Ddos攻击事件_ddos攻击破案

什么是DDOS攻击？

DDOS是英文Distributed Denial of Service的缩写,意即分布式拒绝服务攻击，俗称洪水攻击。DDOS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水攻击”。（上述内容仅适用于广东联通用户）

什么是DDOS攻击?

DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务，而DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection Denial of Service的简写,这是分布反射式拒绝服务的意思。

不过这3中攻击方法最厉害的还是DDoS，那个DRDoS攻击虽然是新近出的一种攻击方法，但它只是DDoS攻击的变形，它的唯一不同就是不用占领大量的“肉鸡”。这三种方法都是利用TCP三次握手的漏洞进行攻击的，所以对它们的防御办法都是差不多的。

DoS攻击是最早出现的，它的攻击方法说白了就是单挑，是比谁的机器性能好、速度快。但是现在的科技飞速发展，一般的网站主机都有十几台主机，而且各个主机的处理能力、内存大小和网络速度都有飞速的发展，有的网络带宽甚至超过了千兆级别。这样我们的一对一单挑式攻击就没有什么作用了，搞不好自己的机子就会死掉。举个这样的攻击例子，假如你的机器每秒能够发送10个攻击用的数据包，而被你攻击的机器(性能、网络带宽都是顶尖的)每秒能够接受并处理100攻击数据包，那样的话，你的攻击就什么用处都没有了，而且非常有死机的可能。要知道，你若是发送这种1Vs1的攻击，你的机器的CPU占用率是90%以上的，你的机器要是配置不够高的话，那你就死定了。

不过，科技在发展，黑客的技术也在发展。正所谓道高一尺，魔高一仗。经过无数次当机，黑客们终于又找到一种新的DoS攻击方法，这就是DDoS攻击。它的原理说白了就是群殴，用好多的机器对目标机器一起发动DoS攻击，但这不是很多黑客一起参与的，这种攻击只是由一名黑客来操作的。这名黑客不是拥有很多机器，他是通过他的机器在网络上占领很多的“肉鸡”，并且控制这些“肉鸡”来发动DDoS攻击，要不然怎么叫做分布式呢。还是刚才的那个例子，你的机器每秒能发送10攻击数据包，而被攻击的机器每秒能够接受100的数据包，这样你的攻击肯定不会起作用，而你再用10台或更多的机器来对被攻击目标的机器进行攻击的话，嘿嘿!结果我就不说了。

DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形，它与DDoS的不同之处就是DrDoS不需要在攻击之前占领大量的“肉鸡”。它的攻击原理和Smurf攻击原理相近，不过DRDoS是可以在广域网上进行的，而Smurf攻击是在局域网进行的。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时，会接到它的回应;如果向本网络的广播地址发送请求包，实际上会到达网络上所有的计算机，这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的，每处理一个就要占用一份系统资源，如果同时接到网络上所有计算机的回应，接收方的系统是有可能吃不消的，就象遭到了DDoS攻击一样。不过是没有人笨到自己攻击自己，不过这种方法被黑客加以改进就具有很大的威力了。黑客向广播地址发送请求包，所有的计算机得到请求后，却不会把回应发到黑客那里，而是发到被攻击主机。这是因为黑客冒充了被攻击主机。黑客发送请求包所用的软件是可以伪造源地址的，接到伪造数据包的主机会根据源地址把回应发出去，这当然就是被攻击主机的地址。黑客同时还会把发送请求包的时间间隔减小，这样在短时间能发出大量的请求包，使被攻击主机接到从被欺骗计算机那里传来的洪水般的回应，就像遭到了DDoS攻击导致系统崩溃。骇客借助了网络中所有计算机来攻击受害者，而不需要事先去占领这些被欺骗的主机，这就是Smurf攻击。而DRDoS攻击正是这个原理，黑客同样利用特殊的发包工具，首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上，根据TCP三次握手的规则，这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。同Smurf攻击一样，黑客所发送的请求包的源IP地址是被攻击主机的地址，这样受欺骗的主机就都会把回应发到被攻击主机处，造成被攻击主机忙于处理这些回应而瘫痪。

