攻擊概述

分布式拒絕服務(wù)攻擊（Distributed denial of service attack ，DDoS攻擊）是最常見也是危害極大的一種網(wǎng)絡(luò)攻擊方式。（通過服務(wù)器技術(shù)）處于不同位置的多個攻擊者同時向一個或數(shù)個目標(biāo)發(fā)動攻擊，或者一個攻擊者控制了位于不同位置的多臺機(jī)器并利用這些機(jī)器對受害者同時實(shí)施攻擊。由于攻擊的發(fā)出點(diǎn)是分布在不同地方的，這類攻擊稱為分布式拒絕服務(wù)攻擊，其中的攻擊者可以有多個。

DDoS通過大規(guī)模互聯(lián)網(wǎng)流量淹沒目標(biāo)服務(wù)器或其周邊基礎(chǔ)設(shè)施，以破壞目標(biāo)服務(wù)器、服務(wù)或網(wǎng)絡(luò)正常流量的惡意行為。
DDoS 攻擊利用多臺受損計(jì)算機(jī)系統(tǒng)作為攻擊流量來源以達(dá)到攻擊效果。利用的機(jī)器可以包括計(jì)算機(jī)，也可以包括其他聯(lián)網(wǎng)資源（如 IoT 設(shè)備）。

攻擊示例

據(jù)2022年8月20日新聞報(bào)道：谷歌發(fā)現(xiàn)了一次大規(guī)模的DDoS攻擊，對方嘗試關(guān)閉其CloudArmor客戶服務(wù)，峰值可達(dá)每秒4600萬個請求，規(guī)模相當(dāng)于此前記錄的176.92%。這使它成為了歷史上最大的七層分布式拒絕服務(wù)攻擊。 在高峰期間，這種攻擊可以在10秒內(nèi)實(shí)現(xiàn)Wikipedia的全天訪問量。

2022年1月，網(wǎng)宿科技成功攔截了一次分布式拒絕服務(wù)（DDoS）攻擊，該攻擊帶寬峰值高達(dá)2.09Tbps，創(chuàng)國內(nèi)已知最大記錄。

當(dāng)?shù)貢r間2022年2月15日15時，包括烏克蘭國防部、武裝部隊(duì)等多個軍方網(wǎng)站和銀行的網(wǎng)站遭到大規(guī)模網(wǎng)絡(luò)攻擊而關(guān)閉。烏克蘭安全部門表示，此次攻擊非常強(qiáng)大，為分布式拒絕服務(wù)攻擊（DDoS）。

當(dāng)?shù)貢r間2022年4月1日，卡巴斯基實(shí)驗(yàn)室的數(shù)據(jù)顯示，與2月份相比，俄羅斯公司和企業(yè)網(wǎng)站3月份遭受的分布式拒絕服務(wù)（DDoS）攻擊數(shù)量增長了7倍，最長的一次攻擊持續(xù)時間達(dá)145個小時。遭到攻擊次數(shù)最多的是金融機(jī)構(gòu)的網(wǎng)站，占網(wǎng)絡(luò)攻擊總數(shù)的比例為35%；其次是國家機(jī)關(guān)的網(wǎng)站，占比為33%。目前并未公布俄方遭受的網(wǎng)絡(luò)攻擊具體來自哪些國家或組織

攻擊原理

DDoS的攻擊策略側(cè)重于通過很多“僵尸主機(jī)”（被攻擊者入侵過或可間接利用的主機(jī)）向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源。
也就是說攻擊者利用大量被入侵的網(wǎng)絡(luò)設(shè)備，如 IOT 設(shè)備、個人電腦、服務(wù)器等，向受害者服務(wù)器發(fā)送海量的網(wǎng)絡(luò)流量，影響其正常服務(wù)。
百科：
分布式拒絕服務(wù)攻擊原理分布式拒絕服務(wù)攻擊DDoS是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布的、協(xié)同的大規(guī)模攻擊方式。單一的DoS攻擊一般是采用一對一方式的，它利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷，采用欺騙和偽裝的策略來進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。與DoS攻擊由單臺主機(jī)發(fā)起攻擊相比較，分布式拒絕服務(wù)攻擊DDoS是借助數(shù)百、甚至數(shù)千臺被入侵后安裝了攻擊進(jìn)程的主機(jī)同時發(fā)起的集團(tuán)行為。
一個完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標(biāo)四部分組成。主控端和代理端分別用于控制和實(shí)際發(fā)起攻擊，其中主控端只發(fā)布命令而不參與實(shí)際的攻擊，代理端發(fā)出DDoS的實(shí)際攻擊包。對于主控端和代理端的計(jì)算機(jī)，攻擊者有控制權(quán)或者部分控制權(quán)．它在攻擊過程中會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。真正的攻擊者一旦將攻擊的命令傳送到主控端，攻擊者就可以關(guān)閉或離開網(wǎng)絡(luò)．而由主控端將命令發(fā)布到各個代理主機(jī)上。這樣攻擊者可以逃避追蹤。每一個攻擊代理主機(jī)都會向目標(biāo)主機(jī)發(fā)送大量的服務(wù)請求數(shù)據(jù)包，這些數(shù)據(jù)包經(jīng)過偽裝，無法識別它的來源，而且這些數(shù)據(jù)包所請求的服務(wù)往往要消耗大量的系統(tǒng)資源，造成目標(biāo)主機(jī)無法為用戶提供正常服務(wù)。甚至導(dǎo)致系統(tǒng)崩潰。

