信息技术的发展为人们带来了诸多便利，无论是个人社交行为，还是商业活动都离不开网络。但是，网络空间在创造机遇的同时，也带来了威胁，其中 DDoS 就是最具破坏力的攻击。经过这些年的不断发展，它已经成为不同组织和个人的攻击形式之一，用于网络中的勒索、报复，甚至网络战争。  DDoS 的攻击方式,分布式拒绝服务攻击的精髓是：利用分布式的客户端，向目标发起大量看上去合法的请求，消耗或者占用大量资源，从而达到拒绝服务的目的。

其主要攻击方法有 4 种：

1. 攻击带宽

跟交通堵塞情况一样，大家都应该清楚：当网络数据包的数量达到或者超过上限时，会出现网络拥堵、响应缓慢的情况。DDoS 就是利用这个原理，发送大量网络数据包，占满被攻击目标的全部带宽，从而造成正常请求失效，达到拒绝服务的目的。

攻击者可以使用 ICMP 洪水攻击（即发送大量 ICMP 相关报文）、或者 UDP 洪水攻击（即发送用户数据报协议的大包或小包），使用伪造源 IP 地址方式进行隐匿，并对网络造成拥堵和服务器响应速度变慢等影响。

但是，这种直接方式通常依靠受控主机本身的网络性能，所以效果不是很好，还容易被查到攻击源头。于是反射攻击就出现，攻击者使用特殊的数据包，即 IP 地址指向作为反射器的服务器，源 IP 地址被伪造成攻击目标的 IP，反射器接收到数据包的时候就被骗了，会将响应数据发送给被攻击目标，然后就会耗尽目标网络的带宽资源。

2. 攻击系统

创建 TCP 连接需要客户端与服务器进行三次交互，也就是常说的“三次握手”。这个信息通常被保存在连接表结构中，但是表的大小有限，所以当超过存储量，服务器就无法创建新的 TCP 连接。

攻击者利用这一点，用受控主机建立大量恶意的 TCP 连接，占满被攻击目标的连接表，使其无法接受新的 TCP 连接请求。如果攻击者发送了大量的 TCP SYN 报文，让服务器在短时间内产生大量的半开连接，连接表也会被很快占满，导致无法建立新的 TCP 连接，这个方式是 SYN 洪水攻击，很多攻击者都比较常用。

 

3. 攻击应用

由于 DNS 和 Web 服务的广泛性和重要性，这两种服务就成为消耗应用资源的分布式拒绝服务攻击的主要目标。

比如，向 DNS 服务器发送大量查询请求，从而达到拒绝服务的效果，如果每一个 DNS 解析请求所查询的域名都是不同的，那么就有效避开服务器缓存的解析记录，达到更好的资源消耗效果。当 DNS 服务的可用性受到威胁，互联网上大量的设备都会受到影响而无法正常使用。

近些年，Web 技术发展非常迅速，如果攻击者利用大量的受控主机不断地向 Web 服务器恶意发送大量 HTTP 请求，要求 Web 服务器处理，就会完全占用服务器资源，让正常用户的 Web 访问请求得不到处理，导致拒绝服务。一旦 Web 服务受到这种攻击，就会对其承载的业务造成致命的影响。

4. 混合攻击

在实际的生活中，攻击者并不关心使用的哪种攻击方法管用，只要能够达到目的，一般就会发动其所有的攻击手段，尽其所能的展开攻势。对于被攻击目标来说，需要面对不同的协议、不同资源的分布式拒绝服务攻击，分析、响应和处理的成本就会大大增加。

随着僵尸网络向小型化的趋势发展，为降低攻击成本，有效隐藏攻击源，躲避安全设备，同时保证攻击效果，针对应用层的小流量慢速攻击已经逐步发展壮大起来。因此，从另一个角度来说，DDoS 攻击方面目前主要是两个方面：一是 UDP 及反射式大流量高速攻击，二是多协议小流量及慢速攻击。

 

对于这些不同的场景我们需要作出的应对策略也要有所不同，而根据上面说的六种情况，我们也梳理出一些攻击场景部署防御手段来对号入座：

第一，针对流量型（直接）。对于流量未超过链路带宽直接本地清洗就可以了；但是如果流量超过链路带宽，那么这个时候我们就要通知运营商清洗或者临时扩容，同时也可以启用云清洗，最后当然也需要本地清洗一下啦！而且针对SYN、ACK、UDP、ICMP等类型的flood攻击，一般情况下本地清洗设备的防御算法都可以轻松应对，比如说首包丢弃、IP溯源等；但是在某些特殊情况下，可以在这个基础上增加一些限速，这样至少可以保证在遭受攻击的时候保持业务基本的可用性。当然啦，如果通过排查发现发生攻击源IP具有地域特征，例如大量来自国外的攻击，就可以直接根据地域进行限制。

第二，针对流量型（反射）。同样分两种情况，对于流量未超过链路带宽的一样本地清洗就可以解决；对于流量超过链路带宽就通知运营商清洗或者临时扩容，同时启用云清洗，最后进行本地清洗。这个针对NTP、DNS、SSDP等类型的反射攻击，一般情况下本地的清洗设备都可以有效的进行缓解了，比如说对UDP碎片包的丢弃，以及限速等；而在某些特殊情况下，由于反射攻击的特征大多呈现为固定源端口+固定目的IP地址的流量占了整个链路带宽的90%以上，这样的话我们就可以针对性地去进行更加彻底的丢弃规则。

第三，针对CC攻击，一般来说我们都会先进行本地清洗；如果清洗过后不是效果不太好的话，就可以启用云清洗了。有些时候面临着十分紧急的情况而且清洗效果也很不明显的时候，就可以采用临时使用静态页面进行替换。

第四，针对HTTP慢速，同样也是先进行本地清洗；本地清洗效果不太好就启用云清洗。对于HTTP body慢速攻击，建议在受到攻击的过程中分析出攻击工具的特征后，进一步地针对特征在本地防御设备进行配置。

第五，针对URL（反射），同时进行本地清洗和云清洗；并且要在攻击过程中找出反射源，这样就可以在本地防御设备中进行高级配置了。

第六，针对各种DoS效果漏洞的利用，这个某种程度上需要网络安保人员平时的监控和日常维护工作要做到位了：监控入侵检测或防御设备的告警信息、做好系统漏洞修复。而且对于此类攻击，从严格意义来说算不上DDoS攻击，某种程度上只算是达到DoS效果的攻击，仅做补充场景，但是也不能忽视哦！

版权申明：本站文章均来自网络，如有侵权，请联系01056159998 邮箱：itboby@foxmail.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有