• 文章内容源于华为论坛-华安,如有侵权请联系删除

一、到底什么是DDoS攻击

DDoS是Distributed Denial of Service的简称,中文是分布式拒绝服务。这有点拗口吧?这样,我们先理解下DDoS的前身DoS(Denial of Service),即拒绝服务。

最基本的DoS攻击就是攻击者利用大量合理的服务请求来占用攻击目标过多的服务资源,从而使合法用户无法得到服务的响应。DoS攻击一般是采用一对一方式的,当攻击目标各项性能指标不高时(例如CPU速度低、内存小或者网络带宽小等等),它的效果是明显的。

随着计算机与网络技术的发展,计算机的处理能力与网络带宽迅速增长。这使得DoS攻击的困难程度大大增加了,因为攻击目标对这些恶意服务请求的“消化能力”加强了很多。

既然一个攻击者无法使目标“拒绝服务”,那么就需要多个攻击者同时发起分布式攻击了,这时DDoS攻击也就应运而生了。

DDoS攻击是指攻击者控制僵尸网络中的大量僵尸主机(肉鸡)向攻击目标发送大流量数据,耗尽攻击目标的系统资源,导致其无法响应正常的服务请求。

如果大家觉得以上描述很深奥,那么我来换一种易懂的说法。小时候,我们都听说过餐厅很难开,因为需要“白道黑道都有关系”。

如果一家餐厅希望他的竞争对手无法正常营业,他们会采取什么手段呢?(纯属虚构,请勿模仿)

首先他会雇佣一个恶霸,恶霸会找来一群小混混,让他们扮作普通客户一直占用对手餐厅的座位赖着不走,这样真正的客户就无法就餐了;

或者让混混们总是和对手餐厅的服务员闲扯,让服务员不能正常服务客户;

也可以为对手餐厅的老板提供虚假信息,让他们上上下下忙成一团之后却发现是一场空,却最终忽略了真正的客户。

恩,这里的恶霸就是攻击者,小混混就是傀儡主机,对方餐厅就是攻击目标,采取的种种手段就是DDoS攻击,最终的结果是对方餐厅损失惨重,甚至关门大吉。

二、DDoS攻击两大特点

DDoS发起攻击容易,攻击者很容易从互联网获取各类DDoS攻击工具,从而发起攻击。

比较出名的免费工具有卢瓦(LOIC)、HOIC(LOIC升级版)、XOIC、Hulk、DAVOSET、黄金眼等。而且更绝妙的是,DDoS攻击者往往可以借助正常的普通软件或网站发起攻击,例如历史上著名的“暴风影音”事件和“搜狐视频”事件。

DDoS攻击受害者防御难度大,攻击会损害受害者的金钱、服务和信誉。报告显示,65%以上的DDoS攻击每小时给受害企业造成的损失高达一万美金。

例如最近针对美国DNS服务提供商Dyn公司的一波DDoS攻击导致Twitter、GitHub、BBC、华尔街日报、Xbox官网、CNN、HBO Now、星巴克、纽约时报、The Verge、金融时报等大量站点无法正常访问。如下图所示,这几乎就是半个美国的互联网都瘫痪了啊,那损失可不止每小时数万美金,简直是无法估量!

三、DDoS攻击三大动机

一切事物出现都有其动机。欲破解DDoS攻击,必先了解其动机。政治分歧、恶意竞争、敲诈勒索、经济犯罪是DDoS攻击的主要动机。

1、政治动机型攻击惯于采用大规模网络攻击,攻击目标一般是银行和政府网站或者DNS服务器,影响范围大,容易引起民众大范围恐慌,堪称网络攻击的“核武器”。

例如“土耳其攻击事件”, 著名黑客组织匿名者发布视频向土耳其宣战谴责其支持某极端组织,由此引发针对土耳其DNS根服务器的大规模网络攻击,导致土耳其400,000个网站离线。

2、恶意竞争、敲诈勒索则属于对特定业务系统的精准打击,攻击行为越来越像“特种部队”。

例如“网游大战”事件,电竞选手PhantomL0rd为了保住自己的“王”位,采用了恶意竞争手段。他勾结黑客组织DERP Trolling,每当自己游戏即将失败时,便召唤DERP Trolling使用DDoS攻击攻瘫游戏服务器,导致游戏异常终端。英雄联盟、EA官网、暴雪战网、DOTA2官网、企鹅俱乐部等等知名游戏网站都因遭到DDoS攻击而瘫痪。这真是赤裸裸的“打不过就拔网线啊!”

