DDoS攻擊就是利用網(wǎng)絡(luò )上被攻陷的電腦作為“肉雞” 然后，通過(guò)一定方式組合形成數量龐大的“僵尸網(wǎng)絡(luò )”，采用一對多的方式進(jìn)行控制，向目標系統同時(shí)提出服務(wù)請求，殺傷力很大。DDoS 攻、防對抗多年，從DoS到DDoS，從以流量取勝到以技巧取勝，從單一攻擊到混合攻擊，攻擊手段正不斷進(jìn)化。

DDoS攻擊有哪些？

ICMP FloodICMP（Internet控制報文協(xié)議）用于在IP主機、路由器之間傳遞控制消息，控制消息是指網(wǎng)絡(luò )通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò )本身的消息，雖然并不傳輸用戶(hù)數據，但是對于用戶(hù)數據的傳遞起著(zhù)重要的作用。通過(guò)對目標系統發(fā)送海量數據包，就可以令目標主機癱瘓，如果大量發(fā)送就成了洪水攻擊。

UDP FloodUDP協(xié)議是一種無(wú)連接的服務(wù)，在UDP Flood 中，攻擊者通常發(fā)送大量偽造源IP地址的小UDP包沖擊DNS服務(wù)器或Radius認證服務(wù)器、流媒體視頻服務(wù)器。100k bps的UDP Flood經(jīng)常將線(xiàn)路上的骨干設備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。上述傳統的流量型攻擊方式技術(shù)含量較低，傷人一千自損八百，攻擊效果通常依賴(lài)受控主機本身的網(wǎng)絡(luò )性能，而且容易被查到攻擊源頭，單獨使用的情況已不常見(jiàn)。于是，具有四兩拔千斤效果的反射型放大攻擊就出現了。

NTP FloodNTP是標準的基于UDP協(xié)議傳輸的網(wǎng)絡(luò )時(shí)間同步協(xié)議，由于UDP協(xié)議的無(wú)連接性，方便偽造源地址。攻擊者使用特殊的數據包，也就是IP地址指向作為反射器的服務(wù)器，源IP地址被偽造成攻擊目標的IP，反射器接收到數據包時(shí)就被騙了，會(huì )將響應數據發(fā)送給被攻擊目標，耗盡目標網(wǎng)絡(luò )的帶寬資源。一般的NTP服務(wù)器都有很大的帶寬，攻擊者可能只需要1Mbps的上傳帶寬欺騙NTP服務(wù)器，就可給目標服務(wù)器帶來(lái)幾百上千Mbps的攻擊流量。因此，“問(wèn)-答”方式的協(xié)議都可以被反射型攻擊利用，將質(zhì)詢(xún)數據包的地址偽造為攻擊目標地址，應答的數據包就會(huì )都被發(fā)送至目標，一旦協(xié)議具有遞歸效果，流量就被顯著(zhù)放大了，堪稱(chēng)一種“借刀殺人”的流量型攻擊。

SYN Flood這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿(mǎn)負荷或內存不足）的攻擊方式。建立TCP連接，需要三次握手——客戶(hù)端發(fā)送SYN報文，服務(wù)端收到請求并返回報文表示接受，客戶(hù)端也返回確認，完成連接。SYN Flood 就是用戶(hù)向服務(wù)器發(fā)送報文后突然死機或掉線(xiàn)，那么服務(wù)器在發(fā)出應答報文后就無(wú)法收到客戶(hù)端的確認報文（第三次握手無(wú)法完成），這時(shí)服務(wù)器端一般會(huì )重試并等待一段時(shí)間后再丟棄這個(gè)未完成的連接。一個(gè)用戶(hù)出現異常導致服務(wù)器的一個(gè)線(xiàn)程等待一會(huì )兒并不是大問(wèn)題，但惡意攻擊者大量模擬這種情況，服務(wù)器端為了維護數以萬(wàn)計的半連接而消耗非常多的資源，結果往往是無(wú)暇理睬客戶(hù)的正常請求，甚至崩潰。從正?？蛻?hù)的角度看來(lái)，網(wǎng)站失去了響應，無(wú)法訪(fǎng)問(wèn)。

