有初學(xué)者留言給我說：“DDoS案例很有趣，但是理解原理貌似需要一定的技術(shù)基礎(chǔ)啊。我剛接觸安全，看起來有些吃力呢?！?/p>

別急，這就為大家奉上一篇講解DDoS概念的技術(shù)普及帖。關(guān)于DDoS基本概念，看這一篇就夠了~

到底什么是DDoS攻擊

DDoS是Distributed Denial of Service的簡稱，中文是分布式拒絕服務(wù)。這有點(diǎn)拗口吧？這樣，我們先理解下DDoS的前身DoS（Denial of Service），即拒絕服務(wù)。最基本的DoS攻擊就是攻擊者利用大量合理的服務(wù)請求來占用攻擊目標(biāo)過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。DoS攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo)各項性能指標(biāo)不高時（例如CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等），它的效果是明顯的。

隨著計算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機(jī)的處理能力與網(wǎng)絡(luò)帶寬迅速增長。這使得DoS攻擊的困難程度大大增加了，因?yàn)楣裟繕?biāo)對這些惡意服務(wù)請求的“消化能力”加強(qiáng)了很多。既然一個攻擊者無法使目標(biāo)“拒絕服務(wù)”，那么就需要多個攻擊者同時發(fā)起分布式攻擊了，這時DDoS攻擊也就應(yīng)運(yùn)而生了。DDoS攻擊是指攻擊者控制僵尸網(wǎng)絡(luò)中的大量僵尸主機(jī)（肉雞）向攻擊目標(biāo)發(fā)送大流量數(shù)據(jù)，耗盡攻擊目標(biāo)的系統(tǒng)資源，導(dǎo)致其無法響應(yīng)正常的服務(wù)請求。

如果大家覺得以上描述很深奧，那么我來換一種易懂的說法。小時候，我們都聽說過餐廳很難開，因?yàn)樾枰鞍椎篮诘蓝加嘘P(guān)系”。如果一家餐廳希望他的競爭對手無法正常營業(yè)，他們會采取什么手段呢？（純屬虛構(gòu)，請勿模仿）首先他會雇傭一個惡霸，惡霸會找來一群小混混，讓他們扮作普通客戶一直占用對手餐廳的座位賴著不走，這樣真正的客戶就無法就餐了；或者讓混混們總是和對手餐廳的服務(wù)員閑扯，讓服務(wù)員不能正常服務(wù)客戶；也可以為對手餐廳的老板提供虛假信息，讓他們上上下下忙成一團(tuán)之后卻發(fā)現(xiàn)是一場空，卻最終忽略了真正的客戶。恩，這里的惡霸就是攻擊者，小混混就是傀儡主機(jī)，對方餐廳就是攻擊目標(biāo)，采取的種種手段就是DDoS攻擊，最終的結(jié)果是對方餐廳損失慘重，甚至關(guān)門大吉。

DDoS攻擊兩大特點(diǎn)

DDoS發(fā)起攻擊容易，攻擊者很容易從互聯(lián)網(wǎng)獲取各類DDoS攻擊工具，從而發(fā)起攻擊。

比較出名的免費(fèi)工具有盧瓦（LOIC）、HOIC（LOIC升級版）、XOIC、Hulk、DAVOSET、黃金眼等。而且更絕妙的是，DDoS攻擊者往往可以借助正常的普通軟件或網(wǎng)站發(fā)起攻擊，例如歷史上著名的“暴風(fēng)影音”事件和“搜狐視頻”事件。

10T 技術(shù)資料限時領(lǐng)取！包括但不限于：Linux、虛擬化、容器、云計算、網(wǎng)絡(luò)、Python、Go 等。在開源Linux公眾號內(nèi)回復(fù)「10T」，即可免費(fèi)獲??！

DDoS攻擊受害者防御難度大，攻擊會損害受害者的金錢、服務(wù)和信譽(yù)。報告顯示，65%以上的DDoS攻擊每小時給受害企業(yè)造成的損失高達(dá)一萬美金。例如最近針對美國DNS服務(wù)提供商Dyn公司的一波DDoS攻擊導(dǎo)致Twitter、GitHub、BBC、華爾街日報、Xbox官網(wǎng)、CNN、HBO Now、星巴克、紐約時報、The Verge、金融時報等大量站點(diǎn)無法正常訪問。如下圖所示，這幾乎就是半個美國的互聯(lián)網(wǎng)都癱瘓了啊，那損失可不止每小時數(shù)萬美金，簡直是無法估量！

DDoS攻擊三大動機(jī)

一切事物出現(xiàn)都有其動機(jī)。欲破解DDoS攻擊，必先了解其動機(jī)。政治分歧、惡意競爭、敲詐勒索、經(jīng)濟(jì)犯罪是DDoS攻擊的主要動機(jī)。