3、经济犯罪则大多属于声东击西式的“烟雾弹”,以大流量攻击转移安全人员的注意力,掩盖其数据窃取的真实目的。当前比较流行的做法是黑客通过大流量DDoS攻击吸引注意力,掩护潜伏的APT攻击完成最后的数据窃取。

三、DDoS攻击分类

知己知彼,百战不殆。在前几篇技术帖中,我们已经学习了几种经典DDoS攻击。在这里我们再来系统总结下DDoS攻击的种类。

DDoS攻击按攻击方式划分有:泛洪攻击(Flood)、畸形报文攻击(Malformation)、扫描探测类攻击(Scan&Probe)。

1、泛洪攻击,也叫Flood攻击,是指攻击者通过僵尸网络、代理或直接向攻击目标发送大量的伪装的请求服务报文,最终耗尽攻击目标的资源。发送的大量报文可以是TCP的SYN和ACK报文、UDP报文、ICMP报文、DNS报文、HTTP/HTTPS报文等。

近年来,泛洪攻击又发展出了一种高级形式,我们称之为反射攻击。顾名思义,反射攻击并不是直接向攻击目标发起大量服务请求,而是攻击者控制僵尸网络中的海量僵尸主机伪装成攻击目标,都以攻击目标的身份向网络中的服务器发起大量服务请求。网络中的服务器会响应这些大量的服务请求,并发送大量的应答报文给攻击目标,从而造成攻击目标性能耗尽。

反射攻击大多是由UDP Flood变种而来,反射的是UDP报文,例如NTP、DNS、SSDP、SMTP、Chargen等。为什么选中UDP呢?因为UDP的响应(Reponse)报文大小要大于请求(request)报文,这样攻击者就实现了对攻击流量的放大。

以NTP报文为例,NTP的Monlist命令用来查询主机最近所有和服务器通信的记录,服务器会返回最多600个通信记录,这样流量就被放大了数百倍。如果攻击者控制成千上万的傀儡机伪装成攻击目标大量发送此命令给NTP服务器,那么反射给攻击目标的流量可想而知!

2、畸形或特殊报文攻击通常指攻击者发送大量有缺陷或特殊控制作用的报文,从而造成主机或服务器在处理这类报文时系统崩溃。畸形报文攻击例如Smurf、Land、Fraggle、Teardrop、WinNuke攻击等。特殊控制报文攻击包括超大ICMP报文、ICMP重定向报文、ICMP不可达报文和各种带选项的IP报文攻击。

3、扫描探测类攻击是一种潜在的攻击行为,并不具备直接的破坏行为,通常是攻击者发动真正攻击前的网络探测行为,例如IP地址扫描和端口扫描等。

四、DDoS攻击天下大势

通过以上描述,大家应该对DDoS攻击有了初步的了解。下面再为大家分析下当前DDoS攻击的“天下大势”,让大家对我们当今所处网络环境的DDoS攻击有一个初步的认识。

根据华为未然实验室现网攻击事件统计数据显示,SYN Flood、UDP Flood(包括UDP类反射放大攻击)、HTTP Get Flood、DNS Query Flood依然是DDoS攻击的惯用手段。

下面我就来一一点评下榜单上这些“大佬”们的上榜原因。

  • SYN Flood:SYN Flood是DDoS攻击经典中的经典,是最古老和原始的DDoS攻击。在网络发展初期,SYN Flood攻击简直就是DDoS攻击的代名词。SYN Flood之所以经久不衰,是因为他完全秉承了DDoS攻击的攻击简单、防御难的特质。SYN Flood攻击使用的是最简单和常用的用于TCP三次握手的SYN报文,所以他发起攻击十分简单;而且由于SYN报文是正常报文,所以对于单个报文来看防御设备是不会采取任何措施的。

  • UDP Flood:UDP Flood已经取代SYN Flood攻击,成为DDoS攻击中的“一哥”。其“成功”的原因主要有三点,一是UDP协议都是无连接的协议,不提供可靠性和完整性校验,这就成为了攻击者理想的利用对象;二是UDP协议种类繁多,五花八门,防御起来难度更大;三也是彻底改变格局的是反射攻击的流行。传统UDP攻击是攻防者带宽的比拼,谁的带宽大谁赢得胜利,而反射型的UDP攻击让攻防者不再对等,因为反射出来的攻击流量要远远大于攻击者投入的流量。

