如今，信息技術(shù)的發(fā)展為人們帶來了諸多便利，無論是個人社交行為，還是商業(yè)活動都離不開網(wǎng)絡(luò)。但是，網(wǎng)絡(luò)空間在創(chuàng)造機遇的同時，也帶來了威脅，其中 DDoS 就是最具破壞力的攻擊。經(jīng)過這些年的不斷發(fā)展，它已經(jīng)成為不同組織和個人的攻擊形式之一，用于網(wǎng)絡(luò)中的勒索、報復(fù)，甚至網(wǎng)絡(luò)戰(zhàn)爭。

　　先聊聊 DDoS 的概念和發(fā)展

　　在講發(fā)展前，我們先對分布式拒絕服務(wù)（DDoS）的基本概念有個大體了解。

　　何為“拒絕服務(wù)”攻擊？

　　其實可以簡單理解為：讓一個公開網(wǎng)站無法訪問。要實現(xiàn)這個目的，方法也很簡單：不斷地提出服務(wù)請求，讓合法用戶的請求無法及時處理。

　　何為“分布式”？

　　隨著網(wǎng)絡(luò)發(fā)展，很多大型企業(yè)具備較強的服務(wù)提供能力，所以應(yīng)付單個請求的攻擊已經(jīng)不是問題?！暗栏咭怀撸Ц咭徽伞?，攻擊者就組織很多同伙，同時提出服務(wù)請求，直到服務(wù)無法訪問，這就叫“分布式”。但是，在現(xiàn)實中，一般的攻擊者無法組織各地伙伴協(xié)同“作戰(zhàn)”，所以會使用“僵尸網(wǎng)絡(luò)”來控制 N 多計算機進(jìn)行攻擊。

　　何為“僵尸網(wǎng)絡(luò)”？

　　就是數(shù)量龐大的僵尸程序（Bot）通過一定方式組合，出于惡意目的，采用一對多的方式進(jìn)行控制的大型網(wǎng)絡(luò)，也可以說是一種復(fù)合性攻擊方式。因為僵尸主機的數(shù)量很大而且分布廣泛，所以危害程度和防御難度都很大。

　　僵尸網(wǎng)絡(luò)具備高可控性，控制者可以在發(fā)布指令后，就斷開與僵尸網(wǎng)絡(luò)的連接，而控制指令會自動在僵尸程序間傳播執(zhí)行。

　　這就像個生態(tài)系統(tǒng)一樣。對安全研究人員來說，通過捕獲一個節(jié)點雖然可以發(fā)現(xiàn)此僵尸網(wǎng)絡(luò)的許多僵尸主機，但很難窺其全貌，而且即便封殺一些僵尸主機，也不會影響整個僵尸網(wǎng)絡(luò)的生存。

　　DDoS 的發(fā)展怎么樣？

　　正所謂“以史為鑒，可以知興替”。既然大概了解了 DDoS，咱們說說它的歷史發(fā)展。最早的時候，黑客們大都是為了炫耀個人技能，所以攻擊目標(biāo)選擇都很隨意，娛樂性比較強。后來，有一些宗教組織和商業(yè)組織發(fā)現(xiàn)了這個攻擊效果，就以勒索、報復(fù)等方式為目的，對特定目標(biāo)進(jìn)行攻擊，并開發(fā)一些相應(yīng)的工具，保證攻擊成本降低。當(dāng)國家級政治勢力意識到這個價值的時候，DDoS 就開始被武器化，很容易就被用于精確目標(biāo)的網(wǎng)絡(luò)戰(zhàn)爭中。

　　根據(jù)綠盟科技 2015 年的 DDoS 態(tài)勢分析，從全球流量分布來看，中國和美國是 DDoS 受災(zāi)的重災(zāi)區(qū)。

　　談?wù)?DDoS 的攻擊方式

　　分布式拒絕服務(wù)攻擊的精髓是：利用分布式的客戶端，向目標(biāo)發(fā)起大量看上去合法的請求，消耗或者占用大量資源，從而達(dá)到拒絕服務(wù)的目的。

　　其主要攻擊方法有 4 種：

　　1. 攻擊帶寬

　　跟交通堵塞情況一樣，大家都應(yīng)該清楚：當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)量達(dá)到或者超過上限時，會出現(xiàn)網(wǎng)絡(luò)擁堵、響應(yīng)緩慢的情況。DDoS 就是利用這個原理，發(fā)送大量網(wǎng)絡(luò)數(shù)據(jù)包，占滿被攻擊目標(biāo)的全部帶寬，從而造成正常請求失效，達(dá)到拒絕服務(wù)的目的。

　　攻擊者可以使用 ICMP 洪水攻擊（即發(fā)送大量 ICMP 相關(guān)報文）、或者 UDP 洪水攻擊（即發(fā)送用戶數(shù)據(jù)報協(xié)議的大包或小包），使用偽造源 IP 地址方式進(jìn)行隱匿，并對網(wǎng)絡(luò)造成擁堵和服務(wù)器響應(yīng)速度變慢等影響。