通过 TCP 进行的内部蠕虫传播

连接表安全漏洞利用

蠕虫传播期间的未决域名系统 (DNS) 安全漏洞利用

淹没攻击期间的连续 TCP 连接

使用现有连接的超文本传输协议 (HTTP) DDoS

什么是DDoS流量攻击，主要的防御方式方法有哪些？

DDoS流量攻击全称：Distributed denial of service attack，中文翻译为分布式拒绝服务攻击，根据首字母简称为DDoS，因为DDoS流量攻击来势凶猛，持续不断，连绵不绝，因此在中国又叫洪水攻击。DDoS流量攻击是目前网络上最常见的手段，主要是公共分布式合理服务请求来昂被攻击者的服务器资源消耗殆尽，导致服务器服务提供正常的服务，这种方式说白了就是增大服务器的访问量，使其过载而导致服务器崩溃或者瘫痪。好比双十一期间大量的用户使用淘宝，使用的人数过多导致淘宝无法快速运转，并且出现页面瘫痪的情况。

DDoS流量攻击，可以分为，带宽消耗型和资源消耗型两种大的层次，从网络占用到目标硬件性能占用，以达到目标服务器网络瘫痪、系统崩溃的最终目的。下面为大家列举一些比较常用的DDoS流量攻击的方式。

死亡之PING：

死亡之PING即是ping of death，或者叫做死亡之平，也被翻译为死亡天平，这种攻击方式主要以通过TCP/IP协议进行DDoS流量攻击，这种类型的攻击方式主要是通过向服务器发送数据包片段大小超过TCP/IP协议的规定大小的数据包，让服务器系统无法正常进行处理从而导致崩溃，而这些数据包最大字节为6,5535字节。

CC攻击：

CC(Challenge Collapsar)，意为挑战黑洞，利用大量的肉鸡(免费代理服务器)向目标服务器发送大量看似合法的的请求，从而不断利用被攻击服务器的资源进行重来这边请求，让其资源不断被消耗，当服务器的资源被消耗殆尽用户就无法正常访问服务器获取服务器的响应，在cc攻击过程中，能够感觉到服务器的稳定性在不断的变差直至服务器瘫痪。应。

UDP洪水攻击：

UDP：用户数据包协议(User Datagram Protocol floods)，一种无连接协议，主要是通过信息交换过程中的握手原则来实现攻击，当通通过UDP发送数据时，三次的数据握手验证无法正常进行，导致大量数据包发送给目标系统时无法进行正常的握手验证，从而导致带宽被占满而无法让正常用户进行访问，导致服务器瘫痪或者崩溃。

而目前市场上常用来对付这些DDoS流量攻击的防护方式有以下几种：

目前常见的DDoS流量攻击防护是利用多重验证。入侵检测以及流量过滤等方式对因为攻击造成堵塞的带宽进行流量过滤让正常的流量能够正常的访问到目标服务器，从而维持服务器的正常运行。

流量清洗也就是让服务器所有的访问流量通过高防DDoS攻击流量清洗中心，通过高防的各种防护策略对正常流量和恶意流量被区分清洗过滤，将恶意流量阻挡住在服务器之外，让正常流量能够正常的访问，恶意流量则被禁止从而实现过滤。

防火墙是最常见DDoS流量攻击防护装置，防火墙的访问规则能够灵活定义，通过修改规则以实现允许或拒绝特定的通讯协议进入服务器，无论是端口还是IP地址，发现目标IP出现异常，那么直接阻断IP源的一切通信，即便是较为复杂的端口遭受到攻击，依旧能够有效的进行DDoS流量攻击防护。

锐速云告诉大家虽然近些年DDoS流量攻击呈现下降的趋势，但是不可否认目前仍是一个非常大的网络安全威胁，并且随着技术的发展，一些新型的DDoS流量攻击，仍在网络安全的战场上活跃着，如认为是一种Mirai变体的0x-booter。随着新的互联网技术和设备的变革和投入，不少黑客仍不断的更新完善DDoS流量攻击，因此在这个DDoS流量攻击防护的战场上，作为网络安全防护人员技术仍需要不断的更新变革。

