上課啦上課啦 DDoS攻擊方式都有哪些？

每一次大規模DDoS，總能鬧出大動靜

2000年2月，雅虎、CNN、亞馬遜、eBay、ZDNet等網站24小時內遭受DDoS攻擊，部分網站癱瘓，僅亞馬遜和雅虎損失高達110萬美元。

2007年5月，愛沙尼亞三周內遭遇三輪DDoS攻擊，總統府、議會、政府部門、主要政黨、主流媒體和大型銀行網站均陷入癱瘓，北約頂級反網路恐怖主義專家前往救援。

2016年10月，美國DNS服務商Dyn遭遇DDoS攻擊，包括Twitter、Spotify、Airbnb、Visa等網站無法訪問，大半個美國集體斷網，媒體形容此次事件為「史上最嚴重DDoS攻擊」。

利用網路上被攻陷的電腦作為「肉雞」，通過一定方式組合形成數量龐大的「殭屍網路」，採用一對多的方式進行控制，向目標系統同時提出服務請求，殺傷力大幅度增加。DDoS 攻、防對抗多年，從DoS到DDoS，從以流量取勝到以技巧取勝，從單一攻擊到混合攻擊，攻擊手段正不斷進化，下面將一一介紹最常見、最具代表性的攻擊方式。快搬出小板凳坐好聽課啦~

攻擊帶寬：以力取勝

如同城市堵車一樣，當數據包超過帶寬上限，就會出現網路擁堵、響應緩慢的情況。流量型 DDoS攻擊就是如此，發送海量數據包，頃刻佔滿目標系統的全部帶寬，正常請求被堵在門外，拒絕服務的目的達成。

ICMP Flood

ICMP（Internet控制報文協議）用於在IP主機、路由器之間傳遞控制消息，控制消息是指網路通不通、主機是否可達、路由是否可用等網路本身的消息，雖然並不傳輸用戶數據，但是對於用戶數據的傳遞起著重要的作用。通過對目標系統發送海量數據包，就可以令目標主機癱瘓，如果大量發送就成了洪水攻擊。

UDP Flood

UDP協議是一種無連接的服務，在UDP Flood 中，攻擊者通常發送大量偽造源IP地址的小UDP包衝擊DNS伺服器或Radius認證伺服器、流媒體視頻伺服器。100k bps的UDP Flood經常將線路上的骨幹設備例如防火牆打癱，造成整個網段的癱瘓。

上述傳統的流量型攻擊方式技術含量較低，傷人一千自損八百，攻擊效果通常依賴受控主機本身的網路性能，而且容易被查到攻擊源頭，單獨使用的情況已不常見。於是，具有四兩拔千斤效果的反射型放大攻擊就出現了。

NTP Flood

NTP是標準的基於UDP協議傳輸的網路時間同步協議，由於UDP協議的無連接性，方便偽造源地址。攻擊者使用特殊的數據包，也就是IP地址指向作為反射器的伺服器，源IP地址被偽造成攻擊目標的IP，反射器接收到數據包時就被騙了，會將響應數據發送給被攻擊目標，耗盡目標網路的帶寬資源。一般的NTP伺服器都有很大的帶寬，攻擊者可能只需要1Mbps的上傳帶寬欺騙NTP伺服器，就可給目標伺服器帶來幾百上千Mbps的攻擊流量。

因此，「問-答」方式的協議都可以被反射型攻擊利用，將質詢數據包的地址偽造為攻擊目標地址，應答的數據包就會都被發送至目標，一旦協議具有遞歸效果，流量就被顯著放大了，堪稱一種「借刀殺人」的流量型攻擊。

攻擊系統/應用：以巧取勝

這類型的DDoS攻擊走的是巧勁，利用各種協議的行為特性、系統的缺陷、服務的脆弱性、軟體的漏洞等等發起攻擊，不斷佔用目標系統的資源以阻止它們處理正常事務和請求。

SYN Flood

這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內存不足）的攻擊方式。建立TCP連接，需要三次握手——客戶端發送SYN報文，服務端收到請求並返回報文表示接受，客戶端也返回確認，完成連接。

