DDoS攻擊是指不法分子利用控制由多個(gè)肉雞或服務(wù)器組成的僵尸網(wǎng)絡(luò)向目標(biāo)發(fā)送大量看請(qǐng)求，從而占用大量網(wǎng)絡(luò)資源使網(wǎng)絡(luò)癱瘓。一個(gè)企業(yè)的網(wǎng)上服務(wù)很容易遭到拒絕服務(wù)的攻擊，今天我們就一起來(lái)聊一聊DDoS攻擊與對(duì)策。

　　DDoS攻擊與對(duì)策

　　從各安全廠商的DDoS分析報(bào)告不難看出，DDoS攻擊的規(guī)模及趨勢(shì)正在成倍增長(zhǎng)。由于攻擊的成本不斷降低，技術(shù)門檻要求越來(lái)越低，攻擊工具的肆意傳播，互聯(lián)網(wǎng)上隨處可見(jiàn)成群的肉雞，使發(fā)動(dòng)一起DDoS攻擊變得輕而易舉。

　　DDoS攻擊技術(shù)包括：常見(jiàn)的流量直接攻擊（如SYN/ACK/ICMP/UDP FLOOD），利用特定應(yīng)用或協(xié)議進(jìn)行反射型的流量攻擊（如，NTP/DNS/SSDP反射攻擊，2018年2月28日GitHub所遭受的Memcached反射攻擊），基于應(yīng)用的CC、慢速HTTP等。關(guān)于這些攻擊技術(shù)的原理及利用工具網(wǎng)上有大量的資源，不再贅述。

　　抗DDoS設(shè)備（業(yè)內(nèi)習(xí)慣稱ADS設(shè)備）一般以盒子的形式部署在網(wǎng)絡(luò)出口處，可串聯(lián)也可旁路部署。旁路部署需要在發(fā)生攻擊時(shí)進(jìn)行流量牽引，其基本部署方案。

　　檢測(cè)設(shè)備對(duì)鏡像過(guò)來(lái)的流量進(jìn)行分析，檢測(cè)到DDoS攻擊后通知清洗設(shè)備，清洗設(shè)備通過(guò)BGP或OSPF協(xié)議將發(fā)往被攻擊目標(biāo)主機(jī)的流量牽引到清洗設(shè)備，然后將清洗后的干凈流量通過(guò)策略路由或者M(jìn)PLS LSP等方式回注到網(wǎng)絡(luò)中；當(dāng)檢測(cè)設(shè)備檢測(cè)到DDoS攻擊停止后，會(huì)通知清洗設(shè)備停止流量牽引。

　　將ADS設(shè)備部署在本地，企業(yè)用戶可依靠設(shè)備內(nèi)置的一些防御算法和模型有效抵擋一些小規(guī)模的常見(jiàn)流量攻擊，同時(shí)結(jié)合盒子提供的可定制化策略和服務(wù)，方便有一定經(jīng)驗(yàn)的企業(yè)用戶對(duì)攻擊報(bào)文進(jìn)行分析，定制針對(duì)性的防御策略。目前國(guó)內(nèi)市場(chǎng)上，主要以綠盟的黑洞為代表，具體可以訪問(wèn)其官網(wǎng)進(jìn)一步了解。

　　本地清洗最大的問(wèn)題是當(dāng)DDoS攻擊流量超出企業(yè)出口帶寬時(shí)，即使ADS設(shè)備處理性能夠，也無(wú)法解決這個(gè)問(wèn)題。一般金融證券等企業(yè)用戶的出口帶寬可能在幾百兆到幾G，如果遇到十G以上甚至上百G的流量，就真的麻煩了，更別談T級(jí)別的DDoS攻擊了。

　　當(dāng)本地設(shè)備清洗解決不了流量超過(guò)出口帶寬的問(wèn)題時(shí)，往往需要借助運(yùn)營(yíng)商的能力了，緊急擴(kuò)容或者開(kāi)啟清洗服務(wù)是一般做法，前提是要采購(gòu)相應(yīng)的清洗服務(wù)，而且一般需要通過(guò)電話或郵件確認(rèn)，有的可能還要求傳真。

