淺析DDoS的攻擊及防護

時間 2019-11-12

原文原文鏈接

現現在，信息技術的發展爲人們帶來了諸多便利，不管是我的社交行爲，仍是商業活動都開始離不開網絡了。可是網際空間帶來了機遇的同時，也帶來了威脅，其中DDoS就是最具破壞力的攻擊，經過這些年的不斷髮展，它已經成爲不一樣組織和我的的攻擊，用於網絡中的勒索、報復，甚至網絡戰爭。web

先聊聊DDoS的概念和發展

在說發展以前，咱先得對分佈式拒絕服務（DDoS）的基本概念有個大致瞭解。數據庫

啥叫「拒絕服務」攻擊呢？

其實能夠簡單理解爲：讓一個公開網站沒法訪問。要達到這個目的的方法也很簡單：不斷地提出服務請求，讓合法用戶的請求沒法及時處理。緩存

啥叫「分佈式」呢？

其實隨着網絡發展，不少大型企業具有較強的服務提供能力，因此應付單個請求的攻擊已經不是問題。道高一尺，魔高一丈，因而乎攻擊者就組織不少同夥，同時提出服務請求，直到服務沒法訪問，這就叫「分佈式」。可是在現實中，通常的攻擊者沒法組織各地夥伴協同「做戰」，因此會使用「僵屍網絡」來控制N多計算機進行攻擊。安全

啥叫「僵屍網絡」呢？

就是數量龐大的殭屍程序（Bot）經過必定方式組合，出於惡意目的，採用一對多的方式進行控制的大型網絡，也能夠說是一種複合性攻擊方式。由於殭屍主機的數量很大並且分佈普遍，因此危害程度和防護難度都很大。
僵屍網絡具有高可控性，控制者能夠在發佈指令以後，就斷開與僵屍網絡的鏈接，而控制指令會自動在殭屍程序間傳播執行。服務器

惡意代碼類型網絡

這就像個生態系統同樣，對於安全研究人員來講，經過捕獲一個節點能夠發現此僵屍網絡的許多殭屍主機，但很難窺其全貌，並且即使封殺一些殭屍主機，也不會影響整個僵屍網絡的生存。分佈式

DDoS的發展咋樣？

正所謂「以史爲鑑，能夠知興替」。既然大概瞭解DDoS是啥了，我們就說說它的歷史發展吧。
最先的時候，黑客們都是大都是爲了炫耀我的技能，因此攻擊目標選擇都很隨意，娛樂性比較強。後來，有一些宗教組織和商業組織發現了這個攻擊的效果，就以勒索、報復等方式爲目的，對特定目標進行攻擊，並開發一些相應的工具，保證攻擊成本下降。當國家級政治勢力意識到這個價值的時候，DDoS就開始被武器化了，很容易就被用於精確目標的網絡戰爭中。工具

DDoS態勢分析性能

根據綠盟科技最新的DDoS態勢分析，從全球的流量分佈來看，中國和美國是DDoS受災的重災區。優化

再談談DDoS的攻擊方式

分佈式拒絕服務攻擊的精髓是：利用分佈式的客戶端，向目標發起大量看上去合法的請求，消耗或者佔用大量資源，從而達到拒絕服務的目的。

DDoS攻擊

其主要攻擊方法有4種：

一、攻擊帶寬

跟帝都的交通堵塞狀況同樣，你們都該清楚，當網絡數據包的數量達到或者超過上限的時候，會出現網絡擁堵、響應緩慢的狀況。DDoS就是利用這個原理，發送大量網絡數據包，佔滿被攻擊目標的所有帶寬，從而形成正常請求失效，達到拒絕服務的目的。

攻擊者可使用ICMP洪水攻擊（即發送大量ICMP相關報文）、或者UDP洪水攻擊（即發送用戶數據報協議的大包或小包），使用僞造源IP地址方式進行隱匿，並對網絡形成擁堵和服務器響應速度變慢等影響。

