揭秘:恐怖網(wǎng)絡(luò)攻擊DDoS有多可怕!

網(wǎng)絡(luò)攻擊恐怖DDoS

先說說近年來發(fā)生的大規(guī)模。DDoS攻擊

2013年3月，歐洲反垃圾郵件Spamhaus遭遇300G攻擊；

2013年8月中國互聯(lián)網(wǎng)信息中心CNNIC（ChinaInternetNetworkInformationCenter）歷史上最大的遭遇DDoS部分.cn域名分析受到影響，導(dǎo)致訪問緩慢或中斷；

2014年2月，美國著名科技公司Cloudflare遭遇400G的DDoS攻擊，大約78.5萬網(wǎng)站受到影響，其中包括維基百科；

2014年12月，部署在阿里云上的一家知名游戲公司截至當(dāng)年最大DDoS攻擊，攻擊超過14小時，峰值流量達到453.8G；

2015年12月，英國廣播公司BBC遇到幾個小時DDoS攻擊，602峰值流量G，當(dāng)年可以進入前5名；

2016年5月，非法黑客推出了一系列針對全球多家銀行網(wǎng)站的銀行網(wǎng)站DDoS攻擊。約旦、韓國、摩納哥等央行網(wǎng)絡(luò)系統(tǒng)癱瘓半小時，無法正常工作。

美國是2016年10月最重要的DNS服務(wù)商Dyn遇到大規(guī)模的DDoS攻擊，攻擊約1000萬IP美國東海岸大面積斷網(wǎng)；

2016年11月，俄羅斯五家主流銀行遭遇為期兩天的痛苦DDoS攻擊.由4萬臺計算機組成的僵尸網(wǎng)絡(luò)繼續(xù)強大發(fā)動DDOS攻擊。

2018年3月，Github到目前為止，它遭受了最大的記錄DDoS攻擊。攻擊者通過公共互聯(lián)網(wǎng)發(fā)送小字節(jié)的基于UDP要求數(shù)據(jù)包配置錯誤memcached作為回應(yīng)，服務(wù)器，memcached服務(wù)器通過方向Github發(fā)送大量不成比例的響應(yīng)，形成大規(guī)模的響應(yīng)DDoS攻擊。

DDoS什么是攻擊？

比如會更生動。我開了一家重慶火鍋店，的重慶火鍋店，因為材質(zhì)上乘，童老無欺。平時門庭若市，生意特別紅火，而對面二狗家的火鍋店卻無人問津。為了對付我，二狗想了個辦法，叫了50個人坐在我的火鍋店里卻不點菜，讓其他客人吃不下。上面的例子是典型的DDoS攻擊，全稱是DistributedDenialofService，將中文翻譯成分布式拒絕服務(wù)。一般來說，攻擊者的使用“肉雞”對目標(biāo)網(wǎng)站在較短的時間內(nèi)發(fā)起大量請求，大規(guī)模消耗目標(biāo)網(wǎng)站的主機資源，讓它無法正常服務(wù)。在線游戲、互聯(lián)網(wǎng)金融等領(lǐng)域DDoS攻擊性高發(fā)行業(yè)。

DDoS的危害

無法訪問網(wǎng)站，消耗大量帶寬和內(nèi)存，只有幾種處理方法：

1.拿出你的money，買帶寬；

2.封ip，寧可錯“殺”一千，不能放過一個；

3.找出誰做了，弄丫(提醒:不要違法)

網(wǎng)站比較小的站長基本沒辦法，DDoS一般來說，它們來勢洶洶，基本上沒有時間給你反應(yīng)。大量的流量突然涌入你的網(wǎng)站，這是不可預(yù)測的。

DDoS攻擊有哪些

1.ICMPFlood

ICMP（Internet控制報文協(xié)議IP控制信息在主機和路由器之間傳輸，控制信息是指網(wǎng)絡(luò)本身的信息，如網(wǎng)絡(luò)是否連接，主機是否可用，路由是否可用。雖然用戶數(shù)據(jù)沒有傳輸，但它在用戶數(shù)據(jù)的傳輸中起著重要的作用。通過向目標(biāo)系統(tǒng)發(fā)送大量的數(shù)據(jù)包，目標(biāo)主機可以癱瘓，如果大量的發(fā)送成為洪水攻擊。

2.UDPFlood

UDP在UDPFlood攻擊者通常會發(fā)送大量的偽造源IP地址的小UDP包沖擊DNS服務(wù)器或Radius認證服務(wù)器，流媒體視頻服務(wù)器。kbps的UDPFlood防火墻等線路骨干設(shè)備經(jīng)常癱瘓，導(dǎo)致整個網(wǎng)段癱瘓。

傳統(tǒng)的流量攻擊方法技術(shù)含量低，傷害1000人，損失800人。攻擊效果通常取決于控制主機本身的網(wǎng)絡(luò)性能，而且很容易找到攻擊源，單獨使用并不常見。因此，反射性放大攻擊具有四到兩千斤的效果。