  • HTTP Flood:除了两大传统巨头SYN Flood和UDP Flood外,DDoS攻击榜探花的位置一直是竞争激烈的。HTTP Flood之所以能够脱颖而出,一是因为HTTP协议应用实在是太广泛了,他在我们的工作生活中无处不在。二是网页和应用中的漏洞比较容易被攻击者利用来构造HTTP反射类的攻击。例如在海量访问的网页嵌入指向攻击目标网站的恶意javaScript代码,当互联网用户访问该网页时,则流量被反射到攻击目标网站。

  • DNS Flood:攻击DNS服务器的代价小,影响范围广,能够造成恐慌,因此DNS Flood攻击类型仍占有较大比例,是政治动机型DDoS攻击的首选。

游戏行业作为近几年兴起的新兴行业,已经成为了DDoS攻击的重灾区。游戏竞争行业也是竞争最激烈的行业之一,在线游戏和直播网站,一旦被攻击,将直接造成玩家掉线,这个损失巨大到可能让游戏企业直接面临死亡。而且游戏行业用户基数大、用户类型多、在线维护难度大的特点,也使得游戏行业成为极易受到攻击的目标行业。另外,由于很多游戏基于私有协议开发,传统DDoS防御手段在没有贴合业务特性的情况下,防御DDoS攻击常常面临较大困难。

最后,再来预测下DDoS攻击的趋势。总结起来主要有4点,如下图所示。当然,每个人心中都有一个哈姆雷特,欢迎大家来共同探讨DDoS攻击的趋势。

  • 攻击流量越来越大

当人们还在津津乐道2014年12月份阿里云遭受的史上最强DDoS攻击流量达到453Gb/s时,DDoS的攻击流量已经悄然进入500G时代。据报告显示,2016年上半年,规模最大的DDoS攻击流量已经达到579Gb/s。流量超过100Gb/s的DDoS攻击274起,流量超过200Gb/s的DDoS攻击46起。

另外,根据预测,2016年底DDoS平均攻击流量将会达到1.15Gb/s。不要小看这个数据,其实,11 Gb/s的DDoS攻击足以使大多数网络组织完全离线。

  • 移动攻击越来越多

随着智能终端和4G移动网络的普及,来自移动端的攻击越来越多。移动终端的安全防护能力和用户安全意识较弱,容易成为DDoS攻击利用的对象。值得一提的是随着物联网的兴起,基于物联网协议SSDP(Simple Service Discovery Protocol)的反射攻击频率越来越多,明显超越NTP、DNS等传统反射攻击,成为反射攻击新宠。SSDP协议广泛应用于网络摄像头和智能家电,因此SSDP反射攻击源数量非常庞大,而且网络资源更加丰富。

  • 应用型攻击越来越普遍

应用层的攻击将会越来越普遍。据报告显示,2015与2014相比,应用型攻击增长了42%。其中HTTP Flood攻击高达26%,混合型攻击高达40%。

混合型攻击是指攻击者同时采取多种类型的攻击报文来进行DDoS攻击,例如传输层与应用层相结合的DDoS攻击,应用层的HTTP Flood大流量攻击与HTTP慢速小流量渗透攻击相结合。混合型DDoS攻击刚柔相继,长短结合,让普通的DDoS防御设备难以防范,将成为今后主流的DDoS攻击。

  • 更多从数据中心发起的攻击

据报告显示,由数据中心向外发起的DDoS攻击呈增长趋势;数据中心服务器被黑客控制沦为僵尸网络的趋势也与日剧增;超大流量的DDoS攻击多数由数据中心发起。由此可见数据中心已经成为DDoS攻击的温床。

同时随着云计算的快速发展,互联网业务越来越集中化,云数据中心将面临比传统数据中心更加严峻的DDoS攻击考验。主要原因在于云数据中心虚拟机的租户身份难以有效识别、安全意识薄弱;虚拟机数量庞大,业务种类多,流量模型差别大,难以做到针对性的防护。

相信大家在看完这篇帖子后会对DDoS攻击的概念和大势有了详细的认识。

一文摸透DDoS攻击所有概念,值得收藏!相关推荐

  1. PRD文档范例,产品经理值得收藏的写作手册

    本文由作者 刀哥说 发布于社区 2015年,我写了一篇梳理PRD的文章,获得3.5万次阅读.至今已过去5年,在这5年里,我一直从事产品产品相关的工作,也经历过一次完整的创业,对PRD又有了一些新的思考 ...

  2. java操作word文档,深度解析,值得收藏

    Java虚拟机内存模型 Java虚拟机内存模型中定义的访问操作与物理计算机处理的基本一致! Java中通过多线程机制使得多个任务同时执行处理,所有的线程共享JVM内存区域main memory,而每个 ...

