DDoS攻擊素來以成本低廉(相比防御)、效果顯著、影響深遠為攻擊者所青睞，經(jīng)過長時間的發(fā)展，DDoS攻擊方式有很多種，最基本的DoS攻擊利用單個合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。DoS攻擊通常采用一對一的方式，在目標(biāo)系統(tǒng)帶寬、內(nèi)存、CPU等各項性能指標(biāo)都不高時，具有明顯的效果。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，千兆級別的網(wǎng)絡(luò)出現(xiàn)，目標(biāo)系統(tǒng)的“消化能力”倍增，這時候，分布式的拒絕服務(wù)攻擊手段——DDoS就出現(xiàn)了。

　　利用網(wǎng)絡(luò)上已被攻陷的電腦作為“肉雞”，通過一定方式組合形成數(shù)量龐大的“僵尸網(wǎng)絡(luò)”，采用一對多的方式進行控制，向目標(biāo)系統(tǒng)同時提出服務(wù)請求，殺傷力大幅度增加。DDoS 攻、防對抗多年，從DoS到DDoS，從以流量取勝到以技巧取勝，從單一攻擊到混合攻擊，攻擊手段正不斷進化，本文將一一介紹最常見、最具代表性的攻擊方式，企業(yè)運營者做到知己知彼，才能有備無患。

　　一、攻擊帶寬：以力取勝

　　如同城市堵車一樣，當(dāng)數(shù)據(jù)包超過帶寬上限，就會出現(xiàn)網(wǎng)絡(luò)擁堵、響應(yīng)緩慢的情況。流量型 DDoS攻擊就是如此，發(fā)送海量數(shù)據(jù)包，頃刻占滿目標(biāo)系統(tǒng)的全部帶寬，正常請求被堵在門外，拒絕服務(wù)的目的達成。

　　ICMP Flood

　　ICMP(Internet控制報文協(xié)議)用于在IP主機、路由器之間傳遞控制消息，控制消息是指網(wǎng)絡(luò)通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò)本身的消息，雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。通過對目標(biāo)系統(tǒng)發(fā)送海量數(shù)據(jù)包，就可以令目標(biāo)主機癱瘓，如果大量發(fā)送就成了洪水攻擊。

　　UDP Flood

　　UDP協(xié)議是一種無連接的服務(wù)，在UDP Flood 中，攻擊者通常發(fā)送大量偽造源IP地址的小UDP包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100k bps的UDP Flood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個網(wǎng)段的癱瘓。

　　上述傳統(tǒng)的流量型攻擊方式技術(shù)含量較低，傷人一千自損八百，攻擊效果通常依賴受控主機本身的網(wǎng)絡(luò)性能，而且容易被查到攻擊源頭，單獨使用的情況已不常見。于是，具有四兩拔千斤效果的反射型放大攻擊就出現(xiàn)了。

　　NTP Flood

　　NTP是標(biāo)準(zhǔn)的基于UDP協(xié)議傳輸?shù)木W(wǎng)絡(luò)時間同步協(xié)議，由于UDP協(xié)議的無連接性，方便偽造源地址。攻擊者使用特殊的數(shù)據(jù)包，也就是IP地址指向作為反射器的服務(wù)器，源IP地址被偽造成攻擊目標(biāo)的IP，反射器接收到數(shù)據(jù)包時就被騙了，會將響應(yīng)數(shù)據(jù)發(fā)送給被攻擊目標(biāo)，耗盡目標(biāo)網(wǎng)絡(luò)的帶寬資源。一般的NTP服務(wù)器都有很大的帶寬，攻擊者可能只需要1Mbps的上傳帶寬欺騙NTP服務(wù)器，就可給目標(biāo)服務(wù)器帶來幾百上千Mbps的攻擊流量。

　　因此，“問-答”方式的協(xié)議都可以被反射型攻擊利用，將質(zhì)詢數(shù)據(jù)包的地址偽造為攻擊目標(biāo)地址，應(yīng)答的數(shù)據(jù)包就會都被發(fā)送至目標(biāo)，一旦協(xié)議具有遞歸效果，流量就被顯著放大了，堪稱一種“借刀殺人”的流量型攻擊。

