現如今，信息技術的發展為人們帶來了諸多便利，無論是個人社交行為，還是商業活動都開始離不開網絡了。但是網際空間帶來了機遇的同時，也帶來了威脅，其中DDoS就是最具破壞力的攻擊，通過這些年的不斷發展，它已經成為不同組織和個人的攻擊，用于網絡中的勒索、報複，甚至網絡戰争。

什麼是拒絕服務攻擊(DOS)

DoS是Denial of Service的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最後導緻合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。

什麼是分布式拒絕服務攻擊(DDoS)

分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術，将多個計算機聯合起來作為攻擊平台，對一個或多個目标發動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。

DDoS分類

在講防禦之前簡單介紹一下各類攻擊，因為DDoS是一類攻擊而并不是一種攻擊，并且DDoS的防禦是一個可以做到相對自動化但做不到絕對自動化的過程，很多演進的攻擊方式自動化不一定能識别，還是需要進一步的專家肉眼判斷。

網絡層攻擊

◆ Syn-flood

利用TCP建立連接時3次握手的“漏洞”，通過原始套接字發送源地址虛假的SYN報文，使目标主機永遠無法完成3次握手，占滿了系統的協議棧隊列，資源得不到釋放，進而拒絕服務，是互聯網中最主要的DDoS攻擊形式之一。

◆ ACK-flood

對于虛假的ACK包，目标設備會直接回複RST包丢棄連接，所以傷害值遠不如syn-flood。DDoS的一種原始方式。

◆ UDP-flood

使用原始套接字僞造大量虛假源地址的UDP包，目前以DNS協議為主。

◆ ICMP-flood

Ping洪水，短時間内向目的主機發送大量ping包，造成網絡堵塞或主機資源耗盡。比較古老的方式。

◆ Land-based

攻擊者将一個包的源地址和目的地址都設置為目标主機的地址，然後将該包通過IP欺騙的方式發送給被攻擊主機，這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環，從而很大程度地降低了系統性能。

應用層攻擊

◆ CC

ChallengeCollapsar的名字源于挑戰國内知名安全廠商綠盟的抗DDoS設備-“黑洞”，通過botnet的傀儡主機或尋找匿名代理服務器，向目标發起大量真實的http請求，最終消耗掉大量的并發資源，拖慢整個網站甚至徹底拒絕服務。

◆ DNS flood

僞造源地址的海量DNS請求，用于是淹沒目标的DNS服務器。對于攻擊特定企業權威DNS的場景，可以将源地址設置為各大ISP DNS服務器的ip地址以突破白名單限制，将查詢的内容改為針對目标企業的域名做随機化處理，當查詢無法命中緩存時，服務器負載會進一步增大。

慢速連接攻擊

針對http協議，以知名的slowloris攻擊為起源：先建立http連接，設置一個較大的content-length，每次隻發送很少的字節，讓服務器一直以為http頭部沒有傳輸完成，這樣的連接一多很快就會出現連接耗盡。目前出現了一些變種，http慢速的post請求和慢速的read請求都是基于相同的原理。

系統漏洞性攻擊

有些服務器程序存在bug、安全漏洞，或架構性缺陷，攻擊者可以通過構造的畸形請求發送給服務器，服務器因不能正确處理惡意請求而陷入僵死狀态，導緻拒絕服務。例如某些版本的app服務器程序存在緩沖區溢出，漏洞可以觸發但無法得到shell，攻擊者可以改變程序執行流程使其跳轉到空指針或無法處理的地址，用戶态的錯誤會導緻進程挂起，如果錯誤不能被内核回收則可能使系統當掉。

DDoS攻擊方式

混合型

在實際大流量的攻擊中，通常并不是以上述一種數據類型來攻擊，往往是混雜了TCP和UDP流量，網絡層和應用層攻擊同時進行。

反射型

反射型攻擊的本質是利用“質詢-應答”式協議，将質詢包的源地址通過原始套接字僞造設置為目标地址，則應答的“回包”都被發送至目标，如果回包體積比較大或協議支持遞歸效果，攻擊流量會被放大，成為一種高性價比的流量型攻擊。反射型攻擊利用的協議目前包括NTP、Chargen、SSDP、DNS、RPC portmap等等。

