阿里雲抵禦的全球互聯網史上最大DDoS攻擊，每秒453G的流量是怎麼做到的？

01-27

這是14年的新聞了每秒453G！阿里雲抵禦全球互聯網史上最大DDoS攻擊，我主要想了解一下這麼大的流量攻擊，是怎麼做的？

註：每秒453G的流量是攻擊峰值流量達到每秒453.8G。很多無良新聞記者為了誇大效果，沒有提及「峰值」，這是天差地別的概念。

DDoS的攻擊方式有很多種，最基本的攻擊就是利用合理的服務請求來佔用過多的伺服器資源，從而使合法用戶無法得到伺服器響應。常用的有以下三種：

1. SYN/ACK Flood攻擊：這種攻擊方法是經典最有效的DDOS攻擊方法，可通殺各種系統的網路服務，主要是通過向受害主機發送大量偽造源IP和源埠的SYN或 ACK包，導致主機的緩存資源被耗盡或忙於發送回應包而造成拒絕服務，由於源都是偽造的故追蹤起來比較困難，缺點是實施起來有一定難度，需要高帶寬的殭屍主機支持。

2 . TCP全連接攻擊：這種攻擊是為了繞過常規防火牆的檢查而設計的，一般情況下，常規防火牆大多具備過濾 TearDrop、Land等DOS攻擊的能力，但對於正常的TCP連接是放過的，殊不知很多網路服務程序(如：IIS、Apache等Web伺服器)能接受的TCP連接數是有限的，一旦有大量的TCP連接，即便是正常的，也會導致網站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多殭屍主機不斷地與受害伺服器建立大量的TCP連接，直到伺服器的內存等資源被耗盡而被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的，缺點是需要找很多殭屍主機，並且由於殭屍主機的IP是暴露的，因此此種DDOS攻擊方式容易被追蹤。

3. 刷Script腳本攻擊：這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，並調用 MSSQLServer、MySQLServer、Oracle等資料庫的網站系統而設計的，特徵是和伺服器建立正常的TCP連接，並不斷的向腳本程序提交查詢、列表等大量耗費資料庫資源的調用，典型的以小博大的攻擊方法。

2013年那次互聯網大堵塞也是DDoS的攻擊，峰值高達每秒300G。據了解他們使用了DNS反射攻擊

DNS反射攻擊的基本原理是：偽裝成攻擊目標的IP地址，向大量的開放DNS伺服器請求一個大的DNS域文件。這樣，這些DNS伺服器就會向攻擊目標的IP發送大量的DNS域文件。由於攻擊者發送的請求包要遠小於DNS域文件。攻擊者相當於可以用他們控制的機器的小流量來放大攻擊流量。

CloudFlare在2013年遭受的300Gbps的攻擊屬於DNS反射攻擊，當時導致他們全網故障。在2014年2月，它們遭受了前所未見的400Gbps的攻擊，黑客使用了NTP服務進行放大。
互聯網上有非常多的時間伺服器，通過NTP協議提供對時服務。但是它缺乏身份認證手段，可以被任意使用。更重要的是，NTP協議有一個指令monlist可以列舉出最近同步過時間的600個主機列表，如下圖：

攻擊者發出的Monlist指令只有1個數據包，耗費幾十個位元組，而返回包多達幾十個，耗費2000-3000位元組甚至更大，達到約50倍的放大。越是繁忙的NTP伺服器，這個放大倍數越大。
攻擊者只需要100Mbps的請求流量，可以換來5Gbps的攻擊流量，效率非常高。其它的DNS放大、SNMP放大、Chargen放大與NTP放大原理一致，只是使用的協議有區別。

個人猜測阿里的遭受的也是這類的攻擊。

via: http://blog.aliyun.com/250

攻擊的話是很簡單的...大量肉雞，這個基本上就是無腦加量

前段時間去浙江省電信大客戶部開會，講到防ddos，現在他們的思路的做近源防護，就是在主幹網路上靠近攻擊源的地方把流量清洗掉，據他們說阿里也在和他們合作。

453.8G 又如何放在阿里雲上的博客園被 20G的攻擊攻擊了一下立馬就 35分鐘不能訪問了

而且。。。。

博客園什麼規模呢。。。租用了39台雲伺服器。。。。

還不是一樣被封。解決辦法是什麼呢？讓買 2萬塊錢的保底 20G 高防 ip。

然並卵，買完了再來個30G的怎麼辦？再買個30G的高防IP？

再來個50G的呢？

呵呵。。。。

不知道阿里雲幫忙防住了453G的流量收了多少錢。。。