　　DDoS的原理及危害

　　DDoS:拒絕服務(wù)攻擊的目標(biāo)大多采用包括以SYNFlood和PingFlood為主的技術(shù)，其主要方式是通過(guò)使關(guān)鍵系統(tǒng)資源過(guò)載，如目標(biāo)網(wǎng)站的通信端口與記憶緩沖區(qū)溢出，導(dǎo)致網(wǎng)絡(luò)或服務(wù)器的資源被大量占用，甚至造成網(wǎng)絡(luò)或服務(wù)器的全面癱瘓，而達(dá)到阻止合法信息上鏈接服務(wù)要求的接收。形象的解釋是，DDoS攻擊就好比電話點(diǎn)歌的時(shí)候，從各個(gè)角落在同一時(shí)間有大量的電話掛入點(diǎn)播臺(tái)，而點(diǎn)播臺(tái)的服務(wù)能力有限，這時(shí)出現(xiàn)的現(xiàn)象就是打電話的人只能聽(tīng)到電話忙音，意味著點(diǎn)播臺(tái)無(wú)法為聽(tīng)眾提供服務(wù)。這種類型的襲擊日趨增多，因?yàn)閷?shí)施這種攻擊的方法與程序源代碼現(xiàn)已在黑客網(wǎng)站上公開(kāi)。另外，這種襲擊方法非常難以追查，因?yàn)樗麄冞\(yùn)用了諸如IP地址欺騙法之類所謂網(wǎng)上的“隱身技術(shù)”，而且現(xiàn)在互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）的過(guò)剩，也使作惡者很容易得到IP地址。

　　拒絕服務(wù)攻擊的一個(gè)最具代表性的攻擊方式是分布式拒絕服務(wù)攻擊（DistributedDenialofService，DDoS），它是一種令眾多的互聯(lián)網(wǎng)服務(wù)提供商和各國(guó)政府非常頭疼的黑客攻擊方法，最早出現(xiàn)于1999年夏天，當(dāng)時(shí)還只是在黑客站點(diǎn)上進(jìn)行的一種理論上的探討。從2000年2月開(kāi)始，這種攻擊方法開(kāi)始大行其道，在2月7日到11日的短短幾天內(nèi)，黑客連續(xù)攻擊了包括Yahoo，Buy.com，eBay，Amazon，CNN等許多知名網(wǎng)站，致使有的站點(diǎn)停止服務(wù)達(dá)幾個(gè)小時(shí)甚至幾十個(gè)小時(shí)之久。國(guó)內(nèi)的新浪等站點(diǎn)也遭到同樣的攻擊，這次的攻擊浪潮在媒體上造成了巨大的影響，以至于美國(guó)總統(tǒng)都不得不親自過(guò)問(wèn)。

　　分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu)，從許多分布的主機(jī)同時(shí)攻擊一個(gè)目標(biāo)。從而導(dǎo)致目標(biāo)癱瘓。目前所使用的入侵監(jiān)測(cè)和過(guò)濾方法對(duì)這種類型的入侵都不起作用。所以，對(duì)這種攻擊還不能做到完全防止。

　　DDoS通常采用一種跳臺(tái)式三層結(jié)構(gòu)。如圖10—7所示：圖10—7最下層是攻擊的執(zhí)行者。這一層由許多網(wǎng)絡(luò)主機(jī)構(gòu)成，其中包括Unix，Linux，Mac等各種各樣的操作系統(tǒng)。攻擊者通過(guò)各種辦法獲得主機(jī)的登錄權(quán)限，并在上面安裝攻擊器程序。這些攻擊器程序中一般內(nèi)置了上面一層的某一個(gè)或某幾個(gè)攻擊服務(wù)器的地址，其攻擊行為受到攻擊服務(wù)器的直接控制。

　　了解DDoS攻擊與對(duì)策，DDoS攻擊目前黑客經(jīng)常采用而難以防范的攻擊手段，所以很多企業(yè)都會(huì)束手無(wú)策。作為可能被攻擊的對(duì)象要及時(shí)做好相應(yīng)的措施，提高防御的思想，因?yàn)橐坏┰馐艿紻DoS攻擊就很難不造成損失。