浅析DDoS的攻击及防护

现现在，信息技术的发展为人们带来了诸多便利，不管是我的社交行为，仍是商业活动都开始离不开网络了。可是网际空间带来了机遇的同时，也带来了威胁，其中DDoS就是最具破坏力的攻击，经过这些年的不断发展，它已经成为不一样组织和我的的攻击，用于网络中的勒索、报复，甚至网络战争。

先聊聊DDoS的概念和发展

在说发展以前，咱先得对分布式拒绝服务（DDoS）的基本概念有个大致了解。

啥叫“拒绝服务”攻击呢？

其实能够简单理解为：让一个公开网站没法访问。要达到这个目的的方法也很简单：不断地提出服务请求，让合法用户的请求没法及时处理。

啥叫“分布式”呢？

其实随着网络发展，不少大型企业具有较强的服务提供能力，因此应付单个请求的攻击已经不是问题。道高一尺，魔高一丈，因而乎攻击者就组织不少同伙，同时提出服务请求，直到服务没法访问，这就叫“分布式”。可是在现实中，通常的攻击者没法组织各地伙伴协同“做战”，因此会使用“僵尸网络”来控制N多计算机进行攻击。

啥叫“僵尸网络”呢？

就是数量庞大的僵尸程序（Bot）经过必定方式组合，出于恶意目的，采用一对多的方式进行控制的大型网络，也能够说是一种复合性攻击方式。由于僵尸主机的数量很大并且分布普遍，因此危害程度和防护难度都很大。
僵尸网络具有高可控性，控制者能够在发布指令以后，就断开与僵尸网络的链接，而控制指令会自动在僵尸程序间传播执行。

恶意代码类型

这就像个生态系统同样，对于安全研究人员来讲，经过捕获一个节点能够发现此僵尸网络的许多僵尸主机，但很难窥其全貌，并且即使封杀一些僵尸主机，也不会影响整个僵尸网络的生存。

DDoS的发展咋样？

正所谓“以史为鉴，能够知兴替”。既然大概了解DDoS是啥了，我们就说说它的历史发展吧。
最先的时候，黑客们都是大都是为了炫耀我的技能，因此攻击目标选择都很随意，娱乐性比较强。后来，有一些宗教组织和商业组织发现了这个攻击的效果，就以勒索、报复等方式为目的，对特定目标进行攻击，并开发一些相应的工具，保证攻击成本下降。当国家级政治势力意识到这个价值的时候，DDoS就开始被武器化了，很容易就被用于精确目标的网络战争中。

DDoS态势分析

根据绿盟科技最新的DDoS态势分析，从全球的流量分布来看，中国和美国是DDoS受灾的重灾区。

再谈谈DDoS的攻击方式

分布式拒绝服务攻击的精髓是：利用分布式的客户端，向目标发起大量看上去合法的请求，消耗或者占用大量资源，从而达到拒绝服务的目的。

DDoS攻击

其主要攻击方法有4种：

一、 攻击带宽

跟帝都的交通堵塞状况同样，你们都该清楚，当网络数据包的数量达到或者超过上限的时候，会出现网络拥堵、响应缓慢的状况。DDoS就是利用这个原理，发送大量网络数据包，占满被攻击目标的所有带宽，从而形成正常请求失效，达到拒绝服务的目的。

攻击者可使用ICMP洪水攻击（即发送大量ICMP相关报文）、或者UDP洪水攻击（即发送用户数据报协议的大包或小包），使用伪造源IP地址方式进行隐匿，并对网络形成拥堵和服务器响应速度变慢等影响。

可是这种直接方式一般依靠受控主机自己的网络性能，因此效果不是很好，还容易被查到攻击源头。因而反射攻击就出现，攻击者使用特殊的数据包，也就是IP地址指向做为反射器的服务器，源IP地址被伪形成攻击目标的IP，反射器接收到数据包的时候就被骗了，会将响应数据发送给被攻击目标，而后就会耗尽目标网络的带宽资源。

二、 攻击系统

建立TCP链接须要客户端与服务器进行三次交互，也就是常说的“三次握手”。这个信息一般被保存在链接表结构中，可是表的大小有限，因此当超过了存储量，服务器就没法建立新的TCP链接了。

攻击者就是利用这一点，用受控主机创建大量恶意的TCP链接，占满被攻击目标的链接表，使其没法接受新的TCP链接请求。若是攻击者发送了大量的TCP SYN报文，使服务器在短期内产生大量的半开链接，链接表也会被很快占满，致使没法创建新的TCP链接，这个方式是SYN洪水攻击，不少攻击者都比较经常使用。

DDoS攻击系统

三、 攻击应用

因为DNS和Web服务的普遍性和重要性，这两种服务就成为了消耗应用资源的分布式拒绝服务攻击的主要目标。

好比向DNS服务器发送大量查询请求，从而达到拒绝服务的效果，若是每个DNS解析请求所查询的域名都是不一样的，那么就有效避开服务器缓存的解析记录，达到更好的资源消耗效果。当DNS服务的可用性受到威胁，互联网上大量的设备都会受到影响而没法正常使用。

近些年，Web技术发展很是迅速，若是攻击者利用大量的受控主机不断地向Web服务器恶意发送大量HTTP请求，要求Web服务器处理，就会彻底占用服务器资源，让正经常使用户的Web访问请求得不处处理，致使拒绝服务。一旦Web服务受到这种攻击，就会对其承载的业务形成致命的影响。

