影响了攻击。图12 显示了按事件数量分列的目标中断水平的全部细目，图13 显示了按事件数量分列的目标中断长度。

图 12：2022年1 月至2023 年8 月期间按事件数量分列的目标中断水平

就中断时间长短而言，近一半的事件（48.1%）的目标宣称在采取措施抵制攻击之前经历了数小时的中断。中断时间持续数天的事件占17.1%，持续数分钟的事件占9.4%。值得注意的是，仅有0.6% 的极小部分事件报告的中断时间长达数周或数月。

在 24.8%的事件中，没有关于事件持续时间的信息。这凸显了DoS攻击的另一个方面，与其他类型的网络威胁相反，媒体很少对其进行跟踪报道。

图 13：2022年1 月至2023 年8 月期间按事件数量分列的目标中断持续时间

DoS攻击的一个关键方面是对恶名和关注度的内在需求。威胁组织通常会公开宣布其攻击行为，使防御者有机会将信息与这些行为者的已知战术、技术和程序进行交叉核对，这不仅有助于识别，还能增强他们的归因信心。本研究发现，在59%的案例中，事件没有明确归因于任何威胁组织。在分析的归属事件中，发现30% 的事件是由亲俄罗斯的黑客组织KillNet 和NoName05造成的。在更小的范围内，3.2%的攻击事件是由匿名的苏丹组织造成的，其次是几十起其他事件中的威胁组织。

DoS攻击时间表代表了本研究范围内产生的攻击类型和数量。攻击次数并不确定，因为有许多攻击未经证实。因此，应将此时间轴视为2022 年1 月至2023 年8 月期间310 次最广为人知的DoS 攻击的代表。如图14 所示，第一条时间轴说明了每月事件的数量，重点是进行DoS 攻击的动机。

图 14：进行DoS 攻击的动机时间表

如图 15所示，第二个时间轴显示了每月事件的数量，重点是攻击者的目标。从图中可以看出，大多数攻击都是为了复仇/报复，紧随其后的是目标不明，然后是战争。复仇/报复目标更容易被发现，因为攻击需要寻求媒体关注。战争是第三个最常见的目标，这可能是因为在俄罗斯侵略乌克兰的战争期间，为了揭露正在进行的行动，对袭击进行了密集报道。

图 15：进行DoS 攻击的目标时间表

在 2022年4月观察到的政治/活动家动机攻击高峰期，大部分攻击的目标是报复。这是黑客行动主义攻击的早期高峰，2022年4 月后稍有下降，直到2023 年4 月出现另一个高峰。2023年4 月之后，复仇/报复攻击的次数似乎缓慢减少，但原因不明。

DoS 攻击的实际影响取决于多种因素，不易量化。DoS攻击有特定的动机和目标，对目标的影响也与这种动机和目标密切相关。

DoS 攻击的影响可根据攻击产生的效果进行分析。DoS攻击最常见的影响是宕机和宣传。

以抗议、诋毁、报复或泄愤为目的的DoS攻击，如果有停机时间，影响会更大，但如果没有停机时间，影响也会很大。不过，这些攻击只有在产生足够的宣传效果时才能产生影响。如果没有宣传，旨在诋毁目标的DoS攻击即使造成了全面破坏，也不会产生任何影响。为抗议某项事业而发起的DoS 攻击也是如此。这些DoS攻击需要媒体的关注才能产生影响。宕机在这些攻击中也起了一定作用，但程度较轻。

DoS攻击的一个很少被讨论的副产品是恐惧、不确定性和疑虑（FUD），它指的是攻击对公众造成的心理影响。产生FUD 是DoS攻击的本质，因为攻击是不可预测的，对目标的影响往往是未知的。有影响的DoS 攻击会产生FUD作为副产品。宣传和停机时间的综合水平将影响攻击产生的FUD 水平。

任何类型网络威胁的归因都是非常复杂的。当涉及拒绝服务（DoS）攻击时，防御者会面临更多困难。首先，大多数DoS 攻击都是分布式拒绝服务(DDoS)攻击，它们来自世界各地的成千上万个来源。其次，在大多数此类攻击中，源IP地址都是伪造的，使防御者在调查攻击源时无迹可寻。在这项研究中，我们发现了三种形式。

最常见的归因形式是攻击者自己公开声称对攻击负责。DoS攻击背后最猖獗的威胁组织都有自己的宣传媒介，宣布攻击的时间和对象。这些信息可以与实际发生的情况联系起来，帮助确定攻击的责任，并具有相当的可信度。这种方法并非万无一失，因为攻击者可能会声称其他威胁组织的攻击是他们所为。

第二种归因方式是通过目标组织公开指认特定攻击者为攻击源头。这种归因说法通常源于过去的经验、怀疑或威胁组织与组织之间已知的敌意。这种归因通常可信度较低，因为在大多数情况下，没有足够的公开信息来证实这种说法。

第三种归因方式是通过深入分析源IP地址的分布来确定大多数攻击的源头。这类分析基于以下假设：第一，并非所有源IP都是伪造的；第二，并非所有参与者都真正分布在世界各地；第三，攻击的某些核心基础设施被重复使用，从而使攻击具有一定的一致性。分布式"指的是组织攻击类型，即协调小组要求志愿者使用僵尸网络式工具免费或付费参与其DoS攻击。这类报告并不多，但在已发布的报告中，其归因有很强的技术依据。

