恐怖的網(wǎng)絡(luò)攻擊DDoS

先來說說近年來發(fā)生的規(guī)模較大的 DDoS 攻擊

2013年3月歐洲反垃圾郵件Spamhaus遭遇300G攻擊；

2013年8月 中國互聯(lián)網(wǎng)絡(luò)信息中心CNNIC（China Internet Network Information Center）遭遇有史以來最大的DDoS部分.cn域名解析收到影響，導(dǎo)致訪問緩慢或中斷；

2014年2月美國知名知名科技公司Cloudflare遭遇400G的DDoS攻擊，大約78.5萬網(wǎng)站受到影響，其中包括維基百科；

2014年12月部署在阿里云上一家知名游戲公司遭遇截止當(dāng)年最大的DDoS攻擊，攻擊超過14小時(shí)，峰值流量達(dá)到453.8G；

2015年12月英國廣播公司BBC遭遇幾個(gè)小時(shí)的DDoS攻擊，峰值流量達(dá)到602G，在當(dāng)年可以進(jìn)前5的排名了；

2016年5月，不法黑客針對(duì)全球范圍內(nèi)的多家銀行網(wǎng)站發(fā)動(dòng)了一系列的 DDoS攻擊。導(dǎo)致約旦、韓國以及摩納哥等央行網(wǎng)絡(luò)系統(tǒng)陷入了半小時(shí)的癱瘓狀態(tài)，無法進(jìn)行正常工作。

2016年10月 美國最主要的DNS服務(wù)商Dyn遭遇大規(guī)模的DDoS攻擊，此次攻擊約超過一千萬IP源，導(dǎo)致美國東海岸大面積斷網(wǎng)；

2016年11月，俄羅斯五家主流銀行遭遇長達(dá)兩天的DDoS攻擊。來自 30個(gè)國家 2.4萬臺(tái)計(jì)算機(jī)構(gòu)成的僵尸網(wǎng)絡(luò)持續(xù)不斷發(fā)動(dòng)強(qiáng)大的 DDOS攻擊。

2018年3月， Github遭受了迄今為止記錄的最大的 DDoS攻擊。攻擊者通過公共互聯(lián)網(wǎng)發(fā)送小字節(jié)的基于 UDP的數(shù)據(jù)包請(qǐng)求到配置錯(cuò)誤的 memcached服務(wù)器，作為回應(yīng)， memcached服務(wù)器通過向 Github發(fā)送大量不成比例的響應(yīng)，形成巨大規(guī)模的DDoS攻擊。

DDoS攻擊究竟是什么 

舉個(gè)例子會(huì)更加形象點(diǎn)。我開了一家有五十個(gè)座位的重慶火鍋店，由于用料上等，童叟無欺。平時(shí)門庭若市，生意特別紅火，而對(duì)面二狗家的火鍋店卻無人問津。二狗為了對(duì)付我，想了一個(gè)辦法，叫了五十個(gè)人來我的火鍋店坐著卻不點(diǎn)菜，讓別的客人無法吃飯。上面這個(gè)例子講的就是典型的 DDoS 攻擊，全稱是 DistributedDenialofService，翻譯成中文就是分布式拒絕服務(wù)。一般來說是指攻擊者利用“肉雞”對(duì)目標(biāo)網(wǎng)站在較短的時(shí)間內(nèi)發(fā)起大量請(qǐng)求，大規(guī)模消耗目標(biāo)網(wǎng)站的主機(jī)資源，讓它無法正常服務(wù)。在線游戲、互聯(lián)網(wǎng)金融等領(lǐng)域是 DDoS 攻擊的高發(fā)行業(yè)。

DDoS的危害

網(wǎng)站無法訪問、消耗大量帶寬、內(nèi)存，處理方法無非就那么幾種：

1.拿出你的money，買帶寬；

2.封ip，寧可錯(cuò)“殺”一千，不可放過一個(gè)；

3.找出來誰干的，弄丫的（提醒：不要違法哦）

如果網(wǎng)站比較小的站長基本就是沒辦法，DDoS一般都是來勢(shì)洶洶，基本不給你反應(yīng)的時(shí)間，大量的流量突然涌進(jìn)你的網(wǎng)站，根本無法預(yù)知。