那些年，DDoS的那些反击渗透的事情。

DDoS攻击与对策

DDo（Distributed Denial of Service），即分布式拒绝服务攻击，是指黑客通过控制由多个肉鸡或服务器组成的僵尸网络，向目标发送大量看似合法的请求，从而占用大量网络资源使网络瘫痪，阻止用户对网络资源的正常访问。

从各安全厂商的DDoS分析报告不难看出，DDoS攻击的规模及趋势正在成倍增长。由于攻击的成本不断降低，技术门槛要求越来越低，攻击工具的肆意传播，互联网上随处可见成群的肉鸡，使发动一起DDoS攻击变得轻而易举。

DDoS攻击技术包括：常见的流量直接攻击（如SYN/ACK/ICMP/UDP FLOOD），利用特定应用或协议进行反射型的流量攻击（如，NTP/DNS/SSDP反射攻击，2018年2月28日GitHub所遭受的Memcached反射攻击），基于应用的CC、慢速HTTP等。关于这些攻击技术的原理及利用工具网上有大量的资源，不再赘述。

1.1　DDoS防御常规套路

防御DDoS的常规套路包括：本地设备清洗，运营商清洗，云清洗。

1.本地设备清洗

抗DDoS设备（业内习惯称ADS设备）一般以盒子的形式部署在网络出口处，可串联也可旁路部署。旁路部署需要在发生攻击时进行流量牵引，其基本部署方案如图18-1所示。

图18-1　ADS 设备部署方式

图18-1中的检测设备对镜像过来的流量进行分析，检测到DDoS攻击后通知清洗设备，清洗设备通过BGP或OSPF协议将发往被攻击目标主机的流量牵引到清洗设备，然后将清洗后的干净流量通过策略路由或者MPLS LSP等方式回注到网络中；当检测设备检测到DDoS攻击停止后，会通知清洗设备停止流量牵引。

将ADS设备部署在本地，企业用户可依靠设备内置的一些防御算法和模型有效抵挡一些小规模的常见流量攻击，同时结合盒子提供的可定制化策略和服务，方便有一定经验的企业用户对攻击报文进行分析，定制针对性的防御策略。目前国内市场上，主要以绿盟的黑洞为代表，具体可以访问其官网进一步了解。

本地清洗最大的问题是当DDoS攻击流量超出企业出口带宽时，即使ADS设备处理性能够，也无法解决这个问题。一般金融证券等企业用户的出口带宽可能在几百兆到几G，如果遇到十G以上甚至上百G的流量，就真的麻烦了，更别谈T级别的DDoS攻击了。

 2.运营商清洗

当本地设备清洗解决不了流量超过出口带宽的问题时，往往需要借助运营商的能力了，紧急扩容或者开启清洗服务是一般做法，前提是要采购相应的清洗服务，而且一般需要通过电话或邮件确认，有的可能还要求传真。

运营商的清洗服务基本是根据netflow抽样检测网络是否存在DDoS攻击，而且策略的颗粒度较粗，因此针对低流量特征的DDoS攻击类型检测效果往往不够理想。再加上一些流程上的操作如电话、邮件、传真等，真正攻击到来时处理可能会更慢，需要重点关注。

值得一提的是中国电信的云堤服务，提供了“流量压制”和“近源清洗”服务，而且还提供了自助平台供用户操作，查看流量、开启清洗也非常方便。

 3.云清洗

内容分发网络（Content Delivery Network，CDN）是指，通过在网络各处放置节点服务器，让用户能够在离自己最近的地方访问服务，以此来提高访问速度和服务质量。CDN主要利用了四大关键技术：内容路由，内容分发，内存存储，内容管理。更详细的技术原理可以参考中国电信研究院出版的《CDN技术详解》。

CDN技术的初衷是为了提高互联网用户对静态网站的访问速度，但是由于分布式、就近访问的特点，能对攻击流量进行稀释，因此，一些传统CDN厂商除了提供云加速功能外，也开始推出云清洗的服务，当然还有一些安全公司基于其自身优势进入云清洗市场。基本原理都一样，需要先在云端配置好相应的记录，当企业遭受大规模攻击时，通过修改其DNS记录将要保护的域名CNAME到云端事先配好的记录上，等待DNS生效即可。