归根结底，网络攻击的确切归属可能不会显著改变防御者的方法。

大规模武装冲突的存在，如俄罗斯对乌克兰的侵略战争或以色列-巴勒斯坦冲突，是DoS攻击浪潮再起的最主要诱因。这些攻击大多针对军事目标，涉及战术或战略部分，被归类为战争或破坏。

战争中不被承认的支持者也可使用DoS，作为对敌方支持者进行报复或复仇的工具。这些攻击通常寻求媒体关注，因此以网站为目标，并在互联网上得到公开承认。此外，此类DoS攻击的副产品通常是通过显示自己的力量来为自己的事业赢得支持者。

在武装冲突期间，DoS攻击可能会得到经验更丰富、资源更充足的攻击者的支持。这样就可以创建更好的工具，维护更大的网络基础设施，从而实施更大规模、更稳定的攻击。一些报告描述了俄罗斯对乌克兰的侵略战争开始后DoS攻击的增加情况以及所使用的新技术。在已发现的新变化中，包括来自不同云提供商的DoS 同步攻击、使用Tor 的攻击大幅增加，以及NoName057组织主要使用两个非常特殊且与国家相关的自治系统编号(ASN) 网络进行攻击的确认：MIRHosting 和斯塔克工业。

战争迷雾还包括DoS 攻击的目标和细节。例如，DoS攻击的一个可能未被察觉的目标可能是阻止攻击国公民访问目标网站。然而，这种策略并不是通过关闭目标网站来阻止访问，而是迫使被攻击网站屏蔽攻击国的IP 地址，包括其合法公民的IP 地址。这是新闻网站和DoS防护提供商经常讨论的一个问题，它们可能会拒绝阻止实施DoS 的国家的IP 地址，以避免阻止其公民访问新闻。

DoS攻击是一个普遍存在的全球性问题，研究表明，任何组织都有可能成为这些攻击的潜在目标。本报告中的建议分为预防和修复两类。预防仍然是避免DoS攻击的最重要方法，但作为最后手段和应急计划，修复是必要的。

与其他网络安全攻击一样，防范DoS攻击的最佳方法是从做好预防工作开始。预防意味着建立良好的威胁模型、评估成为DoS攻击目标的风险、评估可能的威胁以及评估组织和基础设施中的漏洞或薄弱环节。威胁模型的第一步应该是确定组织在威胁环境中的位置及其作为目标的价值。关键基础设施、政府机构和媒体通常是需要确保安全的最重要领域。

一个好的威胁模型还应考虑到本报告中显示的DoS攻击日益增强的威力。如果组织面临与军事冲突相关的风险，如果组织与关键基础设施相关，本研究建议积极努力防止DoS 攻击。

最标准的DoS 攻击防护措施包括使用内容交付网络(CDN)、上游互联网服务提供商防护、云服务提供商DoS防护和企业内部解决方案。不同的解决方案可满足不同的需求，对停机时间的接受程度也不同。值得注意的是，新的第7层攻击可能会克服大多数保护措施，因为它们会轻易到达网站的后端。因此，即使有其他保护措施，也有必要设计一个针对第7 层攻击的内部部署解决方案。

修复措施涉及降低攻击影响的行动，包括技术影响和媒介影响。各组织应该明白，完全缓解DoS 攻击的风险是不可能的。因此，制定修复计划至关重要。

修复措施应包括确认攻击、核实是否启动了保护措施、联系第三方DoS保护组织（如有）、联系应了解停机情况的其他合作伙伴以及考虑是否发表官方媒体声明。

媒体声明应考虑对客户和顾客的责任和法律义务、解释服务失效原因的必要性以及向攻击者确认攻击成功的影响。建议的最后一步是向当局报告攻击。

与其他网络安全攻击不同，检测和分析DoS 攻击是一项相当大的挑战。本报告对2022 年1 月至2023 年8 月期间发现的DoS 事件进行了研究和分析。该分析以DoS 攻击的拟议分类方案为基础。

尽管 DoS攻击是最早出现的网络威胁之一，但它们仍在不断演变。随着发起DoS攻击的成本越来越低，工具越来越容易操作，可用带宽越来越大，组织在保护自己免受这些攻击方面面临着独特的挑战。

在这方面，建议的分类绝不是详尽无遗或包罗万象的。然而，DoS攻击的变化不仅仅是技术性的，也不仅仅与可用带宽有关。本报告强调了分析和研究这类攻击背后的动机和目标的重要性，说明了新一轮DoS攻击的动机是如何发生变化的，因为这些攻击更多是出于报复、报复和战争的动机。

本研究还表明，公共/政府基础设施是威胁组织特别青睐的目标，DoS攻击往往能成功造成宕机并引起必要的媒体关注。然而，这项研究表明，没有哪个部门可以幸免于DoS 攻击。即使是小型组织也可能成为DoS攻击的目标，因为威胁组织会培训其他人如何成功实施攻击。目前在报告DoS攻击方面还不够成熟。与其他网络安全威胁相比，组织更有义务报告发生了数据泄露或供应链攻击，但组织却没有充分报告DoS攻击。应建立新的、更好的机制来识别攻击和报告攻击，以便政府和支持实体能够衡量、量化这些情况并更好地提供援助。尽管DoS防护公司报告称每小时可阻止数千次攻击，但网络媒体和网络安全公司普遍缺乏对DoS 事件的良好报告。威胁建模是组织衡量 DoS攻击潜在风险、此类攻击的影响以及基于组织技术和资源的最佳预防和修复策略的正确方法。