　　但是，這種直接方式通常依靠受控主機本身的網(wǎng)絡(luò)性能，所以效果不是很好，還容易被查到攻擊源頭。于是反射攻擊就出現(xiàn)，攻擊者使用特殊的數(shù)據(jù)包，即 IP 地址指向作為反射器的服務(wù)器，源 IP 地址被偽造成攻擊目標(biāo)的 IP，反射器接收到數(shù)據(jù)包的時候就被騙了，會將響應(yīng)數(shù)據(jù)發(fā)送給被攻擊目標(biāo)，然后就會耗盡目標(biāo)網(wǎng)絡(luò)的帶寬資源。

　　2. 攻擊系統(tǒng)

　　創(chuàng)建 TCP 連接需要客戶端與服務(wù)器進(jìn)行三次交互，也就是常說的“三次握手”。這個信息通常被保存在連接表結(jié)構(gòu)中，但是表的大小有限，所以當(dāng)超過存儲量，服務(wù)器就無法創(chuàng)建新的 TCP 連接。

　　攻擊者利用這一點，用受控主機建立大量惡意的 TCP 連接，占滿被攻擊目標(biāo)的連接表，使其無法接受新的 TCP 連接請求。如果攻擊者發(fā)送了大量的 TCP SYN 報文，讓服務(wù)器在短時間內(nèi)產(chǎn)生大量的半開連接，連接表也會被很快占滿，導(dǎo)致無法建立新的 TCP 連接，這個方式是 SYN 洪水攻擊，很多攻擊者都比較常用。

　　image

　　3. 攻擊應(yīng)用

　　由于 DNS 和 Web 服務(wù)的廣泛性和重要性，這兩種服務(wù)就成為消耗應(yīng)用資源的分布式拒絕服務(wù)攻擊的主要目標(biāo)。

　　比如，向 DNS 服務(wù)器發(fā)送大量查詢請求，從而達(dá)到拒絕服務(wù)的效果，如果每一個 DNS 解析請求所查詢的域名都是不同的，那么就有效避開服務(wù)器緩存的解析記錄，達(dá)到更好的資源消耗效果。當(dāng) DNS 服務(wù)的可用性受到威脅，互聯(lián)網(wǎng)上大量的設(shè)備都會受到影響而無法正常使用。

　　近些年，Web 技術(shù)發(fā)展非常迅速，如果攻擊者利用大量的受控主機不斷地向 Web 服務(wù)器惡意發(fā)送大量 HTTP 請求，要求 Web 服務(wù)器處理，就會完全占用服務(wù)器資源，讓正常用戶的 Web 訪問請求得不到處理，導(dǎo)致拒絕服務(wù)。一旦 Web 服務(wù)受到這種攻擊，就會對其承載的業(yè)務(wù)造成致命的影響。

　　4. 混合攻擊

　　在實際的生活中，攻擊者并不關(guān)心使用的哪種攻擊方法管用，只要能夠達(dá)到目的，一般就會發(fā)動其所有的攻擊手段，盡其所能的展開攻勢。對于被攻擊目標(biāo)來說，需要面對不同的協(xié)議、不同資源的分布式拒絕服務(wù)攻擊，分析、響應(yīng)和處理的成本就會大大增加。

　　隨著僵尸網(wǎng)絡(luò)向小型化的趨勢發(fā)展，為降低攻擊成本，有效隱藏攻擊源，躲避安全設(shè)備，同時保證攻擊效果，針對應(yīng)用層的小流量慢速攻擊已經(jīng)逐步發(fā)展壯大起來。因此，從另一個角度來說，DDoS 攻擊方面目前主要是兩個方面：一是 UDP 及反射式大流量高速攻擊，二是多協(xié)議小流量及慢速攻擊。

　　說說 DDoS 的攻擊工具

　　國人講究：工欲善其事必先利其器。隨著開源的 DDoS 工具撲面而來，網(wǎng)絡(luò)攻擊變得越來越容易，威脅也越來越嚴(yán)重。 工具有很多，簡單介紹幾款知名的，讓大家有個簡單了解。

　　1. LOIC

　　LOIC 是一個頗受歡迎的 DOS 攻擊的淹沒式工具，會產(chǎn)生大量流量，可以在多種平臺運行，包括 Linux、Windows、Mac OS、Android 等。早在 2010 年，黑客組織對反對維基解密的公司和機構(gòu)的攻擊活動中，該工具被下載了 3 萬次以上。