• 政治動機(jī)型攻擊慣于采用大規(guī)模網(wǎng)絡(luò)攻擊，攻擊目標(biāo)一般是銀行和政府網(wǎng)站或者DNS服務(wù)器，影響范圍大，容易引起民眾大范圍恐慌，堪稱網(wǎng)絡(luò)攻擊的“核武器”。

例如“土耳其攻擊事件”, 著名黑客組織匿名者發(fā)布視頻向土耳其宣戰(zhàn)譴責(zé)其支持某極端組織，由此引發(fā)針對土耳其DNS根服務(wù)器的大規(guī)模網(wǎng)絡(luò)攻擊，導(dǎo)致土耳其400,000個網(wǎng)站離線。

• 惡意競爭、敲詐勒索則屬于對特定業(yè)務(wù)系統(tǒng)的精準(zhǔn)打擊，攻擊行為越來越像“特種部隊”。

例如“網(wǎng)游大戰(zhàn)”事件，電競選手PhantomL0rd為了保住自己的“王”位，采用了惡意競爭手段。他勾結(jié)黑客組織DERP Trolling，每當(dāng)自己游戲即將失敗時，便召喚DERP Trolling使用DDoS攻擊攻癱游戲服務(wù)器，導(dǎo)致游戲異常終端。英雄聯(lián)盟、EA官網(wǎng)、暴雪戰(zhàn)網(wǎng)、DOTA2官網(wǎng)、企鵝俱樂部等等知名游戲網(wǎng)站都因遭到DDoS攻擊而癱瘓。這真是赤裸裸的“打不過就拔網(wǎng)線啊！”

• 經(jīng)濟(jì)犯罪則大多屬于聲東擊西式的“煙霧彈”，以大流量攻擊轉(zhuǎn)移安全人員的注意力，掩蓋其數(shù)據(jù)竊取的真實(shí)目的。當(dāng)前比較流行的做法是黑客通過大流量DDoS攻擊吸引注意力，掩護(hù)潛伏的APT攻擊完成最后的數(shù)據(jù)竊取。

DDoS攻擊分類

知己知彼，百戰(zhàn)不殆。在前幾篇技術(shù)帖中，我們已經(jīng)學(xué)習(xí)了幾種經(jīng)典DDoS攻擊。在這里我們再來系統(tǒng)總結(jié)下DDoS攻擊的種類。

DDoS攻擊按攻擊方式劃分有：泛洪攻擊(Flood)、畸形報文攻擊(Malformation)、掃描探測類攻擊(Scan&Probe)。

• 泛洪攻擊，也叫Flood攻擊，是指攻擊者通過僵尸網(wǎng)絡(luò)、代理或直接向攻擊目標(biāo)發(fā)送大量的偽裝的請求服務(wù)報文，最終耗盡攻擊目標(biāo)的資源。發(fā)送的大量報文可以是TCP的SYN和ACK報文、UDP報文、ICMP報文、DNS報文、HTTP/HTTPS報文等。
  近年來，泛洪攻擊又發(fā)展出了一種高級形式，我們稱之為反射攻擊。顧名思義，反射攻擊并不是直接向攻擊目標(biāo)發(fā)起大量服務(wù)請求，而是攻擊者控制僵尸網(wǎng)絡(luò)中的海量僵尸主機(jī)偽裝成攻擊目標(biāo)，都以攻擊目標(biāo)的身份向網(wǎng)絡(luò)中的服務(wù)器發(fā)起大量服務(wù)請求。網(wǎng)絡(luò)中的服務(wù)器會響應(yīng)這些大量的服務(wù)請求，并發(fā)送大量的應(yīng)答報文給攻擊目標(biāo)，從而造成攻擊目標(biāo)性能耗盡。反射攻擊大多是由UDP Flood變種而來，反射的是UDP報文，例如NTP、DNS、SSDP、SMTP、Chargen等。為什么選中UDP呢？因?yàn)閁DP的響應(yīng)（Reponse）報文大小要大于請求（request）報文，這樣攻擊者就實(shí)現(xiàn)了對攻擊流量的放大。
  以NTP報文為例，NTP的Monlist命令用來查詢主機(jī)最近所有和服務(wù)器通信的記錄，服務(wù)器會返回最多600個通信記錄，這樣流量就被放大了數(shù)百倍。如果攻擊者控制成千上萬的傀儡機(jī)偽裝成攻擊目標(biāo)大量發(fā)送此命令給NTP服務(wù)器，那么反射給攻擊目標(biāo)的流量可想而知！