可是這種直接方式一般依靠受控主機自己的網絡性能，因此效果不是很好，還容易被查到攻擊源頭。因而反射攻擊就出現，攻擊者使用特殊的數據包，也就是IP地址指向做爲反射器的服務器，源IP地址被僞形成攻擊目標的IP，反射器接收到數據包的時候就被騙了，會將響應數據發送給被攻擊目標，而後就會耗盡目標網絡的帶寬資源。

二、攻擊系統

建立TCP鏈接須要客戶端與服務器進行三次交互，也就是常說的「三次握手」。這個信息一般被保存在鏈接表結構中，可是表的大小有限，因此當超過了存儲量，服務器就沒法建立新的TCP鏈接了。

攻擊者就是利用這一點，用受控主機創建大量惡意的TCP鏈接，佔滿被攻擊目標的鏈接表，使其沒法接受新的TCP鏈接請求。若是攻擊者發送了大量的TCP SYN報文，使服務器在短期內產生大量的半開鏈接，鏈接表也會被很快佔滿，致使沒法創建新的TCP鏈接，這個方式是SYN洪水攻擊，不少攻擊者都比較經常使用。

DDoS攻擊系統

三、攻擊應用

因爲DNS和Web服務的普遍性和重要性，這兩種服務就成爲了消耗應用資源的分佈式拒絕服務攻擊的主要目標。

好比向DNS服務器發送大量查詢請求，從而達到拒絕服務的效果，若是每個DNS解析請求所查詢的域名都是不一樣的，那麼就有效避開服務器緩存的解析記錄，達到更好的資源消耗效果。當DNS服務的可用性受到威脅，互聯網上大量的設備都會受到影響而沒法正常使用。

近些年，Web技術發展很是迅速，若是攻擊者利用大量的受控主機不斷地向Web服務器惡意發送大量HTTP請求，要求Web服務器處理，就會徹底佔用服務器資源，讓正經常使用戶的Web訪問請求得不處處理，致使拒絕服務。一旦Web服務受到這種攻擊，就會對其承載的業務形成致命的影響。

四、混合攻擊

在實際的生活中，乖哦概念記者並不關心本身使用的哪一種攻擊方法管用，只要可以達到目的，通常就會發動其全部的攻擊手段，盡其所能的展開攻勢。對於被攻擊目標來講，須要面對不一樣的協議、不一樣資源的分佈式拒絕服務攻擊，分析、響應和處理的成本就會大大增長。

隨着僵屍網絡向着小型化的趨勢發展，爲下降攻擊成本，有效隱藏攻擊源，躲避安全設備，同時保證攻擊效果，針對應用層的小流量慢速攻擊已經逐步發展壯大起來。所以，從另外一個角度來講，DDoS攻擊方面目前主要是兩個方面：UDP及反射式大流量高速攻擊、和多協議小流量及慢速攻擊。

HACKER

也說說DDoS的攻擊工具

國人比較講究：工欲善其事必先利其器。隨着開源的DDoS工具撲面而來，網絡攻擊變得愈來愈容易，威脅也愈來愈嚴重。工具備不少，簡單介紹幾款知名的，讓你們有個簡單瞭解。

LOIC

LOIC低軌道離子炮，是一個最受歡迎的DOS攻擊的淹沒式工具，會產生大量的流量，能夠在多種平臺運行，包括Linux、Windows、Mac OS、Android等等。早在2010年，黑客組織對反對維基解密的公司和機構的攻擊活動中，該工具就被下載了3萬次以上。

LOIC界面友好，易於使用，初學者也能夠很快上手。可是因爲該工具須要使用真實IP地址，如今Anonymous已經停用了。

HULK (HTTP Unbearable Load King)

HULK

HULK是另外一個DOS攻擊工具，這個工具使用UserAgent的僞造，來避免攻擊檢測，能夠經過啓動500線程對目標發起高頻率HTTP GET FLOOD請求，牛逼的是每一次請求都是獨立的，能夠繞過服務端的緩存措施，讓全部請求獲得處理。HULK是用Python語言編寫，對得到源碼進行更改也很是方便。

R.U.D.Y.