四、 混合攻击

在实际的生活中，乖哦概念记者并不关心本身使用的哪一种攻击方法管用，只要可以达到目的，通常就会发动其全部的攻击手段，尽其所能的展开攻势。对于被攻击目标来讲，须要面对不一样的协议、不一样资源的分布式拒绝服务攻击，分析、响应和处理的成本就会大大增长。

随着僵尸网络向着小型化的趋势发展，为下降攻击成本，有效隐藏攻击源，躲避安全设备，同时保证攻击效果，针对应用层的小流量慢速攻击已经逐步发展壮大起来。所以，从另外一个角度来讲，DDoS攻击方面目前主要是两个方面：UDP及反射式大流量高速攻击、和多协议小流量及慢速攻击。

HACKER

也说说DDoS的攻击工具

国人比较讲究：工欲善其事必先利其器。随着开源的DDoS工具扑面而来，网络攻击变得愈来愈容易，威胁也愈来愈严重。 工具备不少，简单介绍几款知名的，让你们有个简单了解。

LOIC

LOIC

LOIC低轨道离子炮，是一个最受欢迎的DOS攻击的淹没式工具，会产生大量的流量，能够在多种平台运行，包括Linux、Windows、Mac OS、Android等等。早在2010年，黑客组织对反对维基解密的公司和机构的攻击活动中，该工具就被下载了3万次以上。

LOIC界面友好，易于使用，初学者也能够很快上手。可是因为该工具须要使用真实IP地址，如今Anonymous已经停用了。

HULK (HTTP Unbearable Load King)

HULK

HULK是另外一个DOS攻击工具，这个工具使用UserAgent的伪造，来避免攻击检测，能够经过启动500线程对目标发起高频率HTTP GET FLOOD请求，牛逼的是每一次请求都是独立的，能够绕过服务端的缓存措施，让全部请求获得处理。HULK是用Python语言编写，对得到源码进行更改也很是方便。

R.U.D.Y.

R-U-Dead-Yet是一款采用慢速HTTP POST请求方式进行DOS攻击的工具，它提供了一个交互式控制台菜单，检测给定的URL，并容许用户选择哪些表格和字段应用于POST-based DOS攻击，操做很是简单。

R.U.D.Y.

并且它也使用的是Python语言编写，可移植性很是好。R.U.D.Y.可以对全部类型的Web服务端软件形成影响，所以攻击的威胁很是大。

这些工具在保持攻击力的同时还再增强易用性，而免费和开源下降了使用的门槛，相信随着攻防对抗的升级，工具会愈来愈智能化。

最后唠唠DDoS的防护

个人导师教过我：DDoS攻击只是手段，最终目的是永远的利益。而将来网络战争将会出现更加普遍的攻击、更加频繁的攻击和更加精准的攻击，面对这些来临的时候，咱们应该如何应对？

DDoS的防护

　设置高性能设备

要保证网络设备不能成为瓶颈，所以选择路由器、交换机、硬件防火墙等设备的时候要尽可能选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处作一下流量限制来对抗某些种类的DDoS攻击是很是有效的。

　带宽得保证

网络带宽直接决定了能抗受攻击的能力，倘若仅仅有10M带宽的话，不管采起什么措施都很难对抗如今的SYN Flood攻击。因此，最好选择100M的共享带宽，固然是挂在1000M的主干上了。

　不要忘记升级

在有网络带宽保证的前提下，请尽可能提高硬件配置，要有效对抗每秒10万个SYN攻击包。并且最好能够进行优化资源使用，提升web server 的负载能力。

　异常流量的清洗

经过DDoS硬件防火墙对异常流量的清洗过滤，经过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。

　考虑把网站作成静态页面

把网站尽量作成静态页面，不只能大大提升抗攻击能力，并且还给黑客入侵带来很多麻烦，最好在须要调用数据库的脚本中，拒绝使用代理的访问，经验代表，使用代理访问你网站的80%属于恶意行为。

　分布式集群防护

这是目前网络安全界防护大规模DDoS攻击的最有效办法。分布式集群防护的特色是在每一个节点服务器配置多个IP地址，而且每一个节点能承受不低于10G的DDoS攻击，如一个节点受攻击没法提供服务，系统将会根据优先级设置自动切换另外一个节点，并将攻击者的数据包所有返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防御角度去影响企业的安全执行决策。

就DDoS防护方面来讲，目前主要是两个方面，大流量攻击能够交给运营商及云端清洗，小流量攻击能够在企业本地进行设备防御，这个分界点根据行业及业务特性的不一样会有所差别，大概的量级应该在百兆BPS左右。相关的缓解与治理，有兴趣的童鞋能够看看鲍旭华的《破坏之王》，会有不小的启示。

DDoS的防护1

其实，对抗DDoS攻击是一个涉及多个层面的问题，在有的环节，有效性和收益率并不对等。因此须要各方面合做，用户也能够多多听听专家的意见，针对攻击事先作好应对的应急方案。有句话说：“god helps those who help themselves.”意思是，上帝只帮助那些自助的人，所以面对DDoS的攻击，你们须要具有安全意识，完善自身的安全防御体系才是正解。

写在最后的话

随着全球互联网业务和云计算的发展热潮，能够预见到，针对云数据中心的DDoS攻击频率还会大幅度增加，攻击手段也会更加复杂。安全工做是一个长期持续性而非阶段性的工做，因此须要时刻保持一种警觉，并且网络安全不只仅是某个企业的责任，更是全社会的共同责任，须要你们共同努力。