DDoS攻擊流程

攻擊者進(jìn)行一次DDoS攻擊大概需要經(jīng)過了解攻擊目標(biāo)、攻占傀儡機(jī)、實(shí)際攻擊三個主要步驟

1、了解攻擊目標(biāo)
主要關(guān)心的內(nèi)容包括被攻擊目標(biāo)的主機(jī)數(shù)目、地址情況。目標(biāo)主機(jī)的配置、性能、目標(biāo)的帶寬等等。對于DDoS攻擊者來說，攻擊互聯(lián)網(wǎng)上的某個站點(diǎn)，有一個重點(diǎn)就是確定到底有多少臺主機(jī)在支持這個站點(diǎn)，一個大的網(wǎng)站可能有很多臺主機(jī)利用負(fù)載均衡技術(shù)提供服務(wù)。所有這些攻擊目標(biāo)的信息都關(guān)系到后面兩個階段的實(shí)施目標(biāo)和策略，如果盲目的發(fā)動DDoS攻擊就不能保證攻擊目的的完成，還可能過早的暴露攻擊者的身份，所以了解攻擊目標(biāo)是有經(jīng)驗(yàn)的攻擊者必經(jīng)的步驟。
2、攻占傀儡主機(jī)就是控制盡可能多的機(jī)器，然后安裝相應(yīng)的攻擊程序。
在主控機(jī)上安裝控制攻擊的程序，而攻擊機(jī)則安裝DDoS攻擊的發(fā)包程序。攻擊者最感興趣，也最有可能成為別人的傀儡主機(jī)的機(jī)器包括那些鏈路狀態(tài)好、性能好同時安全管理水平差的主機(jī)。攻擊者一般會利用已有的或者未公布的一些系統(tǒng)或者應(yīng)用軟件的漏洞．取得一定的控制權(quán)，起碼可以安裝攻擊實(shí)施所需要的程序，更厲害的可能還會取得最高控制權(quán)、留下后門等等。在早期的DDoS攻擊過程中，攻占傀儡主機(jī)這一步主要是攻擊者自己手動完成的，親自掃描網(wǎng)絡(luò)，發(fā)現(xiàn)安全性比較差的主機(jī)，將其攻占并且安裝攻擊程序。但是后來隨著DDoS攻擊和蠕蟲的融合，攻占傀儡機(jī)變成了一個自動化的過程，攻擊者只要將蠕蟲放入網(wǎng)絡(luò)中，蠕蟲就會在不斷擴(kuò)散中不停地攻占主機(jī)，這樣所能聯(lián)合的攻擊機(jī)將變得非常巨大，DDoS攻擊的威力更大。
3、DDoS攻擊的最后一個階段就是實(shí)際的攻擊過程，攻擊者通過主控機(jī)向攻擊機(jī)發(fā)出攻擊指令，或者按照原先設(shè)定好的攻擊時間和目標(biāo)，攻擊機(jī)不停的向目標(biāo)或者反射服務(wù)器發(fā)送大量的攻擊包，來吞沒被攻擊者，達(dá)到拒絕服務(wù)的最終目的。
和前兩個過程相比，實(shí)際攻擊過程倒是最簡單的一個階段，一些有經(jīng)驗(yàn)的攻擊者可能還會在攻擊的同時通過各種手段檢查攻擊效果，甚至在攻擊過程中動態(tài)調(diào)整攻擊策略，盡可能清除在主控機(jī)和攻擊機(jī)上留下的蛛絲馬跡。

DDoS攻擊方式

一種服務(wù)需要面向大眾就需要提供用戶訪問接口，這些接口恰恰就給了黑客有可乘之機(jī)，如：可以利用 TCP/IP 協(xié)議握手缺陷消耗服務(wù)端的鏈接資源，可以利用 UDP 協(xié)議無狀態(tài)的機(jī)制偽造大量的 UDP 數(shù)據(jù)包阻塞通信信道…… 可以說，互聯(lián)網(wǎng)的世界自誕生之日起就不缺乏被 DDoS 利用的攻擊點(diǎn)，從 TCP/IP 協(xié)議機(jī)制到 CC、DNS、NTP 反射類攻擊，更有甚者利用各種應(yīng)用漏洞發(fā)起更高級更精確的攻擊。按照類型分類：