流量放大型

以上面提到的DRDOS中常見的SSDP協議為例，攻擊者将Search type設置為ALL，搜索所有可用的設備和服務，這種遞歸效果産生的放大倍數是非常大的，攻擊者隻需要以較小的僞造源地址的查詢流量就可以制造出幾十甚至上百倍的應答流量發送至目标。

脈沖型

很多攻擊持續的時間非常短，通常5分鐘以内，流量圖上表現為突刺狀的脈沖。之所以這樣的攻擊流行是因為“打-打-停-停”的效果最好，剛觸發防禦阈值，防禦機制開始生效攻擊就停了，周而複始。蚊子不叮你，卻在耳邊飛，剛開燈想打它就跑沒影了，當你剛關燈它又來了，你就沒法睡覺。

鍊路泛洪

随着DDoS攻擊技術的發展，又出現了一種新型的攻擊方式link-flooding attack，這種方式不直接攻擊目标而是以堵塞目标網絡的上一級鍊路為目的。對于使用了ip anycast的企業網絡來說，常規的DDoS攻擊流量會被“分攤”到不同地址的基礎設施，這樣能有效緩解大流量攻擊，所以攻擊者發明了一種新方法，攻擊至目标網絡traceroute的倒數第二跳，即上聯路由，緻使鍊路擁塞。國内ISP目前未開放anycast，所以這種攻擊方式的必要性有待觀望。對一級ISP和IXP的攻擊都可以使鍊路擁塞。

DDoS防護

DDoS分層防護技術

● ISP清洗：

當客戶某核心業務遭受大規模DDoS攻擊的時候，可以求助上級ISP進行流量清洗。一般分為兩類：

● ISP近源清洗：

絕大多數最終客戶來說是不可見的，ISP運用自身強大的現網資源，先進的流量識别分析技術，大量的數據來源，判斷是否将流量黑洞掉。

● ISP近目的清洗：

對很多大型單位單位來說是必備的服務，其目的就是當客戶某核心業務遭受大規模DDoS攻擊的時候，可以求助上級ISP進行流量清洗。

● CDN負載均衡：

可以理解為雲清洗服務，是第三方流量清洗服務商為客戶提供的“上遊”DDoS清洗服務。其實現方式是預先設定好網站的CNAME， 并将域名指向這些服務商的DNS服務器，進行流量清洗，和流量回注，本質上說，這種方式并不是DDoS防護産品，但對于WEB類業務而言，恰恰具備一定的防護能力。

● 本地DDoS防禦：

在數據中心本地還需要進行防護是因為ISP防護往往是粗暴的，不區分請求源真實性的，這就導緻很多正常用戶的請求也被攔截，同時小流量的防護通過本地抗DDoS設備防護，效果和成本相對更合算，對透過CDN防護到達源站的動态請求無法進行有效防護的這類場景，也需要在本地進行防護。

● 服務端DDoS防禦策略：

通過做鍊路均衡、本地服務器的負載均衡，提高出口帶寬，提高自身系統的健壯性。

綠盟科技綜合抗DDoS服務

◆ 本地清洗

智能防禦算法，精确識别和防禦DDoS攻擊

防護各類已知和未知的DDoS攻擊，有效應對中小規模，複雜流量攻擊

自動清洗，在發現攻擊時會自動進行流量牽引和清洗

安全專家團隊全天候遠程值守

◆ 雲端清洗

海量清洗，最高300Gbps雲端防護能力

電信，聯通雙鍊路清洗

支持TCP/UDP/HTTP/HTTPS

适合金融、電商、遊戲、門戶、媒體等各類業務場景

◆ 優勢

全面防禦：本地＋雲端，全面對抗DDoS攻擊，免于封IP，業務不再受影響

性價比高：不改變現有的網絡結構，免安裝，免部署，免維護

響應速度快：安全專家團隊全天候遠程守候

超乎尋常的穩定：本地清洗旁路部署，發現攻擊時進行牽引，其他流量不受影響

成熟經驗：15年抗DDoS産品和流量清洗經驗，幫助國内外客戶建設，運營數百個清洗中心，國内唯一一家能夠面向全行業用戶提供抗拒服務攻擊解決方案的專業廠商。

請點擊屏幕右上方“…”

關注綠盟科技公衆号

NSFOCUS-weixin

↑↑↑長按二維碼，下載綠盟雲APP

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!