 DDoS攻擊有哪些 

1.ICMP Flood

ICMP（Internet控制報(bào)文協(xié)議）用于在 IP主機(jī)、路由器之間傳遞控制消息，控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息，雖然并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。通過對(duì)目標(biāo)系統(tǒng)發(fā)送海量數(shù)據(jù)包，就可以令目標(biāo)主機(jī)癱瘓，如果大量發(fā)送就成了洪水攻擊。

2.UDP Flood

UDP協(xié)議是一種無連接的服務(wù)，在 UDPFlood 中，攻擊者通常發(fā)送大量偽造源 IP地址的小 UDP包沖擊 DNS服務(wù)器或 Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100kbps的 UDPFlood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。

上述傳統(tǒng)的流量型攻擊方式技術(shù)含量較低，傷人一千自損八百，攻擊效果通常依賴受控主機(jī)本身的網(wǎng)絡(luò)性能，而且容易被查到攻擊源頭，單獨(dú)使用的情況已不常見。于是，具有四兩拔千斤效果的反射型放大攻擊就出現(xiàn)了。

4.NTP Flood

NTP是標(biāo)準(zhǔn)的基于 UDP協(xié)議傳輸?shù)木W(wǎng)絡(luò)時(shí)間同步協(xié)議，由于 UDP協(xié)議的無連接性，方便偽造源地址。攻擊者使用特殊的數(shù)據(jù)包，也就是 IP地址指向作為反射器的服務(wù)器，源 IP地址被偽造成攻擊目標(biāo)的 IP，反射器接收到數(shù)據(jù)包時(shí)就被騙了，會(huì)將響應(yīng)數(shù)據(jù)發(fā)送給被攻擊目標(biāo)，耗盡目標(biāo)網(wǎng)絡(luò)的帶寬資源。一般的 NTP服務(wù)器都有很大的帶寬，攻擊者可能只需要 1Mbps的上傳帶寬欺騙 NTP服務(wù)器，就可給目標(biāo)服務(wù)器帶來幾百上千 Mbps的攻擊流量。

因此，“問-答”方式的協(xié)議都可以被反射型攻擊利用，將質(zhì)詢數(shù)據(jù)包的地址偽造為攻擊目標(biāo)地址，應(yīng)答的數(shù)據(jù)包就會(huì)都被發(fā)送至目標(biāo)，一旦協(xié)議具有遞歸效果，流量就被顯著放大了，堪稱一種“借刀殺人”的流量型攻擊。

5.SYN Flood

這是一種利用 TCP協(xié)議缺陷，發(fā)送大量偽造的 TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡（ CPU滿負(fù)荷或內(nèi)存不足）的攻擊方式。建立 TCP連接，需要三次握手——客戶端發(fā)送 SYN報(bào)文，服務(wù)端收到請(qǐng)求并返回報(bào)文表示接受，客戶端也返回確認(rèn)，完成連接。

SYNFlood 就是用戶向服務(wù)器發(fā)送報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出應(yīng)答報(bào)文后就無法收到客戶端的確認(rèn)報(bào)文（第三次握手無法完成），這時(shí)服務(wù)器端一般會(huì)重試并等待一段時(shí)間后再丟棄這個(gè)未完成的連接。一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待一會(huì)兒并不是大問題，但惡意攻擊者大量模擬這種情況，服務(wù)器端為了維護(hù)數(shù)以萬計(jì)的半連接而消耗非常多的資源，結(jié)果往往是無暇理睬客戶的正常請(qǐng)求，甚至崩潰。從正�？蛻舻慕嵌瓤磥恚�網(wǎng)站失去了響應(yīng)，無法訪問。

6.CC 攻擊

CC攻擊是目前應(yīng)用層攻擊的主要手段之一，借助代理服務(wù)器生成指向目標(biāo)系統(tǒng)的合法請(qǐng)求，實(shí)現(xiàn)偽裝和 DDoS。我們都有這樣的體驗(yàn)，訪問一個(gè)靜態(tài)頁面，即使人多也不需要太長時(shí)間，但如果在高峰期訪問論壇、貼吧等，那就很慢了，因?yàn)榉��?wù)器系統(tǒng)需要到數(shù)據(jù)庫中判斷訪問者否有讀帖、發(fā)言等權(quán)限。訪問的人越多，論壇的頁面越多，數(shù)據(jù)庫壓力就越大，被訪問的頻率也越高，占用的系統(tǒng)資源也就相當(dāng)可觀。