• 資源消耗類攻擊
  資源消耗類是比較典型的 DDoS 攻擊，最具代表性的包括：Syn Flood、Ack Flood、UDP
  • Flood。這類攻擊的目標(biāo)很簡單，就是通過大量請求消耗正常的帶寬和協(xié)議棧處理資源的能力，從而達(dá)到服務(wù)端無法正常工作的目的。
  • Syn Flood：SYN- Flood 攻擊是當(dāng)前網(wǎng)絡(luò)上常見的 DDoS 攻擊，它就是利用了 TCP 協(xié)議實(shí)現(xiàn)上的一個缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量 的偽造源地址的攻擊報(bào)文，就可能造成目標(biāo)服務(wù)器中的半開連接隊(duì)列被占滿，從而阻止其他合法用戶進(jìn)行訪問。這種攻擊早在 1996 年就被發(fā)現(xiàn)，但至今仍然顯示 出強(qiáng)大的生命力。很多操作系統(tǒng)，甚至防火墻、路由器都無法有效地防御這種攻擊，而且由于它可以方便地偽造源地址，追查起來非常困難。它的數(shù)據(jù)包特征通常 是，源發(fā)送了大量的 SYN 包，并且缺少三次握手的最后一步握手 ACK 回復(fù)。
  • Syn Flood原理：攻擊者首先偽造地址對 服務(wù)器發(fā)起 SYN 請求，服務(wù)器回應(yīng) (SYN+ACK) 包，而真實(shí)的 IP 會認(rèn)為，我沒有發(fā)送請求，不作回應(yīng)。服務(wù) 器沒有收到回應(yīng)，這樣的話，服務(wù)器不知 道 (SYN+ACK) 是否發(fā)送成功，默認(rèn)情況下會重試 5 次（tcp_syn_retries）。這樣的話，對于服務(wù)器的內(nèi)存，帶寬都有很大的消耗。攻擊者 如果處于公網(wǎng)，可以偽造 IP 的話，對于服務(wù)器就很難根據(jù) IP 來判斷攻擊者，給防護(hù)帶來很大的困難。
• 服務(wù)消耗性攻擊
  相比資源消耗類攻擊，服務(wù)消耗類攻擊不需要太大的流量，它主要是針對服務(wù)的特點(diǎn)進(jìn)行精確定點(diǎn)打擊，如 web 的 CC，數(shù)據(jù)服務(wù)的檢索，文件服務(wù)的下載等。這類攻擊往往不是為了擁塞流量通道或協(xié)議處理通道，它們是讓服務(wù)端始終處理高消耗型的業(yè)務(wù)的忙碌狀態(tài)，進(jìn)而無法對正常業(yè)務(wù)進(jìn)行響應(yīng)
  • web 的CC攻擊：當(dāng)一個網(wǎng)頁訪問的人數(shù)特別多的時候，打開網(wǎng)頁就慢了，CC 就是模擬多個用戶，多少線程就是多少用戶，不停地進(jìn)行訪問那些需要大量數(shù)據(jù)操作，就是需要大量 CPU 時間的頁面，造成服務(wù)器資源的浪費(fèi)，CPU 長時間處于 100%，永遠(yuǎn)都有處理不完的連接直至就網(wǎng)絡(luò)擁塞，正常的訪問被中止。
• 反射類攻擊
  反射攻擊也叫放大攻擊，該類攻擊以 UDP 協(xié)議為主，一般請求回應(yīng)的流量遠(yuǎn)遠(yuǎn)大于請求本身流量的大小。攻擊者通過流量被放大的特點(diǎn)以較小的流量帶寬就可以制造出大規(guī)模的流量源，從而對目標(biāo)發(fā)起攻擊。反射類攻擊嚴(yán)格意義上來說不算是攻擊的一種，它只是利用某些服務(wù)的業(yè)務(wù)特征來實(shí)現(xiàn)用更小的代價(jià)發(fā)動 Flood 攻擊

補(bǔ)充：

• 可以通過IP Spoofing的攻擊方式來進(jìn)行網(wǎng)絡(luò)攻擊，它是一種IP欺騙攻擊，能夠通過向服務(wù)端發(fā)送虛假的包來欺騙服務(wù)器的做法。具體說，就是將包中的源IP地址設(shè)置為不存在或不合法的值。一旦服務(wù)器接收到這個包，它將返回接收請求包，但事實(shí)上，這個包永遠(yuǎn)不會返回到的計(jì)算機(jī)。這種做法使服務(wù)器必須打開自己的監(jiān)聽端口不斷等待，從而浪費(fèi)系統(tǒng)各方面的資源。
• 可以通過LANDattack的攻擊方式來進(jìn)行網(wǎng)絡(luò)攻擊，攻擊原理為：網(wǎng)絡(luò)攻擊者可向目標(biāo)機(jī)發(fā)送一個SYN的TCP包，包中的源地址被偽造成目標(biāo)機(jī)的地址。目標(biāo)機(jī)收到包后，會向自己發(fā)送一個SYN+ACK的TCP包。然后，目標(biāo)機(jī)將ACK包發(fā)送給自己，這樣就可以自己與自己建立空連接。這個空連接會一直持續(xù)，直到超時。當(dāng)目標(biāo)機(jī)被這樣大量欺騙，建立大量空連接，會導(dǎo)致被攻擊的機(jī)器死循環(huán)，最終耗盡資源而死機(jī)。
• 可以通過ICMP floods的攻擊方式來進(jìn)行網(wǎng)絡(luò)攻擊，這類攻擊方式是通過向未良好設(shè)置的路由器發(fā)送廣播信息占用系統(tǒng)資源的做法。該攻擊可在短時間內(nèi)向目的主機(jī)發(fā)送大量ping包，消耗主機(jī)資源，主機(jī)資源耗盡后就會癱瘓或者無法提供其他服務(wù)。
• 網(wǎng)絡(luò)攻擊可以通過Application的攻擊進(jìn)行。這種攻擊方法主要是針對應(yīng)用軟件層，高于OSI。它是以大量消耗系統(tǒng)資源為目的，通過向IIS這樣的網(wǎng)絡(luò)服務(wù)程序提出無節(jié)制的資源申請來迫害正常的網(wǎng)絡(luò)服務(wù)。