4.NTPFlood

NTP是標(biāo)準(zhǔn)的基礎(chǔ)UDP由于協(xié)議傳輸?shù)木W(wǎng)絡(luò)時間同步協(xié)議，UDP無連接協(xié)議，方便偽造源地址。攻擊者使用特殊的數(shù)據(jù)包，即IP作為反射器的服務(wù)器，地址指向源IP地址成攻擊目標(biāo)的地址IP，當(dāng)反射器收到數(shù)據(jù)包時，它會被欺騙，并將響應(yīng)數(shù)據(jù)發(fā)送給攻擊目標(biāo)，耗盡目標(biāo)網(wǎng)絡(luò)的帶寬資源。一般的NTP服務(wù)器有很大的帶寬，攻擊者可能只需要1Mbps欺騙上傳帶寬NTP服務(wù)器可以給目標(biāo)服務(wù)器帶來數(shù)百個Mbps攻擊流量。

因此，“問-答”該方法的協(xié)議可用于反射攻擊。將詢問數(shù)據(jù)包的地址偽造成攻擊目標(biāo)地址，響應(yīng)數(shù)據(jù)包將發(fā)送到目標(biāo)。一旦協(xié)議具有遞歸效果，流量將顯著放大，這可以稱為一種“借刀殺人”流量攻擊。

5.SYNFlood

這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造TCP連接請求耗盡了被攻擊方的資源（CPU全負荷或內(nèi)存不足)的攻擊方法。TCP連接，需要三次握手——客戶端發(fā)送SYN服務(wù)端收到請求并返回報告接受，客戶端也返回確認并完成連接。

SYNFlood也就是說，如果用戶在向服務(wù)器發(fā)送報告后突然死亡或掉線，服務(wù)器在發(fā)送響應(yīng)報告后無法收到客戶端的確認報告（第三次握手無法完成）。此時，服務(wù)器端通常會在丟棄未完成的連接之前重試并等待一段時間。用戶異常導(dǎo)致服務(wù)器線程等待一段時間不是大問題，但惡意攻擊者大量模擬這種情況，服務(wù)器端消耗大量資源來維持成千上萬的半連接，結(jié)果往往沒有時間忽略客戶的正常要求，甚至崩潰。從正?？蛻舻慕嵌葋砜矗W(wǎng)站失去了響應(yīng)，無法訪問。

6.CC攻擊

CC攻擊是目前應(yīng)用層攻擊的主要手段之一。借助代理服務(wù)器生成指向目標(biāo)系統(tǒng)的法律請求，實現(xiàn)偽裝和DDoS。我們都有訪問靜態(tài)頁面的經(jīng)驗，即使有很多人，也不需要太長時間，但如果你在高峰時間訪問論壇、酒吧等，那就很慢了，因為服務(wù)器系統(tǒng)需要去數(shù)據(jù)庫來判斷訪問者是否有權(quán)閱讀帖子和發(fā)言。訪問者越多，論壇頁面越多，數(shù)據(jù)庫壓力越大，訪問頻率越高，占用的系統(tǒng)資源也相當(dāng)可觀。

CC攻擊充分利用這一特點，模擬多個正常用戶不斷訪問需要大量數(shù)據(jù)操作的頁面，如論壇，造成服務(wù)器資源浪費，CPU長期處于100%，總有無窮無盡的要求，網(wǎng)絡(luò)擁堵，正常訪問暫停。這種攻擊技術(shù)含量高，看不到真正的來源IP，沒有特別大的異常流量，但服務(wù)器無法正常連接。

之所以選擇代理服務(wù)器，是因為代理可以有效隱藏自己的身份，繞過防火墻，因為基本上所有的防火墻都會并發(fā)檢測TCP/IP如果連接數(shù)超過一定數(shù)量和一定頻率，將被視為Connection-Flood。當(dāng)然，肉雞也可以用來發(fā)動CC攻擊，攻擊者使用CC攻擊軟件控制大量肉雞攻擊，肉雞可以模擬正常用戶訪問網(wǎng)站的請求，偽造成合法數(shù)據(jù)包，比前者更難防御。

CC攻擊是針對Web服務(wù)于第七層協(xié)議發(fā)起的攻擊，并在上層協(xié)議發(fā)起DDoS攻擊越難防御，上層協(xié)議與業(yè)務(wù)關(guān)系越密切，防御系統(tǒng)面臨的情況就越復(fù)雜。比如CC攻擊中最重要的方法之一HTTPFlood，不僅會直接導(dǎo)致攻擊Web前端響應(yīng)緩慢，對業(yè)務(wù)產(chǎn)生致命影響，也可能導(dǎo)致連鎖反應(yīng)，間接攻擊后端Java業(yè)務(wù)層邏輯和后端數(shù)據(jù)庫服務(wù)。

由于CC攻擊成本低，威力大，80%DDoS攻擊都是CC攻擊。嚴(yán)重消耗帶寬資源，網(wǎng)站癱瘓；CPU、內(nèi)存利用率飆升，主機癱瘓；瞬間快速打擊，無法快速響應(yīng)。