CC攻擊就充分利用了這個(gè)特點(diǎn)，模擬多個(gè)正常用戶不停地訪問如論壇這些需要大量數(shù)據(jù)操作的頁面，造成服務(wù)器資源的浪費(fèi)， CPU長時(shí)間處于 100%，永遠(yuǎn)都有處理不完的請(qǐng)求，網(wǎng)絡(luò)擁塞，正常訪問被中止。這種攻擊技術(shù)性含量高，見不到真實(shí)源 IP，見不到特別大的異常流量，但服務(wù)器就是無法進(jìn)行正常連接。

之所以選擇代理服務(wù)器是因?yàn)榇�理可以有效地隱藏自己的身份，也可以繞開防火墻，因?yàn)榛�本上所有的防火墻都�?huì)檢測(cè)并發(fā)的 TCP/IP連接數(shù)目，超過一定數(shù)目一定頻率就會(huì)被認(rèn)為是 Connection-Flood。當(dāng)然也可以使用肉雞來發(fā)動(dòng) CC攻擊，攻擊者使用 CC攻擊軟件控制大量肉雞發(fā)動(dòng)攻擊，肉雞可以模擬正常用戶訪問網(wǎng)站的請(qǐng)求偽造成合法數(shù)據(jù)包，相比前者來說更難防御。

CC攻擊是針對(duì) Web服務(wù)在第七層協(xié)議發(fā)起的攻擊，在越上層協(xié)議上發(fā)動(dòng) DDoS攻擊越難以防御，上層協(xié)議與業(yè)務(wù)關(guān)聯(lián)愈加緊密，防御系統(tǒng)面臨的情況也會(huì)更復(fù)雜。比如 CC攻擊中最重要的方式之一 HTTPFlood，不僅會(huì)直接導(dǎo)致被攻擊的 Web前端響應(yīng)緩慢，對(duì)承載的業(yè)務(wù)造成致命的影響，還可能會(huì)引起連鎖反應(yīng)，間接攻擊到后端的Java等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫服務(wù)。

由于 CC攻擊成本低、威力大， 80%的 DDoS攻擊都是 CC攻擊。帶寬資源嚴(yán)重被消耗，網(wǎng)站癱瘓；CPU、內(nèi)存利用率飆升，主機(jī)癱瘓；瞬間快速打擊，無法快速響應(yīng)。

7.DNS Query Flood

DNS作為互聯(lián)網(wǎng)的核心服務(wù)之一，自然也是 DDoS攻擊的一大主要目標(biāo)。DNSQueryFlood采用的方法是操縱大量傀儡機(jī)器，向目標(biāo)服務(wù)器發(fā)送大量的域名解析請(qǐng)求。服務(wù)器在接收到域名解析請(qǐng)求時(shí)，首先會(huì)在服務(wù)器上查找是否有對(duì)應(yīng)的緩存，若查找不到且該域名無法直接解析時(shí)，便向其上層 DNS服務(wù)器遞歸查詢域名信息。

通常，攻擊者請(qǐng)求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)上根本不存在的域名，由于在本地?zé)o法查到對(duì)應(yīng)的結(jié)果，服務(wù)器必須使用遞歸查詢向上層域名服務(wù)器提交解析請(qǐng)求，引起連鎖反應(yīng)。解析過程給服務(wù)器帶來很大的負(fù)載，每秒鐘域名解析請(qǐng)求超過一定的數(shù)量就會(huì)造成 DNS服務(wù)器解析域名超時(shí)。

根據(jù)微軟的統(tǒng)計(jì)數(shù)據(jù)，一臺(tái) DNS服務(wù)器所能承受的動(dòng)態(tài)域名查詢的上限是每秒鐘 9000個(gè)請(qǐng)求。而一臺(tái) P3的 PC機(jī)上可以輕易地構(gòu)造出每秒鐘幾萬個(gè)域名解析請(qǐng)求，足以使一臺(tái)硬件配置極高的 DNS服務(wù)器癱瘓，由此可見 DNS服務(wù)器的脆弱性。