具體到某一攻擊：
1、SYN Flood攻擊
SYN Flood攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的DDoS攻擊，它利用了TCP協(xié)議實(shí)現(xiàn)上的一個缺陷。通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報(bào)文，就可能造成目標(biāo)服務(wù)器中的半開連接隊(duì)列被占滿，從而阻止其他合法用戶進(jìn)行訪問。
2、UDP Flood攻擊
UDP Flood是日漸猖厥的流量型DDoS攻擊，原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。由于UDP協(xié)議是一種無連接的服務(wù)，在UDP Flood攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。
3、ICMP Flood攻擊
ICMP Flood攻擊屬于流量型的攻擊方式，是利用大的流量給服務(wù)器帶來較大的負(fù)載，影響服務(wù)器的正常服務(wù)。由于目前很多防火墻直接過濾ICMP報(bào)文。因此ICMP Flood出現(xiàn)的頻度較低。
4、Connection Flood攻擊
Connection Flood是典型的利用小流量沖擊大帶寬網(wǎng)絡(luò)服務(wù)的攻擊方式，這種攻擊的原理是利用真實(shí)的IP地址向服務(wù)器發(fā)起大量的連接。并且建立連接之后很長時間不釋放，占用服務(wù)器的資源，造成服務(wù)器上殘余連接(WAIT狀態(tài))過多，效率降低，甚至資源耗盡，無法響應(yīng)其他客戶所發(fā)起的鏈接。
5、HTTP Get攻擊
這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫資源的調(diào)用。這種攻擊的特點(diǎn)是可以繞過普通的防火墻防護(hù)，可通過Proxy代理實(shí)施攻擊，缺點(diǎn)是攻擊靜態(tài)頁面的網(wǎng)站效果不佳，會暴露攻擊者的lP地址。
6、UDP DNS Query Flood攻擊
UDP DNS Query Flood攻擊采用的方法是向被攻擊的服務(wù)器發(fā)送大量的域名解析請求，通常請求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)世界上根本不存在的域名。域名解析的過程給服務(wù)器帶來了很大的負(fù)載，每秒鐘域名解析請求超過一定的數(shù)量就會造成DNS服務(wù)器解析域名超時。

DDoS攻擊特點(diǎn)

分布式拒絕服務(wù)攻擊可以使很多的計(jì)算機(jī)在同一時間遭受到攻擊，使攻擊的目標(biāo)無法正常使用。
不同于其他惡意篡改數(shù)據(jù)或劫持類攻擊，DDoS 簡單粗暴，可以達(dá)到直接摧毀目標(biāo)的目的。另外，相對其他攻擊手段 DDoS 的技術(shù)要求和發(fā)動攻擊的成本很低，只需要購買部分服務(wù)器權(quán)限或控制一批肉雞即可，而且攻擊相應(yīng)速度很快，攻擊效果可視。另一方面，DDoS 具有攻擊易防守難的特征，服務(wù)提供商為了保證正常客戶的需求需要耗費(fèi)大量的資源才能和攻擊發(fā)起方進(jìn)行對抗。這些特點(diǎn)使得 DDoS 成為黑客們手中的一把很好使的利劍，而且所向霹靂。
從另一個方面看，DDoS 雖然可以侵蝕帶寬或資源，迫使服務(wù)中斷，但這遠(yuǎn)遠(yuǎn)不是黑客的正真目的。所謂沒有買賣就沒有殺害，DDoS 只是黑客手中的一枚核武器，他們的目的要么是敲詐勒索、要么是商業(yè)競爭、要么是要表達(dá)政治立場。在這種黑色利益的驅(qū)使下，越來越多的人參與到這個行業(yè)并對攻擊手段進(jìn)行改進(jìn)升級，致使 DDoS 在互聯(lián)網(wǎng)行業(yè)愈演愈烈，并成為全球范圍內(nèi)無法攻克的一個頑疾。