• 畸形或特殊報文攻擊通常指攻擊者發(fā)送大量有缺陷或特殊控制作用的報文，從而造成主機(jī)或服務(wù)器在處理這類報文時系統(tǒng)崩潰?；螆笪墓衾鏢murf、Land、Fraggle、Teardrop、WinNuke攻擊等。特殊控制報文攻擊包括超大ICMP報文、ICMP重定向報文、ICMP不可達(dá)報文和各種帶選項的IP報文攻擊。

• 掃描探測類攻擊是一種潛在的攻擊行為，并不具備直接的破壞行為，通常是攻擊者發(fā)動真正攻擊前的網(wǎng)絡(luò)探測行為，例如IP地址掃描和端口掃描等。

DDoS攻擊按TCP/IP協(xié)議分層劃分有：網(wǎng)絡(luò)層攻擊、傳輸層攻擊、應(yīng)用層攻擊。具體如下：

DDoS攻擊天下大勢

通過以上描述，大家應(yīng)該對DDoS攻擊有了初步的了解。下面華安再為大家分析下當(dāng)前DDoS攻擊的“天下大勢”，讓大家對我們當(dāng)今所處網(wǎng)絡(luò)環(huán)境的DDoS攻擊有一個初步的認(rèn)識。

根據(jù)華為未然實(shí)驗(yàn)室現(xiàn)網(wǎng)攻擊事件統(tǒng)計數(shù)據(jù)顯示，SYN Flood、UDP Flood（包括UDP類反射放大攻擊）、HTTP Get Flood、DNS Query Flood依然是DDoS攻擊的慣用手段。

下面我就來一一點(diǎn)評下榜單上這些“大佬”們的上榜原因。

• SYN Flood：SYN Flood是DDoS攻擊經(jīng)典中的經(jīng)典，是最古老和原始的DDoS攻擊。在網(wǎng)絡(luò)發(fā)展初期，SYN Flood攻擊簡直就是DDoS攻擊的代名詞。SYN Flood之所以經(jīng)久不衰，是因?yàn)樗耆辛薉DoS攻擊的攻擊簡單、防御難的特質(zhì)。SYN Flood攻擊使用的是最簡單和常用的用于TCP三次握手的SYN報文，所以他發(fā)起攻擊十分簡單；而且由于SYN報文是正常報文，所以對于單個報文來看防御設(shè)備是不會采取任何措施的。

• UDP Flood：UDP Flood已經(jīng)取代SYN Flood攻擊，成為DDoS攻擊中的“一哥”。其“成功”的原因主要有三點(diǎn)，一是UDP協(xié)議都是無連接的協(xié)議，不提供可靠性和完整性校驗(yàn)，這就成為了攻擊者理想的利用對象；二是UDP協(xié)議種類繁多，五花八門，防御起來難度更大；三也是徹底改變格局的是反射攻擊的流行。傳統(tǒng)UDP攻擊是攻防者帶寬的比拼，誰的帶寬大誰贏得勝利，而反射型的UDP攻擊讓攻防者不再對等，因?yàn)榉瓷涑鰜淼墓袅髁恳h(yuǎn)遠(yuǎn)大于攻擊者投入的流量。

• HTTP Flood：除了兩大傳統(tǒng)巨頭SYN Flood和UDP Flood外，DDoS攻擊榜探花的位置一直是競爭激烈的。HTTP Flood之所以能夠脫穎而出，一是因?yàn)镠TTP協(xié)議應(yīng)用實(shí)在是太廣泛了，他在我們的工作生活中無處不在。二是網(wǎng)頁和應(yīng)用中的漏洞比較容易被攻擊者利用來構(gòu)造HTTP反射類的攻擊。例如在海量訪問的網(wǎng)頁嵌入指向攻擊目標(biāo)網(wǎng)站的惡意javaScript代碼，當(dāng)互聯(lián)網(wǎng)用戶訪問該網(wǎng)頁時，則流量被反射到攻擊目標(biāo)網(wǎng)站。

• DNS Flood：攻擊DNS服務(wù)器的代價小，影響范圍廣，能夠造成恐慌，因此DNS Flood攻擊類型仍占有較大比例，是政治動機(jī)型DDoS攻擊的首選。

再從DDoS攻擊目標(biāo)來看，攻擊目標(biāo)主要為游戲、電子商務(wù)、互聯(lián)網(wǎng)金融、博彩等。大家可以看出這些都是暴利行業(yè)啊，游戲直播，電商購物，P2P理財，足彩體彩都是當(dāng)今利潤最高，競爭最激烈的行業(yè)。因此惡意競爭是目前DDoS攻擊的主要動機(jī)，利潤越高、競爭越激烈的行業(yè)，遭受攻擊的頻率越高。

