大型ddos恶意流量攻击_大型DDoS恶意流量攻击

什么是 DDoS 攻击

拒绝服务（DDoS）攻击和分布式拒绝服务（DDoS）攻击都是恶意的行为，利用大量互联网流量淹没目标服务器、服务或网络，破坏它们的正常运作。

DoS 攻击通过从单一机器（通常是一台计算机）发送恶意流量来实现这种破坏。形式可以非常简单；通过向目标服务器发送数量超过其有效处理和响应能力的ICMP（Ping）请求，发动基本的 Ping 洪水攻击。

另一方面，DDoS 攻击使用一台以上的机器向目标发送恶意流量。这些机器通常是僵尸网络（感染了恶意软件的计算机或其他设备的集合）的一部分，因而可以由单个攻击者进行远程控制。在其他情形中，多名个体攻击者可以串通起来，一起从各自的个体计算机发送流量来发动 DDoS 攻击。

DDoS 攻击在现代互联网中更为普遍，破坏性也更强，原因有二。首先，现代安全工具已经发展为能够阻止一些普通的 DoS 攻击。其次，DDoS 攻击工具已经变得相对廉价且易于操作。

如何防御 DoS/DDoS 工具？

既然 DoS 和 DDoS 攻击采取多种不同的形式，缓解它们也需要不同的策略。阻止 DDoS 攻击的常见策略有：

速率限制：限制服务器在特定时间范围内接受的请求数量

Web 应用程序防火墙：使用工具来基于一系列规则过滤 Web 流量

CDN网络扩散：在服务器和传入流量之间置入一个大型分布式云网络，以提供额外的计算资源来响应请求。

百度云加速应用了所有这些及其他策略，来防御最大、最复杂的 DoS 和 DDoS 攻击。

相关链接

什么是DDOS攻击?

DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务，而DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection Denial of Service的简写,这是分布反射式拒绝服务的意思。

不过这3中攻击方法最厉害的还是DDoS，那个DRDoS攻击虽然是新近出的一种攻击方法，但它只是DDoS攻击的变形，它的唯一不同就是不用占领大量的“肉鸡”。这三种方法都是利用TCP三次握手的漏洞进行攻击的，所以对它们的防御办法都是差不多的。

DoS攻击是最早出现的，它的攻击方法说白了就是单挑，是比谁的机器性能好、速度快。但是现在的科技飞速发展，一般的网站主机都有十几台主机，而且各个主机的处理能力、内存大小和网络速度都有飞速的发展，有的网络带宽甚至超过了千兆级别。这样我们的一对一单挑式攻击就没有什么作用了，搞不好自己的机子就会死掉。举个这样的攻击例子，假如你的机器每秒能够发送10个攻击用的数据包，而被你攻击的机器(性能、网络带宽都是顶尖的)每秒能够接受并处理100攻击数据包，那样的话，你的攻击就什么用处都没有了，而且非常有死机的可能。要知道，你若是发送这种1Vs1的攻击，你的机器的CPU占用率是90%以上的，你的机器要是配置不够高的话，那你就死定了。

不过，科技在发展，黑客的技术也在发展。正所谓道高一尺，魔高一仗。经过无数次当机，黑客们终于又找到一种新的DoS攻击方法，这就是DDoS攻击。它的原理说白了就是群殴，用好多的机器对目标机器一起发动DoS攻击，但这不是很多黑客一起参与的，这种攻击只是由一名黑客来操作的。这名黑客不是拥有很多机器，他是通过他的机器在网络上占领很多的“肉鸡”，并且控制这些“肉鸡”来发动DDoS攻击，要不然怎么叫做分布式呢。还是刚才的那个例子，你的机器每秒能发送10攻击数据包，而被攻击的机器每秒能够接受100的数据包，这样你的攻击肯定不会起作用，而你再用10台或更多的机器来对被攻击目标的机器进行攻击的话，嘿嘿!结果我就不说了。

DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形，它与DDoS的不同之处就是DrDoS不需要在攻击之前占领大量的“肉鸡”。它的攻击原理和Smurf攻击原理相近，不过DRDoS是可以在广域网上进行的，而Smurf攻击是在局域网进行的。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时，会接到它的回应;如果向本网络的广播地址发送请求包，实际上会到达网络上所有的计算机，这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的，每处理一个就要占用一份系统资源，如果同时接到网络上所有计算机的回应，接收方的系统是有可能吃不消的，就象遭到了DDoS攻击一样。不过是没有人笨到自己攻击自己，不过这种方法被黑客加以改进就具有很大的威力了。黑客向广播地址发送请求包，所有的计算机得到请求后，却不会把回应发到黑客那里，而是发到被攻击主机。这是因为黑客冒充了被攻击主机。黑客发送请求包所用的软件是可以伪造源地址的，接到伪造数据包的主机会根据源地址把回应发出去，这当然就是被攻击主机的地址。黑客同时还会把发送请求包的时间间隔减小，这样在短时间能发出大量的请求包，使被攻击主机接到从被欺骗计算机那里传来的洪水般的回应，就像遭到了DDoS攻击导致系统崩溃。骇客借助了网络中所有计算机来攻击受害者，而不需要事先去占领这些被欺骗的主机，这就是Smurf攻击。而DRDoS攻击正是这个原理，黑客同样利用特殊的发包工具，首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上，根据TCP三次握手的规则，这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。同Smurf攻击一样，黑客所发送的请求包的源IP地址是被攻击主机的地址，这样受欺骗的主机就都会把回应发到被攻击主机处，造成被攻击主机忙于处理这些回应而瘫痪。

通过 TCP 进行的内部蠕虫传播

连接表安全漏洞利用

蠕虫传播期间的未决域名系统 (DNS) 安全漏洞利用

淹没攻击期间的连续 TCP 连接

使用现有连接的超文本传输协议 (HTTP) DDoS

遭到大流量DDoS攻击如何清洗？

1.本地DDos防护设备

一般恶意组织发起DDos攻击时，率先感知并起作用的一般为本地数据中心内的DDos防护设备，金融机构本地防护设备较多采用旁路镜像部署方式。

本地DDos防护设备一般分为DDos检测设备、清洗设备和管理中心。首先，DDos检测设备日常通过流量基线自学习方式，按各种和防御有关的维度：比如syn报文速率、http访问速率等进行统计，形成流量模型基线，从而生成防御阈值。

学习结束后继续按基线学习的维度做流量统计，并将每一秒钟的统计结果和防御阈值进行比较，超过则认为有异常，通告管理中心。

由管理中心下发引流策略到清洗设备，启动引流清洗。异常流量清洗通过特征、基线、回复确认等各种方式对攻击流量进行识别、清洗。

经过异常流量清洗之后，为防止流量再次引流至DDos清洗设备，可通过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络，访问目标系统。

2.运营商清洗服务

当流量型攻击的攻击流量超出互联网链路带宽或本地DDos清洗设备性能不足以应对DDos流量攻击时，需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗。

运营商通过各级DDos防护设备以清洗服务的方式帮助用户解决带宽消耗型的DDos攻击行为。实践证明，运营商清洗服务在应对流量型DDos攻击时较为有效。

3.云清洗服务

当运营商DDos流量清洗不能实现既定效果的情况下，可以考虑紧急启用运营商云清洗服务来进行最后的对决。

依托运营商骨干网分布式部署的异常流量清洗中心，实现分布式近源清洗技术，在运营商骨干网络上靠近攻击源的地方把流量清洗掉，提升攻击对抗能力。

具备适用场景的可以考虑利用CNAME或域名方式，将源站解析到安全厂商云端域名，实现引流、清洗、回注，提升抗D能力。进行这类清洗需要较大的流量路径改动，牵涉面较大，一般不建议作为日常常规防御手段。锐速云你身边的网络安全专家

以上三种防御方式存在共同的缺点，由于本地DDos防护设备及运营商均不具备HTTPS加密流量解码能力，导致针对HTTPS流量的防护能力有限;

同时由于运营商清洗服务多是基于Flow的方式检测DDos攻击，且策略的颗粒度往往较粗，因此针对CC或HTTP慢速等应用层特征的DDos攻击类型检测效果往往不够理想。

对比三种方式的不同适用场景，发现单一解决方案不能完成所有DDos攻击清洗，因为大多数真正的DDos攻击都是“混合”攻击(掺杂各种不同的攻击类型)。

比如：以大流量反射做背景，期间混入一些CC和连接耗尽，以及慢速攻击。这时很有可能需要运营商清洗(针对流量型的攻击)先把80%以上的流量清洗掉，把链路带宽清出来;在剩下的20%里很有可能还有80%是攻击流量(类似CC攻击、HTTP慢速攻击等)，那么就需要本地配合进一步进行清洗。