使用云清洗需要注意以下几个问题：

1. -·云清洗厂商需要提前配置好相应记录。 ·DNS修改记录后，需要等待TTL超时才生效。 

2.  ·直接针对源IP的攻击，无法使用云清洗防护，还要依靠本地和运营商清冼。 

3. ·针对HTTPS网站的防御，还涉及HTTPS证书，由此带来的数据安全风险需要考虑，市面上也有相应的Keyless方案{n1}。

由于国内环境不支持Anycast技术，所以不再赘述，如果有海外分支机构的网站需要防护，可以关注。

{nt1|其细节可以参考cloudflare公司博客上的文章，链接：[]()。

一些经验

结合笔者的一些经验，对DDoS防护落地做一些补充，仅供参考。

1.自动化平台

金融企业由于高可用要求，往往会有多个数据中心，一个数据中心还会接入多家运营商线路，通过广域网负载均衡系统对用户的访问进行调度，使之访问到最近最优的资源。当任何一条接入线路存在DDoS攻击时，能通过广域网负载均衡系统将该线路上的访问需求转移至其他互联网线路。在针对IP地址开展的DDoS攻击中，此方案能够有效保障正常客户的访问不受影响，为了实现快速切换，需要通过自动化运维平台来实现，如图18-2所示。

图18-2

线路调整一键应急配合必要的应知应会学习和应急演练，使团队成员都能快速掌握方法，在事件发生第一时间进行切换，将影响降到最小。接下来才是通知运营商进行清洗处理，等待流量恢复正常后再进行回切。

当某一个业务的IP受到攻击时，可以针对性地处置，比如一键停用，让正常用户访问其他IP；也可以一键开启清洗服务。

 2.设备抗D能力

除了ADS设备外，还有一些设备也需要关注抗DDoS能力，包括防火墙、负载均衡设备等。

出于安全可控需求，金融企业往往会采用异构模式部署防火墙，比如最外层用产品A，里面可能会用产品B。假如产品A的抗DDoS能力差，在发生攻击时，可能还没等到ADS设备清洗，产品A已经出问题了，比如发生了HA切换或者无法再处理新的连接等。

在产品选型测试时，需要关注这方面的能力，结合笔者所在团队经验，有以下几点供参考：

1. ·某些产品在开启日志记录模块后会存在极严重的性能消耗，在可能存在攻击的环境内建议关闭。

2. ·尽管理论和实际会有偏差，但根据实际测试情况，还是建议当存在大量TCP、UDP新建连接时，防火墙的最大连接数越大越好

3. 多测试多对比，从对比中可以发现更优的方案，通过适当的调整优化引入更优方案。

4. ·监控防火墙CPU和连接数，当超过一定值时开始着手优化规则，将访问量多的规则前移、减少规则数目等都是手段。

负载均衡设备也需要关注以上问题，此外，负载均衡由于承接了应用访问请求分发调度，可以一定程度上针对性地防护基于IP速率、基于URL速率的DDoS攻击以及慢速攻击等。图18-3所示为F5的ASM的DDoS防护策略。

图18-3

负载均衡设备ASM防DDoS功能

请求经过防火墙和负载均衡，最后到了目标机器上处理的时候，也需要关注。系统的性能调优设置、Nginx的性能参数调整以及限制连接模块配置等，都是在实际工作中会涉及的。

3.应急演练

部署好产品，开发好自动化运维平台，还要配合必要的应知应会、应急演练才行。因为金融行业的特殊性，DDoS攻击发生的次数相比互联网行业还是少很多的，有的企业可能几年也碰不到一次。时间久了技能就生疏了，真正需要用到时，可能连登录设备的账号口令都忘了，又或者需要现场接线的连设备都找不到，那就太糟糕了。

此外，采购的外围的监控服务、运营商和云清洗产品的服务能力也需要通过演练来检验有效性。签订合同时承诺的秒级发现、分钟级响应是否经得起考验，要先在心里打上一个问号。建议在不事先通知的情况下进行演练，观察这中间的问题并做好记录，待演练完成后一并提交给服务商要求整改。这样的演练每年要不定期组织几次。