8.混合攻擊

在實(shí)際情況中，攻擊者只求達(dá)到打垮對(duì)方的目的，發(fā)展到現(xiàn)在，高級(jí)攻擊者已經(jīng)不傾向使用單一的攻擊手段作戰(zhàn)了，而是根據(jù)目標(biāo)系統(tǒng)的具體環(huán)境靈動(dòng)組合，發(fā)動(dòng)多種攻擊手段，既具備了海量的流量，又利用了協(xié)議、系統(tǒng)的缺陷，盡其所能地展開攻勢(shì)。

對(duì)于被攻擊目標(biāo)來說，需要面對(duì)不同協(xié)議、不同資源的分布式的攻擊，分析、響應(yīng)和處理的成本就會(huì)大大增加。

如何應(yīng)對(duì)DDoS攻擊 

1.高防服務(wù)器

還是拿重慶火鍋店舉例，高防服務(wù)器就是我給重慶火鍋店增加了兩名保安，這兩名保安可以讓保護(hù)店鋪不受流氓騷擾，并且還會(huì)定期在店鋪周圍巡邏防止流氓騷擾。高防服務(wù)器主要是指能獨(dú)立硬防御 50Gbps 以上的服務(wù)器，能夠幫助網(wǎng)站拒絕服務(wù)攻擊，定期掃描網(wǎng)絡(luò)主節(jié)點(diǎn)等，這東西是不錯(cuò)，就是貴~

2.黑名單

面對(duì)火鍋店里面的流氓，我一怒之下將他們拍照入檔，并禁止他們踏入店鋪，但是有的時(shí)候遇到長得像的人也會(huì)禁止他進(jìn)入店鋪。這個(gè)就是設(shè)置黑名單，此方法秉承的就是“錯(cuò)殺一千，也不放一百”的原則，會(huì)封鎖正常流量，影響到正常業(yè)務(wù)。

3.DDoS 清洗

DDos 清洗，就是我發(fā)現(xiàn)客人進(jìn)店幾分鐘以后，但是一直不點(diǎn)餐，我就把他踢出店里。

DDoS 清洗會(huì)對(duì)用戶請(qǐng)求數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn) DDoS攻擊等異常流量，在不影響正常業(yè)務(wù)開展的情況下清洗掉這些異常流量。

4.CDN加速

CDN加速，我們可以這么理解：為了減少流氓騷擾，我干脆將火鍋店開到了線上，承接外賣服務(wù)，這樣流氓找不到店在哪里，也耍不來流氓了。在現(xiàn)實(shí)中， CDN 服務(wù)將網(wǎng)站訪問流量分配到了各個(gè)節(jié)點(diǎn)中，這樣一方面隱藏網(wǎng)站的真實(shí) IP，另一方面即使遭遇 DDoS 攻擊，也可以將流量分散到各個(gè)節(jié)點(diǎn)中，防止源站崩潰。

5.ddos 高防IP

高防IP是在互聯(lián)網(wǎng)服務(wù)器遭受大流量的DDoS攻擊后導(dǎo)致服務(wù)不可用的情況下，推出的付費(fèi)增值服務(wù)，用戶可以通過配置高防IP，將攻擊流量引流到高防IP，確保源站的穩(wěn)定可靠。

高防IP是指由高防機(jī)房提供的IP段，主要是用于防御互聯(lián)網(wǎng)中DDoS攻擊。在互聯(lián)網(wǎng)世界里，IP相當(dāng)于服務(wù)器的門牌號(hào)，無論是訪問還是管理服務(wù)器，都是通過IP來進(jìn)行。同理，如果一個(gè)網(wǎng)絡(luò)攻擊者想對(duì)目標(biāo)進(jìn)行DDoS攻擊，都需要知道目標(biāo)的IP地址，并使用大量的無效流量數(shù)據(jù)對(duì)該IP的服務(wù)器提交請(qǐng)求,導(dǎo)致服務(wù)器的資源被大量占用，無法對(duì)正確的請(qǐng)求作出響應(yīng)。同時(shí)，這些大量的無效數(shù)據(jù)還會(huì)占用該IP所在服務(wù)器的帶寬資源，造成信息的堵塞。這時(shí)可通過配置高防IP，將攻擊流量引流到高防IP，確保源站的穩(wěn)定正常運(yùn)行。

本文鏈接：http://51huadong.com/cloundnews/11003710.html