　　LOIC 界面友好，易于使用，初學(xué)者也可以很快上手。但是由于該工具需要使用真實 IP 地址，現(xiàn)在已經(jīng)停用。

　　2. HULK (HTTP Unbearable Load King)

　　HULK 是另一個 DOS 攻擊工具，這個工具使用 UserAgent 的偽造，來避免攻擊檢測，可以通過啟動 500 線程對目標(biāo)發(fā)起高頻率 HTTP GET FLOOD 請求，更可怕的是每一次請求都是獨立的，可以繞過服務(wù)端的緩存措施，讓所有請求得到處理。HULK 是用 Python 語言編寫，對獲得的源碼進(jìn)行更改也非常方便。

　　3. R.U.D.Y.

　　R-U-Dead-Yet 是一款采用慢速 HTTP POST 請求方式進(jìn)行 DOS 攻擊的工具，它提供了一個交互式控制臺菜單，檢測給定的 URL，并允許用戶選擇哪些表格和字段應(yīng)用于 POST-based DOS 攻擊，操作非常簡單。

　　而且，它也使用的是 Python 語言編寫，可移植性非常好。R.U.D.Y. 能夠?qū)λ蓄愋偷?Web 服務(wù)端軟件造成影響，因此攻擊的威脅非常大。這些工具在保持攻擊力的同時還再加強易用性，而免費和開源降低了使用門檻。隨著攻防對抗的升級，工具會越來越智能化。

　　最后聊聊 DDoS 的防御

　　我的導(dǎo)師教過我：DDoS 攻擊只是手段，最終目的是永遠(yuǎn)的利益。而未來網(wǎng)絡(luò)戰(zhàn)爭將出現(xiàn)更加廣泛的、更加頻繁的和更加精準(zhǔn)的攻擊。面對這些攻擊來臨時，我們應(yīng)如何應(yīng)對？

　　1. 設(shè)置高性能設(shè)備

　　要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設(shè)備時要盡量選用知名度高、口碑好的產(chǎn)品。并且，假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當(dāng)大量攻擊發(fā)生時請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某些種類的 DDoS 攻擊是非常有效的。

　　2. 帶寬得保證

　　網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅只有 10M 帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的 SYN Flood 攻擊。所以，最好選擇 100M 的共享帶寬，當(dāng)然是掛在 1000M 的主干上了。

　　3. 不要忘記升級

　　在有網(wǎng)絡(luò)帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒 10 萬個 SYN 攻擊包。而且最好可以進(jìn)行優(yōu)化資源使用，提高 web server 的負(fù)載能力。

　　4. 異常流量的清洗

　　通過 DDoS 硬件防火墻對異常流量的清洗過濾，通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)能準(zhǔn)確判斷外來訪問流量是否正常，進(jìn)一步將異常流量禁止過濾。

　　5. 考慮把網(wǎng)站做成靜態(tài)頁面

　　將網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，最好在需要調(diào)用數(shù)據(jù)庫的腳本中，拒絕使用代理的訪問，經(jīng)驗表明，使用代理訪問你網(wǎng)站的 80% 屬于惡意行為。

　　6. 分布式集群防御

　　這是目前網(wǎng)絡(luò)安全界防御大規(guī)模 DDoS 攻擊的一種有效辦法。分布式集群防御的特點是在每個節(jié)點服務(wù)器配置多個 IP 地址，并且每個節(jié)點能承受不低于 10G 的 DDoS 攻擊，如一個節(jié)點受攻擊無法提供服務(wù)，系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動切換另一個節(jié)點，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點，使攻擊源成為癱瘓狀態(tài)，從更為深度的安全防護角度去影響企業(yè)的安全執(zhí)行決策。

　　就 DDoS 防御方面來說，目前主要是兩個方面，大流量攻擊可以交給運營商及云端清洗，小流量攻擊可以在企業(yè)本地進(jìn)行設(shè)備防護，這個分界點根據(jù)行業(yè)及業(yè)務(wù)特性的不同會有所差異，大概的量級應(yīng)該在百兆 BPS 左右。相關(guān)的緩解與治理，有興趣的童鞋可以看看鮑旭華的《破壞之王》，會有不小的啟示。

　　其實，對抗 DDoS 攻擊是一個涉及多個層面的問題，在有的環(huán)節(jié)，有效性和收益率并不對等。所以需要各方面合作，用戶也可以多多聽聽專家意見，針對攻擊事先做好應(yīng)對的應(yīng)急方案。有句話說：“god helps those who help themselves?！?翻譯過來就是，天助自助者，因此面對 DDoS 攻擊，大家需要具備安全意識，完善自身的安全防護體系才是正解。

　　寫在最后

　　隨著全球互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展和云計算的發(fā)展浪潮，可以預(yù)見到，針對云數(shù)據(jù)中心的 DDoS 攻擊頻率還會大幅度增長，攻擊手段也會更加復(fù)雜。安全工作是一個長期持續(xù)性而非階段性的工作，所以需要時刻保持一種警覺。此外，網(wǎng)絡(luò)安全不僅僅是某個企業(yè)的責(zé)任，更是全社會的共同責(zé)任，需要大家共同努力。