游戲行業(yè)作為近幾年興起的新興行業(yè)，已經(jīng)成為了DDoS攻擊的重災(zāi)區(qū)。游戲競爭行業(yè)也是競爭最激烈的行業(yè)之一，在線游戲和直播網(wǎng)站，一旦被攻擊，將直接造成玩家掉線，這個損失巨大到可能讓游戲企業(yè)直接面臨死亡。而且游戲行業(yè)用戶基數(shù)大、用戶類型多、在線維護(hù)難度大的特點(diǎn)，也使得游戲行業(yè)成為極易受到攻擊的目標(biāo)行業(yè)。另外，由于很多游戲基于私有協(xié)議開發(fā)，傳統(tǒng)DDoS防御手段在沒有貼合業(yè)務(wù)特性的情況下，防御DDoS攻擊常常面臨較大困難。

最后，華安再來預(yù)測下DDoS攻擊的趨勢?？偨Y(jié)起來主要有4點(diǎn)，如下圖所示。當(dāng)然，每個人心中都有一個哈姆雷特，歡迎大家來共同探討DDoS攻擊的趨勢。

• 攻擊流量越來越大

當(dāng)人們還在津津樂道2014年12月份阿里云遭受的史上最強(qiáng)DDoS攻擊流量達(dá)到453Gb/s時，DDoS的攻擊流量已經(jīng)悄然進(jìn)入500G時代。據(jù)報告顯示，2016年上半年，規(guī)模最大的DDoS攻擊流量已經(jīng)達(dá)到579Gb/s。流量超過100Gb/s的DDoS攻擊274起，流量超過200Gb/s的DDoS攻擊46起。

另外，根據(jù)預(yù)測，2016年底DDoS平均攻擊流量將會達(dá)到1.15Gb/s。不要小看這個數(shù)據(jù)，其實(shí)，11 Gb/s的DDoS攻擊足以使大多數(shù)網(wǎng)絡(luò)組織完全離線。

• 移動攻擊越來越多

隨著智能終端和4G移動網(wǎng)絡(luò)的普及，來自移動端的攻擊越來越多。移動終端的安全防護(hù)能力和用戶安全意識較弱，容易成為DDoS攻擊利用的對象。值得一提的是隨著物聯(lián)網(wǎng)的興起，基于物聯(lián)網(wǎng)協(xié)議SSDP（Simple Service Discovery Protocol）的反射攻擊頻率越來越多，明顯超越NTP、DNS等傳統(tǒng)反射攻擊，成為反射攻擊新寵。SSDP協(xié)議廣泛應(yīng)用于網(wǎng)絡(luò)攝像頭和智能家電，因此SSDP反射攻擊源數(shù)量非常龐大，而且網(wǎng)絡(luò)資源更加豐富。

• 應(yīng)用型攻擊越來越普遍

應(yīng)用層的攻擊將會越來越普遍。據(jù)報告顯示，2015與2014相比，應(yīng)用型攻擊增長了42%。其中HTTP Flood攻擊高達(dá)26%，混合型攻擊高達(dá)40%。

混合型攻擊是指攻擊者同時采取多種類型的攻擊報文來進(jìn)行DDoS攻擊，例如傳輸層與應(yīng)用層相結(jié)合的DDoS攻擊，應(yīng)用層的HTTP Flood大流量攻擊與HTTP慢速小流量滲透攻擊相結(jié)合?；旌闲虳DoS攻擊剛?cè)嵯嗬^，長短結(jié)合，讓普通的DDoS防御設(shè)備難以防范，將成為今后主流的DDoS攻擊。

• 更多從數(shù)據(jù)中心發(fā)起的攻擊

據(jù)報告顯示，由數(shù)據(jù)中心向外發(fā)起的DDoS攻擊呈增長趨勢；數(shù)據(jù)中心服務(wù)器被黑客控制淪為僵尸網(wǎng)絡(luò)的趨勢也與日劇增；超大流量的DDoS攻擊多數(shù)由數(shù)據(jù)中心發(fā)起。由此可見數(shù)據(jù)中心已經(jīng)成為DDoS攻擊的溫床。

同時隨著云計算的快速發(fā)展，互聯(lián)網(wǎng)業(yè)務(wù)越來越集中化，云數(shù)據(jù)中心將面臨比傳統(tǒng)數(shù)據(jù)中心更加嚴(yán)峻的DDoS攻擊考驗(yàn)。主要原因在于云數(shù)據(jù)中心虛擬機(jī)的租戶身份難以有效識別、安全意識薄弱；虛擬機(jī)數(shù)量龐大，業(yè)務(wù)種類多，流量模型差別大，難以做到針對性的防護(hù)。

內(nèi)容來源華為論壇-華安，但本文樣式風(fēng)格由網(wǎng)絡(luò)工程師阿龍辛苦編輯，如需轉(zhuǎn)載本樣式風(fēng)格、字體版權(quán)，請保留出處，否則后果自負(fù)。 僅轉(zhuǎn)載內(nèi)容，無需保留此信息。