R-U-Dead-Yet是一款採用慢速HTTP POST請求方式進行DOS攻擊的工具，它提供了一個交互式控制檯菜單，檢測給定的URL，並容許用戶選擇哪些表格和字段應用於POST-based DOS攻擊，操做很是簡單。

R.U.D.Y.

並且它也使用的是Python語言編寫，可移植性很是好。R.U.D.Y.可以對全部類型的Web服務端軟件形成影響，所以攻擊的威脅很是大。

這些工具在保持攻擊力的同時還再增強易用性，而免費和開源下降了使用的門檻，相信隨着攻防對抗的升級，工具會愈來愈智能化。

最後嘮嘮DDoS的防護

個人導師教過我：DDoS攻擊只是手段，最終目的是永遠的利益。而將來網絡戰爭將會出現更加普遍的攻擊、更加頻繁的攻擊和更加精準的攻擊，面對這些來臨的時候，咱們應該如何應對？

DDoS的防護

　設置高性能設備

要保證網絡設備不能成爲瓶頸，所以選擇路由器、交換機、硬件防火牆等設備的時候要儘可能選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關係或協議的話就更好了，當大量攻擊發生的時候請他們在網絡接點處作一下流量限制來對抗某些種類的DDoS攻擊是很是有效的。

　帶寬得保證

網絡帶寬直接決定了能抗受攻擊的能力，倘若僅僅有10M帶寬的話，不管採起什麼措施都很難對抗如今的SYN Flood攻擊。因此，最好選擇100M的共享帶寬，固然是掛在1000M的主幹上了。

　不要忘記升級

在有網絡帶寬保證的前提下，請儘可能提高硬件配置，要有效對抗每秒10萬個SYN攻擊包。並且最好能夠進行優化資源使用，提升web server 的負載能力。

　異常流量的清洗

經過DDoS硬件防火牆對異常流量的清洗過濾，經過數據包的規則過濾、數據流指紋檢測過濾、及數據包內容定製過濾等頂尖技術能準確判斷外來訪問流量是否正常，進一步將異常流量禁止過濾。

　考慮把網站作成靜態頁面

把網站儘量作成靜態頁面，不只能大大提升抗攻擊能力，並且還給黑客入侵帶來很多麻煩，最好在須要調用數據庫的腳本中，拒絕使用代理的訪問，經驗代表，使用代理訪問你網站的80%屬於惡意行爲。

　分佈式集羣防護

這是目前網絡安全界防護大規模DDoS攻擊的最有效辦法。分佈式集羣防護的特色是在每一個節點服務器配置多個IP地址，而且每一個節點能承受不低於10G的DDoS攻擊，如一個節點受攻擊沒法提供服務，系統將會根據優先級設置自動切換另外一個節點，並將攻擊者的數據包所有返回發送點，使攻擊源成爲癱瘓狀態，從更爲深度的安全防禦角度去影響企業的安全執行決策。

就DDoS防護方面來講，目前主要是兩個方面，大流量攻擊能夠交給運營商及雲端清洗，小流量攻擊能夠在企業本地進行設備防禦，這個分界點根據行業及業務特性的不一樣會有所差別，大概的量級應該在百兆BPS左右。相關的緩解與治理，有興趣的童鞋能夠看看鮑旭華的《破壞之王》，會有不小的啓示。

DDoS的防護1

其實，對抗DDoS攻擊是一個涉及多個層面的問題，在有的環節，有效性和收益率並不對等。因此須要各方面合做，用戶也能夠多多聽聽專家的意見，針對攻擊事先作好應對的應急方案。有句話說：「god helps those who help themselves.」意思是，上帝只幫助那些自助的人，所以面對DDoS的攻擊，你們須要具有安全意識，完善自身的安全防禦體系纔是正解。