如何識別 DDoS 攻擊

DDoS的表現(xiàn)形式主要有兩種
一種為流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機(jī)；
另一種為資源耗盡攻擊，主要是針對服務(wù)器主機(jī)的攻擊，即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。
當(dāng)被DDoS攻擊時，主要表現(xiàn)為：

• (1)被攻擊主機(jī)上有大量等待的TCP連接。
• (2)網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假。
• (3)制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊。
• (4)利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請求，使受害主機(jī)無法及時處理所有正常請求。
• (5)嚴(yán)重時會造成系統(tǒng)死機(jī)。

可流量分析工具可以幫助您發(fā)現(xiàn) DDoS 攻擊的一些明顯跡象：

• 來自單個 IP 地址或 IP 范圍的可疑流量
• 來自共享單個行為特征（例如設(shè)備類型、地理位置或 Web 瀏覽器版本）的用戶的大量流量
• 對單個頁面或端點(diǎn)的請求數(shù)量出現(xiàn)不明原因的激增
• 奇怪的流量模式，例如一天中零碎時間上的激增或看似不自然的模式（例如，每 10 分鐘出現(xiàn)一次激增）

常見 DDoS 攻擊類型

針對OSI七層模型
乎所有 DDoS 攻擊都涉及用流量淹沒目標(biāo)設(shè)備或網(wǎng)絡(luò)，攻擊者可能利用一種或多種不同的攻擊手段，也可能根據(jù)目標(biāo)采取的防范措施循環(huán)使用多種攻擊手段。

網(wǎng)絡(luò)層攻擊

內(nèi)存緩存DDoS

洪水攻擊。

在洪水攻擊中。傀儡機(jī)向受害者系統(tǒng)發(fā)送大量的數(shù)據(jù)流為了充塞受害者系統(tǒng)的帶寬，影響小的則降低受害者提供的服務(wù)，影響大的則使整個網(wǎng)絡(luò)帶寬持續(xù)飽和，以至于網(wǎng)絡(luò)服務(wù)癱瘓。典型的洪水攻擊有UDP洪水攻擊和ICMP洪水攻擊。

• UDP泛洪攻擊
  
  1、服務(wù)器首先檢查是否有任何當(dāng)前偵聽指定端口請求的程序正在運(yùn)行。
  2、如果該端口上沒有程序正在接收數(shù)據(jù)包，則服務(wù)器將以ICMP（ping）數(shù)據(jù)包作為相應(yīng)以告知發(fā)送目標(biāo)不可達(dá)。
• ICMP泛洪
  
  Ping洪水的破壞效果與對目標(biāo)服務(wù)發(fā)出的請求數(shù)量成正比。

擴(kuò)大攻擊。

擴(kuò)大攻擊分為兩種，一種是利用廣播lP地址的特性，一種是利用反射體來發(fā)動攻擊。前一種攻擊者是利用了廣播IP地址的特性來擴(kuò)大和映射攻擊，導(dǎo)致路由器將數(shù)據(jù)包發(fā)送到整個網(wǎng)絡(luò)的廣播地址列表中的所有的廣播IP地址。這些惡意的流量將減少受害者系統(tǒng)可提供的帶寬。典型的擴(kuò)大攻擊有Smurf和Fraggle攻擊。

• DNS放大攻擊
  
  請求包較小，響應(yīng)包非常大，黑客使用偽造的請求包請求DNS響應(yīng)，IP改為受害者IP。DNS服務(wù)器向受害者發(fā)送大量的包導(dǎo)致其網(wǎng)絡(luò)被虛假流量堵塞。

4、畸形數(shù)據(jù)包攻擊。

攻擊者通過向受害者發(fā)送不正確的IP地址的數(shù)據(jù)包，導(dǎo)致受害系統(tǒng)崩潰。畸形數(shù)據(jù)包攻擊可分為兩種類型：IP地址攻擊和IP數(shù)據(jù)包屬性攻擊。

傳輸層攻擊

利用協(xié)議的攻擊，該類攻擊則是利用某些協(xié)議的特性或者利用了安裝在受害者機(jī)器上的協(xié)議中存在的漏洞來耗盡它的大量資源。典型的利用協(xié)議攻擊的例子是TCP SYN攻擊。
通常通過TCP協(xié)議的漏洞，對目標(biāo)服務(wù)器發(fā)送大量數(shù)據(jù)流，使其網(wǎng)絡(luò)帶寬飽和或連接資源耗盡，以至于網(wǎng)絡(luò)癱瘓，典型的網(wǎng)絡(luò)攻擊有。
SYN泛洪攻擊
ACK泛洪攻擊

• SYN泛洪
  
  接收到了客戶端的SYN包并且發(fā)送了ACK時的狀態(tài)變?yōu)镾YN_RECV。再進(jìn)一步接收到客戶端的ACK就進(jìn)入ESTABLISHED狀態(tài)，但永遠(yuǎn)接受不到這個客戶端ACK確認(rèn)包。
• ACK泛洪攻擊
  
