从单一到混合 DDoS攻击方式全面剖析

 DDoS攻击素来以成本低廉（相比防御）、效果显著、影响深远为攻击者所青睐，经过长时间的发展，DDoS攻击方式有很多种，最基本的DoS攻击利用单个合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DoS攻击通常采用一对一的方式，在目标系统带宽、内存、CPU等各项性能指标都不高时，具有明显的效果。随着网络技术的发展，计算机的处理能力迅速增长，内存大大增加，千兆级别的网络出现，目标系统的“消化能力”倍增，这时候，分布式的拒绝服务攻击手段——DDoS就出现了。

利用网络上已被攻陷的电脑作为“肉鸡”，通过一定方式组合形成数量庞大的“僵尸网络”，采用一对多的方式进行控制，向目标系统同时提出服务请求，杀伤力大幅度增加。DDoS 攻、防对抗多年，从DoS到DDoS，从以流量取胜到以技巧取胜，从单一攻击到混合攻击，攻击手段正不断进化，本文将一一介绍最常见、最具代表性的攻击方式，企业运营者做到知己知彼，才能有备无患。

一、攻击带宽：以力取胜

如同城市堵车一样，当数据包超过带宽上限，就会出现网络拥堵、响应缓慢的情况。流量型 DDoS攻击就是如此，发送海量数据包，顷刻占满目标系统的全部带宽，正常请求被堵在门外，拒绝服务的目的达成。

ICMP Flood

ICMP（Internet控制报文协议）用于在IP主机、路由器之间传递控制消息，控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息，虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。通过对目标系统发送海量数据包，就可以令目标主机瘫痪，如果大量发送就成了洪水攻击。

UDP Flood

UDP协议是一种无连接的服务，在UDP Flood 中，攻击者通常发送大量伪造源IP地址的小UDP包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k bps的UDP Flood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。

上述传统的流量型攻击方式技术含量较低，伤人一千自损八百，攻击效果通常依赖受控主机本身的网络性能，而且容易被查到攻击源头，单独使用的情况已不常见。于是，具有四两拔千斤效果的反射型放大攻击就出现了。

NTP Flood

NTP是标准的基于UDP协议传输的网络时间同步协议，由于UDP协议的无连接性，方便伪造源地址。攻击者使用特殊的数据包，也就是IP地址指向作为反射器的服务器，源IP地址被伪造成攻击目标的IP，反射器接收到数据包时就被骗了，会将响应数据发送给被攻击目标，耗尽目标网络的带宽资源。一般的NTP服务器都有很大的带宽，攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器，就可给目标服务器带来几百上千Mbps的攻击流量。

因此，“问-答”方式的协议都可以被反射型攻击利用，将质询数据包的地址伪造为攻击目标地址，应答的数据包就会都被发送至目标，一旦协议具有递归效果，流量就被显著放大了，堪称一种“借刀杀人”的流量型攻击。

面对洪水般的流量，花高价进行抗D带宽扩容和多运营商链路冗余，虽一定程度可提升抗D能力，但面对大量攻击仍旧于事无补，而且浪费资源。知道创宇旗下抗DDoS云防御平台——抗D保，横跨全国的分布式数据中心， 600G以上带宽抗DDoS，并可随时应急调用腾讯自有带宽1.5Tb ，这使得抗D保拥有超过 2 个Tb的防御能力。 

二、攻击系统/应用：以巧取胜

这类型的DDoS攻击走的是巧劲，利用各种协议的行为特性、系统的缺陷、服务的脆弱性、软件的漏洞等等发起攻击，不断占用目标系统的资源以阻止它们处理正常事务和请求。

SYN Flood

这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。建立TCP连接，需要三次握手——客户端发送SYN报文，服务端收到请求并返回报文表示接受，客户端也返回确认，完成连接。

SYN Flood 就是用户向服务器发送报文后突然死机或掉线，那么服务器在发出应答报文后就无法收到客户端的确认报文（第三次握手无法完成），这时服务器端一般会重试并等待一段时间后再丢弃这个未完成的连接。一个用户出现异常导致服务器的一个线程等待一会儿并不是大问题，但恶意攻击者大量模拟这种情况，服务器端为了维护数以万计的半连接而消耗非常多的资源，结果往往是无暇理睬客户的正常请求，甚至崩溃。从正常客户的角度看来，网站失去了响应，无法访问。

CC 攻击

CC攻击是目前应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的合法请求，实现伪装和DDoS。我们都有这样的体验，访问一个静态页面，即使人多也不需要太长时间，但如果在高峰期访问论坛、贴吧等，那就很慢了，因为服务器系统需要到数据库中判断访问者否有读帖、发言等权限。访问的人越多，论坛的页面越多，数据库压力就越大，被访问的频率也越高，占用的系统资源也就相当可观。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!