SYN Flood 就是用戶向伺服器發送報文後突然死機或掉線，那麼伺服器在發出應答報文後就無法收到客戶端的確認報文（第三次握手無法完成），這時伺服器端一般會重試並等待一段時間後再丟棄這個未完成的連接。一個用戶出現異常導致伺服器的一個線程等待一會兒並不是大問題，但惡意攻擊者大量模擬這種情況，伺服器端為了維護數以萬計的半連接而消耗非常多的資源，結果往往是無暇理睬客戶的正常請求，甚至崩潰。從正常客戶的角度看來，網站失去了響應，無法訪問。

CC 攻擊

CC攻擊是目前應用層攻擊的主要手段之一，藉助代理伺服器生成指向目標系統的合法請求，實現偽裝和DDoS。我們都有這樣的體驗，訪問一個靜態頁面，即使人多也不需要太長時間，但如果在高峰期訪問論壇、貼吧等，那就很慢了，因為伺服器系統需要到資料庫中判斷訪問者否有讀帖、發言等許可權。訪問的人越多，論壇的頁面越多，資料庫壓力就越大，被訪問的頻率也越高，佔用的系統資源也就相當可觀。

CC攻擊就充分利用了這個特點，模擬多個正常用戶不停地訪問如論壇這些需要大量數據操作的頁面，造成伺服器資源的浪費，CPU長時間處於100%，永遠都有處理不完的請求，網路擁塞，正常訪問被中止。這種攻擊技術性含量高，見不到真實源IP，見不到特別大的異常流量，但伺服器就是無法進行正常連接。

之所以選擇代理伺服器是因為代理可以有效地隱藏自己的身份，也可以繞開防火牆，因為基本上所有的防火牆都會檢測並發的TCP/IP連接數目，超過一定數目一定頻率就會被認為是Connection-Flood。當然也可以使用肉雞來發動CC攻擊，攻擊者使用CC攻擊軟體控制大量肉雞發動攻擊，肉雞可以模擬正常用戶訪問網站的請求偽造成合法數據包，相比前者來說更難防禦。

CC攻擊是針對Web服務在第七層協議發起的攻擊，在越上層協議上發動DDoS攻擊越難以防禦，上層協議與業務關聯愈加緊密，防禦系統面臨的情況也會更複雜。比如CC攻擊中最重要的方式之一HTTP Flood，不僅會直接導致被攻擊的Web前端響應緩慢，對承載的業務造成致命的影響，還可能會引起連鎖反應，間接攻擊到後端的Java等業務層邏輯以及更後端的資料庫服務。

由於CC攻擊成本低、威力大，知道創宇安全專家組發現80%的DDoS攻擊都是CC攻擊。帶寬資源嚴重被消耗，網站癱瘓；CPU、內存利用率飆升，主機癱瘓；瞬間快速打擊，無法快速響應。

DNS Query Flood

DNS作為互聯網的核心服務之一，自然也是DDoS攻擊的一大主要目標。DNS Query Flood採用的方法是操縱大量傀儡機器，向目標伺服器發送大量的域名解析請求。伺服器在接收到域名解析請求時，首先會在伺服器上查找是否有對應的緩存，若查找不到且該域名無法直接解析時，便向其上層DNS伺服器遞歸查詢域名信息。

通常，攻擊者請求解析的域名是隨機生成或者是網路上根本不存在的域名，由於在本地無法查到對應的結果，伺服器必須使用遞歸查詢向上層域名伺服器提交解析請求，引起連鎖反應。解析過程給伺服器帶來很大的負載，每秒鐘域名解析請求超過一定的數量就會造成DNS伺服器解析域名超時。

根據微軟的統計數據，一台DNS伺服器所能承受的動態域名查詢的上限是每秒鐘9000個請求。而一台P3的PC機上可以輕易地構造出每秒鐘幾萬個域名解析請求，足以使一台硬體配置極高的DNS伺服器癱瘓，由此可見DNS伺服器的脆弱性。

混合攻擊：流量與技巧並用

在實際情況中，攻擊者只求達到打垮對方的目的，發展到現在，高級攻擊者已經不傾向使用單一的攻擊手段作戰了，而是根據目標系統的具體環境靈動組合，發動多種攻擊手段，既具備了海量的流量，又利用了協議、系統的缺陷，盡其所能地展開攻勢。

對於被攻擊目標來說，需要面對不同協議、不同資源的分散式的攻擊，分析、響應和處理的成本就會大大增加。

關於DDoS的攻擊方式今天就講到這兒啦~