  利用合法和非法ACK數(shù)據(jù)包看起來基本相同的特性，進(jìn)行DDOS攻擊，不易被外部安全設(shè)備攔截的特性，針對服務(wù)器和防火墻的攻擊。

應(yīng)用層攻擊

通常通過HTTP協(xié)議或者容器的漏洞，對目標(biāo)服務(wù)器發(fā)送少量數(shù)據(jù)流，使其連接資源耗盡，從而拒絕服務(wù)，典型的應(yīng)用層攻擊有。

• HTTP泛洪（CC攻擊）；
  
  黑客發(fā)送正常的（GET POST）請求，針對于服務(wù)器需要消耗大量資源的頁面，如帳號登錄，搜索等功能，造成服務(wù)器資源耗盡，無法響應(yīng)正常連接。

• Slowloris攻擊：
  
  在正常的HTTP包頭中，是以兩個CLRF（\r\n）表示HTTP Headers部分結(jié)束的。
  去掉一個（\r\n）表示頭部未結(jié)束，客戶端再發(fā)送任意頭部保持連接，耗盡服務(wù)器連接數(shù)，造成拒絕服務(wù)。

• HTTP Post DDOS：
  
  與Sloworis相似，指定一個比較大的content-length，然后以很低的速度發(fā)包，如一分鐘一個字節(jié)保持住連接。
  當(dāng)多臺機(jī)器這樣連接，耗盡服務(wù)器連接資源，造成拒絕服務(wù)。

基于自動化程度分類

1、手工的DDoS攻擊。
早期的DDoS攻擊全是采用手動配置的，即發(fā)動DDoS攻擊時，掃描遠(yuǎn)端有漏洞的計(jì)算機(jī)，侵入它們并且安裝代碼全是手動完成的。
2、半自動化的DDoS攻擊。
在半自動化的攻擊中，DDoS攻擊屬于主控端一代理端的攻擊模型，攻擊者用自動化的Scripts來掃描，主控端的機(jī)器對主控端和代理端之間進(jìn)行協(xié)商攻擊的類型、受害者的地址、何時發(fā)起攻擊等信息由進(jìn)行詳細(xì)記錄。
3、自動化的DDoS攻擊。
在這類攻擊中。攻擊者和代理端機(jī)器之間的通信是絕對不允許的。這類攻擊的攻擊階段絕大部分被限制用一個單一的命令來實(shí)現(xiàn)，攻擊的所有特征，例如攻擊的類型，持續(xù)的時間和受害者的地址在攻擊代碼中都預(yù)先用程序?qū)崿F(xiàn)。

基于攻擊速率分類

DDoS攻擊從基于速率上進(jìn)行分類，可以分為持續(xù)速率和可變速率的攻擊。持續(xù)速率的攻擊是指只要開始發(fā)起攻擊，就用全力不停頓也不消減力量。像這種攻擊的影響是非常快的。可變速率的攻擊，從名字就可以看出，用不同的攻擊速率，基于這種速率改變的機(jī)制，可以把這種攻擊分為增加速率和波動的速率。

基于影響力進(jìn)行分類

DDoS攻擊從基于影響力方面可以分為網(wǎng)絡(luò)服務(wù)徹底崩潰和降低網(wǎng)絡(luò)服務(wù)的攻擊。服務(wù)徹底崩潰的攻擊將導(dǎo)致受害者的服務(wù)器完全拒絕對客戶端提供服務(wù)。降低網(wǎng)絡(luò)服務(wù)的攻擊，消耗受害者系統(tǒng)的一部分資源，這將延遲攻擊被發(fā)現(xiàn)的時間，同時對受害者造成一定的破壞。

基于入侵目標(biāo)分類

DDoS攻擊從基于入侵目標(biāo)，可以將DDoS攻擊分為帶寬攻擊和連通性攻擊，帶寬攻擊通過使用大量的數(shù)據(jù)包來淹沒整個網(wǎng)絡(luò)，使得有效的網(wǎng)絡(luò)資源被浪費(fèi)，合法用戶的請求得不到響應(yīng)，大大降低了效率。而連通性攻擊是通過發(fā)送大量的請求來使的計(jì)算機(jī)癱瘓，所有有效的操作系統(tǒng)資源被耗盡，導(dǎo)致計(jì)算機(jī)不能夠再處理合法的用戶請求。

基于攻擊路線分類

1、直接攻擊：攻擊者和主控端通信，主控端接到攻擊者的命令后，再控制代理端向受害者發(fā)動攻擊數(shù)據(jù)流。代理端向受害者系統(tǒng)發(fā)送大量的偽IP地址的網(wǎng)絡(luò)數(shù)據(jù)流，這樣攻擊者很難被追查到。
2、反復(fù)式攻擊通過利用反射體，發(fā)動更強(qiáng)大的攻擊流。反射體是任何一臺主機(jī)只要發(fā)送一個數(shù)據(jù)包就能收到一個數(shù)據(jù)包，反復(fù)式攻擊就是攻擊者利用中間的網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)動攻擊。