  3. ddos攻击怎么防御,一文了解如何防御DDoS攻击

    DDoS攻击是目前最普遍的网络攻击手段,DDoS攻击非常受黑客欢迎,因为DDoS攻击非常有效,易于启动,并且几乎不会留下痕迹.那么如何防御DDoS攻击呢?你能否确保对你的web服务器和应用程序提供高级 ...

  4. 一文秒懂什么是DDoS攻击

    关注「开源Linux」,选择"设为星标" 回复「学习」,有我为您特别筛选的学习资料~ DDoS攻击是目前最常见的网络攻击方式之一,其见效快.成本低的特点,让DDoS这种攻击方式深受 ...

  5. 关于DDoS攻击,这些基本概念你一定要知道!

    什么是DDoS攻击 DDoS是Distributed Denial of Service的简称,中文是分布式拒绝服务. 这有点拗口吧? 这样,我们先理解下DDoS的前身DoS(Denial of Se ...

  6. 一文了解如何有效的防护DDoS攻击

    想象一下有人使用不同的电话号码一遍又一遍地打电话给你,而你也无法将他们列入黑名单.最终你可能会选择关闭手机,从而避免骚扰.这个场景就是常见的分布式拒绝服务(DDoS)攻击的样子. 乔布斯(Steve ...

  7. 千万不要轻视防DDoS的重要性,一文带你了解DDoS攻击的严重后果?

    最近几年,随着互联网技术的飞速发展,网络攻击事件也越来越多.防DDoS不容轻视,现在的DDoS可以让服务直接阻断,够通过影响服务的客户体验实现打击被攻击者.攻击的原因有可能是黑客敲诈勒索,也有可能是对 ...

  8. dos与ddos攻击原理

    基础原理 1.TCP饿死: UDP这种传输方式不会控制自己在通信通道里的流量,可理解为不讲道理的人.他们来到了一个热闹地区的KFC中,但是他们不买东西只排队将所有食物的价格都问一遍,占满所有的座位和过 ...

  9. 曾优雅击退史上最凶狠的DDoS攻击,AliGuard的高性能从何而来?

    2016年10月21日,美国发生了一次震惊全球互联网的安全事件,大半个美国的互联网因为DDoS攻击发生瘫痪,攻击从清晨开始一直持续到傍晚,黑客发起了长时间多批次攻击,直接导致twitter.Spoti ...

最新文章

  1. 李宏毅线性代数笔记1:系统
  2. tmux 如何自定义背景颜色 | How does the tmux color palette work?
  3. Django(part28)--F对象
  4. Ubuntu 8.04 Linux系统下面编译更新内核版本
  5. 2 使用_索尼黑卡RX100M6的使用指南2
  6. 栈的顺序存储结构、链式存储架构及其实现
  7. 又推亲儿子,苹果与国际权威机构推出 Swift 资格认证
  8. Python机器学习:多项式回归与模型泛化004为什么需要训练数据集和测试数据集
  9. 英国首相用华为P20 Pro自拍引热议,网友:真香,比炸鱼和薯条还香
  10. Android 日志工具包
  11. Linux定时函数介绍
  12. 9.看板方法---建立输入节奏
  13. PCL点云处理与关键点提取
  14. 学游戏建模,怎么能没有几款上手的软件,8款超好用的3D建模软件
  15. 第四周网络攻防实践作业
  16. STM32输入捕获实验
  17. Python创建微信聊天机器人
  18. 产妇《生娃记》-苏州
  19. python 的csr_python稀疏矩阵(CSR型)操作
  20. c语言常用算法归纳,C语言常用算法

热门文章

  1. 通过使用Amazon Neptune来预测电影类型初体验
  2. “毒舌”专家解析大数据应用案例Part2—三星盖乐世社区 DSP跨屏投放
  3. 关于spi的半双工读写和全双工读写的一些理解
  4. KEIL出现Loading PDSC Debug Description failed解决办法
  5. JAVAJSP校园宿舍报修系统JSP宿舍管理系统JSP宿舍报修管理系统JSP学生公寓
  6. 20135201李辰希20135219洪韶武——信息安全系统设计基础实验报告
  7. 电脑计算机没有了怎么恢复,win10我的电脑没有了怎么办_win10我的电脑不见了如何恢复...
  8. 辛普森悖论及贝叶斯解释
  9. Github上的star和fork是什么
  10. SQL server数据库软件和MySQL数据库软件哪个比较好呢?