DDoS攻击的历史和演变：从20世纪90年代至2025

最初，DDoS 攻击只是美国精通技术的学生的无害恶作剧。然而，在过去 30 年里，它们已经发展成为针对企业和政府实体的强大武器。这篇 DDoS 攻击简史适合那些想要了解更多信息的人。

20 世纪 90 年代：恶作剧泛滥

20 世纪 90 年代，世界首次听说 DDoS（分布式拒绝服务）攻击。当时，互联网仍处于主流阶段，任何精通计算机的人都被视为黑客。

DDoS 历史上的一位重要人物是凯文·米特尼克 (Kevin Mitnick)。1994 年，这位臭名昭著的黑客使用大量 SYN 数据包攻击他的长期对手下村疆 (Tsutomu Shimomura)。这种被称为SYN Flood 的技术有效地使对手的计算机瘫痪。

据称，这一刻标志着首次成功的DoS （拒绝服务）攻击。后来，米特尼克通过同时从多台计算机发起流量，扩展了该方案，创造了“分布式”一词，从而导致了DDoS攻击的诞生。

两年后，一个在线论坛上出现了一组有趣的开源实用程序。该工具包允许用户远程对目标资源同时发起多次攻击。

随后，1999 年 7 月 22 日，明尼苏达大学的计算机系统意外遭到了 114 台受感染计算机网络的攻击。这些设备受到了名为 Trin00 的恶意脚本的攻击，该脚本向大学系统发送大量数据包，导致系统无法响应合法用户。Trin00 脚本正是基于三年前发布的开源代码。

21 世纪：第一次大规模罢工

21 世纪初期的关键事件之一是一系列针对 .com 域名网站的 DDoS 攻击。这个故事的主角是一位绰号为 Mafiaboy 的加拿大青少年。Mafiaboy 使用米特尼克开创的 SYN Flood 方法，连续几天对 Yahoo!、亚马逊、eBay、CNN、戴尔等多家大公司造成了严重破坏。他的所有攻击都是从被入侵的大学计算机发起的。

这一事件引起了公众和企业的广泛关注，DDoS攻击首次被政府层面认定为重大网络威胁。

到 2002 年，IT 社区开始讨论新兴的 DDoS 方法。黑客越来越多地使用 HTTP 协议和外部资源请求，经常伪造受害者的 IP 地址，向目标发送大量响应，最终导致服务器不堪重负。

2005年，各大IT和电信公司组成反黑客联盟，应对日益严重的DDoS威胁，攻击越来越频繁，威力越来越大，受害者遭遇的DDoS攻击速度达到数十Gbps，远远超过了之前数百Mbps的基准。

2000 年代中期，出现了一种新现象： RDDoS （勒索 DDoS）。黑客不仅会发起攻击，还会威胁未来会再次发起攻击的公司，要求支付赎金以停止或防止这些攻击。在切尔滕纳姆赛马节期间，几家英国博彩公司成为这种策略的受害者。

在此期间，黑客还开始出租 DDoS 基础设施，标志着第一批僵尸网络的兴起。

另一件大事是创建了第一个专门用于防御DDoS攻击的解决方案。以色列公司 Riverhead 开发了一款网络安全产品，不久之后，Arbor Networks（美国）也推出了类似的解决方案。最终，思科系统收购了 Riverhead，巩固了其在反 DDoS 市场的主要地位。

21 世纪还出现了第一批基于云的 DDoS 防护工具，包括 Prolexic（现为 Akamai 的一部分）、BlackLotus、Dragonara 等。

2010 年代：黑客行动主义和新工具的兴起

2007年，爱沙尼亚遭受了震惊全国的严重DDoS攻击。这些恶意流量是由世界各地的激进分子集体制造的，这种现象后来被称为黑客行动主义。

2010 年代初，随着低轨道离子炮 (LOIC) 和高轨道离子炮 (HOIC) 等黑客工具的广泛使用，这一运动势头迅猛。这些工具让有意识形态动机的黑客能够使用 TCP、UDP 和 HTTP 协议用数据超载受害者的资源。

2013年，创纪录的攻击速度达到300Gbps，2016年奥运会期间，攻击速度飙升至500Gbps，仅一个月后，这一数字就达到了620Gbps。

此次 620 Gbps 攻击由臭名昭著的 Mirai 僵尸网络发起，目标是安全记者 Brian Krebs 的网站。随后，Mirai 使美国最大的 DNS 服务提供商之一 Dyn DNS 瘫痪，影响了 Twitter、GitHub 和 Spotify 等客户。调查显示，此次攻击涉及连接到僵尸网络的 100,000 多台设备。

虽然尚不清楚黑客行动主义对 Mirai 等僵尸网络的发展有多大影响，但 2010 年代出现了几个受意识形态驱动的黑客组织，其中包括匿名者组织，他们策划了多起针对反对网络盗版和种子下载的公司和组织的 DDoS 攻击。

2020 年代：各方面均创纪录

在这十年中，DDoS 攻击的数量以前所未有的速度增长。根据我们关于 2023 年 DDoS 攻击的报告，事件数量增加了 63%。到 2024 年底，初步数据显示 DDoS 攻击的数量将至少增长 100%。

此外，僵尸网络涉及的设备数量现已达到数十万台，与之前仅涉及 100 台设备的 DDoS 攻击形成鲜明对比。专家将这种增长归因于物联网设备的兴起和智能家居技术的日益普及。

DDoS攻击力也大幅提升，平均攻击量达到数十Tbps，峰值攻击率达到每秒数千万个请求。

最后，攻击者不断更新其攻击方法和工具。多向量、地毯式轰炸和其他复杂的 DDoS 攻击已变得频繁。许多此类攻击都采用人工智能和机器学习技术，因此更难防御。因此，潜在受害者越来越需要专门的多层网络安全解决方案，例如 StormWall 提供的解决方案。