基于攻擊特征分類

從攻擊特征的角度，可以將DDoS攻擊分為攻擊行為特征可提取和攻擊行為特征不可提取兩類。攻擊行為特征可提取的DDoS攻擊又可以細(xì)分為可過濾型和不可過濾型。可過濾型的DDoS攻擊主要指那些使用畸形的非法數(shù)據(jù)包。不可過濾型DDoS攻擊通過使用精心設(shè)計(jì)的數(shù)據(jù)包，模仿合法用戶的正常請求所用的數(shù)據(jù)包，一旦這類數(shù)據(jù)包被過濾將會影響合法用戶的正常使用。

DDoS防護(hù)

為什么DDoS防護(hù)困難

在過去十幾年中，網(wǎng)絡(luò)基礎(chǔ)設(shè)施核心部件從未改變，這使得一些已經(jīng)發(fā)現(xiàn)和被利用的漏洞以及一些成熟的攻擊工具生命周期很長，即使放到今天也依然有效。另一方面，互聯(lián)網(wǎng)七層模型應(yīng)用的迅猛發(fā)展，使得 DDoS 的攻擊目標(biāo)多元化，從 web 到 DNS，從三層網(wǎng)絡(luò)到七層應(yīng)用，從協(xié)議棧到應(yīng)用 App，層出不窮的新產(chǎn)品也給了黑客更多的機(jī)會和突破點(diǎn)。再者 DDoS 的防護(hù)是一個技術(shù)和成本不對等的工程，往往一個業(yè)務(wù)的 DDoS 防御系統(tǒng)建設(shè)成本要比業(yè)務(wù)本身的成本或收益更加龐大，這使得很多創(chuàng)業(yè)公司或小型互聯(lián)網(wǎng)公司不愿意做更多的投入。

• 防護(hù)思路
  • 若要緩解 DDoS 攻擊，關(guān)鍵在于區(qū)分攻擊流量與正常流量。
    例如，如果因發(fā)布某款產(chǎn)品導(dǎo)致公司網(wǎng)站涌現(xiàn)大批熱情客戶，那么全面切斷流量是錯誤之舉。如果公司從已知惡意用戶處收到的流量突然激增，或許需要努力緩解攻擊。
  • 難點(diǎn)在于區(qū)分真實(shí)客戶流量與攻擊流量。
    在現(xiàn)代互聯(lián)網(wǎng)中，DDoS 流量以多種形式出現(xiàn)。流量設(shè)計(jì)可能有所不同，從非欺騙性單源攻擊到復(fù)雜的自適應(yīng)多方位攻擊無所不有。
    多方位 DDoS 攻擊采用多種攻擊手段，以期通過不同的方式擊垮目標(biāo)，很可能分散各個層級的緩解工作注意力。
    同時針對協(xié)議堆棧的多個層級（如 DNS 放大（針對第 3/4 層）外加 HTTP 洪水（針對第 7 層））發(fā)動攻擊就是多方位 DDoS 攻擊的一個典型例子。
  • 為防護(hù)多方位 DDoS 攻擊，需要部署多項(xiàng)不同策略，從而緩解不同層級的攻擊。
    一般而言，攻擊越復(fù)雜，越難以區(qū)分攻擊流量與正常流量 —— 攻擊者的目標(biāo)是盡可能混入正常流量，從而盡量減弱緩解成效。
    如果緩解措施不加選擇地丟棄或限制流量，很可能將正常流量與攻擊流量一起丟棄，同時攻擊還可能進(jìn)行修改調(diào)整以規(guī)避緩解措施。為克服復(fù)雜的破壞手段，采用分層解決方案效果最理想。

防御

DDoS 的防護(hù)系統(tǒng)本質(zhì)上是一個基于資源較量和規(guī)則過濾的智能化系統(tǒng)：

防御原則

在響應(yīng)方面，雖然還沒有很好的對付攻擊行為的方法，但仍然可以采取措施使攻擊的影響降至最小。對于提供信息服務(wù)的主機(jī)系統(tǒng)，應(yīng)對的根本原則是：
盡可能地保持服務(wù)、迅速恢復(fù)服務(wù)。由于分布式攻擊入侵網(wǎng)絡(luò)上的大量機(jī)器和網(wǎng)絡(luò)設(shè)備，所以要對付這種攻擊歸根到底還是要解決網(wǎng)絡(luò)的整體安全問題。真正解決安全問題一定要多個部門的配合，從邊緣設(shè)備到骨干網(wǎng)絡(luò)都要認(rèn)真做好防范攻擊的準(zhǔn)備，一旦發(fā)現(xiàn)攻擊就要及時地掐斷最近攻擊來源的那個路徑，限制攻擊力度的無限增強(qiáng)。網(wǎng)絡(luò)用戶、管理者以及ISP之間應(yīng)經(jīng)常交流，共同制訂計(jì)劃，提高整個網(wǎng)絡(luò)的安全性。