　　面對洪水般的流量，花高價進行抗D帶寬擴容和多運營商鏈路冗余，雖一定程度可提升抗D能力，但面對大量攻擊仍舊于事無補，而且浪費資源。知道創(chuàng)宇旗下抗DDoS云防御平臺——抗D保，橫跨全國的分布式數(shù)據(jù)中心， 600G以上帶寬抗DDoS，并可隨時應(yīng)急調(diào)用騰訊自有帶寬1.5Tb ，這使得抗D保擁有超過2個Tb的防御能力。

　　二、攻擊系統(tǒng)/應(yīng)用：以巧取勝

　　這類型的DDoS攻擊走的是巧勁，利用各種協(xié)議的行為特性、系統(tǒng)的缺陷、服務(wù)的脆弱性、軟件的漏洞等等發(fā)起攻擊，不斷占用目標(biāo)系統(tǒng)的資源以阻止它們處理正常事務(wù)和請求。

　　SYN Flood

　　這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡(CPU滿負荷或內(nèi)存不足)的攻擊方式。建立TCP連接，需要三次握手——客戶端發(fā)送SYN報文，服務(wù)端收到請求并返回報文表示接受，客戶端也返回確認(rèn)，完成連接。

　　SYN Flood 就是用戶向服務(wù)器發(fā)送報文后突然死機或掉線，那么服務(wù)器在發(fā)出應(yīng)答報文后就無法收到客戶端的確認(rèn)報文(第三次握手無法完成)，這時服務(wù)器端一般會重試并等待一段時間后再丟棄這個未完成的連接。一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待一會兒并不是大問題，但惡意攻擊者大量模擬這種情況，服務(wù)器端為了維護數(shù)以萬計的半連接而消耗非常多的資源，結(jié)果往往是無暇理睬客戶的正常請求，甚至崩潰。從正常客戶的角度看來，網(wǎng)站失去了響應(yīng)，無法訪問。

　　CC 攻擊

　　CC攻擊是目前應(yīng)用層攻擊的主要手段之一，借助代理服務(wù)器生成指向目標(biāo)系統(tǒng)的合法請求，實現(xiàn)偽裝和DDoS。我們都有這樣的體驗，訪問一個靜態(tài)頁面，即使人多也不需要太長時間，但如果在高峰期訪問論壇、貼吧等，那就很慢了，因為服務(wù)器系統(tǒng)需要到數(shù)據(jù)庫中判斷訪問者否有讀帖、發(fā)言等權(quán)限。訪問的人越多，論壇的頁面越多，數(shù)據(jù)庫壓力就越大，被訪問的頻率也越高，占用的系統(tǒng)資源也就相當(dāng)可觀。

　　CC攻擊就充分利用了這個特點，模擬多個正常用戶不停地訪問如論壇這些需要大量數(shù)據(jù)操作的頁面，造成服務(wù)器資源的浪費，CPU長時間處于100%，永遠都有處理不完的請求，網(wǎng)絡(luò)擁塞，正常訪問被中止。這種攻擊技術(shù)性含量高，見不到真實源IP，見不到特別大的異常流量，但服務(wù)器就是無法進行正常連接。

　　之所以選擇代理服務(wù)器是因為代理可以有效地隱藏自己的身份，也可以繞開防火墻，因為基本上所有的防火墻都會檢測并發(fā)的TCP/IP連接數(shù)目，超過一定數(shù)目一定頻率就會被認(rèn)為是Connection-Flood。當(dāng)然也可以使用肉雞來發(fā)動CC攻擊，攻擊者使用CC攻擊軟件控制大量肉雞發(fā)動攻擊，肉雞可以模擬正常用戶訪問網(wǎng)站的請求偽造成合法數(shù)據(jù)包，相比前者來說更難防御。

　　CC攻擊是針對Web服務(wù)在第七層協(xié)議發(fā)起的攻擊，在越上層協(xié)議上發(fā)動DDoS攻擊越難以防御，上層協(xié)議與業(yè)務(wù)關(guān)聯(lián)愈加緊密，防御系統(tǒng)面臨的情況也會更復(fù)雜。比如CC攻擊中最重要的方式之一HTTP Flood，不僅會直接導(dǎo)致被攻擊的Web前端響應(yīng)緩慢，對承載的業(yè)務(wù)造成致命的影響，還可能會引起連鎖反應(yīng)，間接攻擊到后端的Java等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫服務(wù)。

　　由于CC攻

本文鏈接：http://m.51huadong.com/cloundnews/11001083.html