7.DNSQueryFlood

DNS作為互聯(lián)網(wǎng)的核心服務(wù)之一，它自然是DDoS攻擊的主要目標(biāo)之一。DNSQueryFlood該方法是操縱大量傀儡機，并向目標(biāo)服務(wù)器發(fā)送大量域名分析請求。當(dāng)服務(wù)器收到域名分析請求時，它首先會在服務(wù)器上找到是否有相應(yīng)的緩存。如果找不到，域名不能直接分析，它會到上層DNS域名信息由服務(wù)器遞歸查詢。

通常，攻擊者要求分析的域名是隨機生成的或網(wǎng)絡(luò)上根本不存在的域名。由于相應(yīng)的結(jié)果無法在當(dāng)?shù)卣业剑?wù)器必須使用遞歸查詢向上域名服務(wù)器提交分析請求，以引起連鎖反應(yīng)。分析過程給服務(wù)器帶來了很大的負載。如果域名分析請求每秒超過一定數(shù)量DNS超時服務(wù)器解析域名。

根據(jù)微軟的統(tǒng)計數(shù)據(jù)，一個DNS動態(tài)域名查詢的上限是每秒9000個請求。P3的PC機器可以輕松構(gòu)建每秒數(shù)萬個域名分析請求，足以使硬件配置極高DNS由此可見，服務(wù)器癱瘓DNS服務(wù)器的脆弱性。

8.混合攻擊

在實際情況下，攻擊者只是為了達到打敗對方的目的，到目前為止，高級攻擊者不傾向于使用單一的攻擊手段，而是根據(jù)目標(biāo)系統(tǒng)的特定環(huán)境，啟動各種攻擊手段，不僅流量大，而且利用協(xié)議、系統(tǒng)缺陷，盡可能進行攻擊。

面對不同協(xié)議、不同資源的分布式攻擊，分析、響應(yīng)和處理的成本將大大增加。

如何應(yīng)對DDoS攻擊

1.高防服務(wù)器

以重慶火鍋店為例。高防御服務(wù)器是我在重慶火鍋店增加了兩名保安。這兩名保安可以保護商店免受流氓騷擾，并定期在商店周圍巡邏，以防止流氓騷擾。高防御服務(wù)器主要是指獨立的硬防御50Gbps以上服務(wù)器可以幫助網(wǎng)站拒絕服務(wù)攻擊，定期掃描網(wǎng)絡(luò)主節(jié)點。這個東西很好，很貴~

2.黑名單

面對火鍋店里的流氓，我生氣地拍了他們的照片，禁止他們進入商店，但有時當(dāng)我遇到像樣的人時，我禁止他進入商店。這是一個黑名單，這種方法堅持“錯殺一千，也不放一百”正常流量會被封鎖，影響正常業(yè)務(wù)。

3.DDoS清洗

DDos打掃衛(wèi)生，就是我發(fā)現(xiàn)客人進店幾分鐘后，但一直不點菜，我就把他踢出店里。

DDoS清潔將實時監(jiān)控用戶要求的數(shù)據(jù)，及時發(fā)現(xiàn)DDoS這些異常流量在不影響正常業(yè)務(wù)發(fā)展的情況下被沖走。

4.CDN加速

CDN加速，我們可以理解：為了減少流氓騷擾，我只是在網(wǎng)上開火鍋店，承擔(dān)外賣服務(wù)，這樣流氓就找不到商店在哪里，也不能玩流氓。在現(xiàn)實中，CDN服務(wù)將網(wǎng)站訪問流量分配到每個節(jié)點，一方面隱藏了網(wǎng)站的真實性IP，另一方面，即使遇到DDoS還可以將流量分散到各個節(jié)點，防止源站崩潰。

5.ddos高防IP

高防IP它在互聯(lián)網(wǎng)服務(wù)器中遭受了大流量DDoS在攻擊導(dǎo)致服務(wù)不可用的情況下，用戶可以御服務(wù)IP，將攻擊流引流到高防IP，確保源站穩(wěn)定可靠。

高防IP是指由高防機房提供的IP段落主要用于防御互聯(lián)網(wǎng)DDoS攻擊。在互聯(lián)網(wǎng)世界里，IP相當(dāng)于服務(wù)器的門牌號，無論是訪問還是管理的門牌號IP來進行。同理，如果一個網(wǎng)絡(luò)攻擊者想對目標(biāo)進行DDoS攻擊需要知道目標(biāo)IP地址，使用大量無效流量數(shù)據(jù)IP服務(wù)器提交請求，導(dǎo)致服務(wù)器資源被大量占用，無法響應(yīng)正確的請求。與此同時，這些大量的無效數(shù)據(jù)也會占它IP服務(wù)器的帶寬資源導(dǎo)致信息堵塞。此時可配置高防IP，將攻擊流引流到高防IP，確保源站穩(wěn)定正常運行。