防御策略

1.資源隔離
資源隔離可以看作是用戶服務(wù)的一堵防護(hù)盾，這套防護(hù)系統(tǒng)擁有無比強(qiáng)大的數(shù)據(jù)和流量處理能力，為用戶過濾異常的流量和請求。如：針對 Syn Flood，防護(hù)盾會響應(yīng) Syn Cookie 或 Syn Reset 認(rèn)證，通過對數(shù)據(jù)源的認(rèn)證，過濾偽造源數(shù)據(jù)包或發(fā)動攻擊的攻擊，保護(hù)服務(wù)端不受惡意連接的侵蝕。資源隔離系統(tǒng)主要針對 ISO 模型的第三層和第四層進(jìn)行防護(hù)。

2.用戶規(guī)則
從服務(wù)的角度來說 DDoS 防護(hù)本質(zhì)上是一場以用戶為主體依賴抗 D 防護(hù)系統(tǒng)與黑客進(jìn)行較量的戰(zhàn)爭，在整個數(shù)據(jù)對抗的過程中服務(wù)提供者往往具有絕對的主動權(quán)，用戶可以基于抗 D 系統(tǒng)特定的規(guī)則，如：流量類型、請求頻率、數(shù)據(jù)包特征、正常業(yè)務(wù)之間的延時間隔等。基于這些規(guī)則用戶可以在滿足正常服務(wù)本身的前提下更好地對抗七層類的 DDoS，并減少服務(wù)端的資源開銷。

3.大數(shù)據(jù)智能分析
黑客為了構(gòu)造大量的數(shù)據(jù)流，往往需要通過特定的工具來構(gòu)造請求數(shù)據(jù)，這些數(shù)據(jù)包不具有正常用戶的一些行為和特征。為了對抗這種攻擊，可以基于對海量數(shù)據(jù)進(jìn)行分析，進(jìn)而對合法用戶進(jìn)行模型化，并利用這些指紋特征，如：Http 模型特征、數(shù)據(jù)來源、請求源等，有效地對請求源進(jìn)行白名單過濾，從而實(shí)現(xiàn)對 DDoS 流量的精確清洗。

防御手段

• 黑洞路由
  有一種解決方案幾乎適用于所有網(wǎng)絡(luò)管理員：創(chuàng)建黑洞路由，并將流量匯入該路由。在最簡單的形式下，當(dāng)在沒有特定限制條件的情況下實(shí)施黑洞過濾時，合法網(wǎng)絡(luò)流量和惡意網(wǎng)絡(luò)流量都將路由到空路由或黑洞，并從網(wǎng)絡(luò)中丟棄。
  如果互聯(lián)網(wǎng)設(shè)備遭受 DDoS 攻擊，則該設(shè)備的互聯(lián)網(wǎng)服務(wù)提供商（ISP）可能會將站點(diǎn)的所有流量發(fā)送到黑洞中作為防御。這不是理想的解決方案，因?yàn)樗喈?dāng)于讓攻擊者達(dá)成預(yù)期的目標(biāo)：使網(wǎng)絡(luò)無法訪問。
• 速率限制
  限制服務(wù)器在某個時間段接收的請求數(shù)量也是防護(hù)拒絕服務(wù)攻擊的一種方法。
  雖然速率限制對于減緩 Web 爬蟲竊取內(nèi)容及防護(hù)暴力破解攻擊很有幫助，但僅靠速率限制可能不足以有效應(yīng)對復(fù)雜的 DDoS 攻擊。
  然而，在高效 DDoS 防護(hù)策略中，速率限制不失為一種有效手段。
• Web 應(yīng)用程序防火墻
  Web 應(yīng)用程序防火墻（WAF） 是一種有效工具，有助于緩解第 7 層 DDoS 攻擊。在互聯(lián)網(wǎng)和源站之間部署 WAF 后，WAF 可以充當(dāng)反向代理，保護(hù)目標(biāo)服務(wù)器，防止其遭受特定類型的惡意流量入侵。
  通過基于一系列用于識別 DDoS 工具的規(guī)則篩選請求，可以阻止第 7 層攻擊。有效的 WAF 的一個關(guān)鍵價(jià)值是能夠快速實(shí)施自定義規(guī)則以應(yīng)對攻擊。
• Anycast 網(wǎng)絡(luò)擴(kuò)散
  此類緩解方法使用 Anycast 網(wǎng)絡(luò)，將攻擊流量分散至分布式服務(wù)器網(wǎng)絡(luò)，直到網(wǎng)絡(luò)吸收流量為止。
  這種方法就好比將湍急的河流引入若干獨(dú)立的小水渠，將分布式攻擊流量的影響分散到可以管理的程度，從而分散破壞力。
  Anycast 網(wǎng)絡(luò)在緩解 DDoS 攻擊方面的可靠性取決于攻擊規(guī)模及網(wǎng)絡(luò)規(guī)模和效率。

參考

DDoS攻擊-百科

總結(jié)

以上是生活随笔為你收集整理的网络安全笔记-DDoS攻击的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。