CC 攻擊CC攻擊是目前應用層攻擊的主要手段之一，借助代理服務(wù)器生成指向目標系統的合法請求，實(shí)現偽裝和DDoS。我們都有這樣的體驗，訪(fǎng)問(wèn)一個(gè)靜態(tài)頁(yè)面，即使人多也不需要太長(cháng)時(shí)間，但如果在高峰期訪(fǎng)問(wèn)論壇、貼吧等，那就很慢了，因為服務(wù)器系統需要到數據庫中判斷訪(fǎng)問(wèn)者否有讀帖、發(fā)言等權限。訪(fǎng)問(wèn)的人越多，論壇的頁(yè)面越多，數據庫壓力就越大，被訪(fǎng)問(wèn)的頻率也越高，占用的系統資源也就相當可觀(guān)。CC攻擊就充分利用了這個(gè)特點(diǎn)，模擬多個(gè)正常用戶(hù)不停地訪(fǎng)問(wèn)如論壇這些需要大量數據操作的頁(yè)面，造成服務(wù)器資源的浪費，CPU長(cháng)時(shí)間處于100%，永遠都有處理不完的請求，網(wǎng)絡(luò )擁塞，正常訪(fǎng)問(wèn)被中止。這種攻擊技術(shù)性含量高，見(jiàn)不到真實(shí)源IP，見(jiàn)不到特別大的異常流量，但服務(wù)器就是無(wú)法進(jìn)行正常連接。之所以選擇代理服務(wù)器是因為代理可以有效地隱藏自己的身份，也可以繞開(kāi)防火墻，因為基本上所有的防火墻都會(huì )檢測并發(fā)的TCP/IP連接數目，超過(guò)一定數目一定頻率就會(huì )被認為是Connection-Flood。當然也可以使用肉雞來(lái)發(fā)動(dòng)CC攻擊，攻擊者使用CC攻擊軟件控制大量肉雞發(fā)動(dòng)攻擊，肉雞可以模擬正常用戶(hù)訪(fǎng)問(wèn)網(wǎng)站的請求偽造成合法數據包，相比前者來(lái)說(shuō)更難防御。CC攻擊是針對Web服務(wù)在第七層協(xié)議發(fā)起的攻擊，在越上層協(xié)議上發(fā)動(dòng)DDoS攻擊越難以防御，上層協(xié)議與業(yè)務(wù)關(guān)聯(lián)愈加緊密，防御系統面臨的情況也會(huì )更復雜。比如CC攻擊中最重要的方式之一HTTP Flood，不僅會(huì )直接導致被攻擊的Web前端響應緩慢，對承載的業(yè)務(wù)造成致命的影響，還可能會(huì )引起連鎖反應，間接攻擊到后端的Java等業(yè)務(wù)層邏輯以及更后端的數據庫服務(wù)。由于CC攻擊成本低、威力大，知道創(chuàng )宇安全專(zhuān)家組發(fā)現80%的DDoS攻擊都是CC攻擊。帶寬資源嚴重被消耗，網(wǎng)站癱瘓；CPU、內存利用率飆升，主機癱瘓；瞬間快速打擊，無(wú)法快速響應。

DNS Query FloodDNS作為互聯(lián)網(wǎng)的核心服務(wù)之一，自然也是DDoS攻擊的一大主要目標。DNS Query Flood采用的方法是操縱大量傀儡機器，向目標服務(wù)器發(fā)送大量的域名解析請求。服務(wù)器在接收到域名解析請求時(shí)，首先會(huì )在服務(wù)器上查找是否有對應的緩存，若查找不到且該域名無(wú)法直接解析時(shí)，便向其上層DNS服務(wù)器遞歸查詢(xún)域名信息。通常，攻擊者請求解析的域名是隨機生成或者是網(wǎng)絡(luò )上根本不存在的域名，由于在本地無(wú)法查到對應的結果，服務(wù)器必須使用遞歸查詢(xún)向上層域名服務(wù)器提交解析請求，引起連鎖反應。解析過(guò)程給服務(wù)器帶來(lái)很大的負載，每秒鐘域名解析請求超過(guò)一定的數量就會(huì )造成DNS服務(wù)器解析域名超時(shí)。根據微軟的統計數據，一臺DNS服務(wù)器所能承受的動(dòng)態(tài)域名查詢(xún)的上限是每秒鐘9000個(gè)請求。而一臺P3的PC機上可以輕易地構造出每秒鐘幾萬(wàn)個(gè)域名解析請求，足以使一臺硬件配置極高的DNS服務(wù)器癱瘓，由此可見(jiàn)DNS服務(wù)器的脆弱性。

混合攻擊

在實(shí)際情況中，攻擊者只求達到打垮對方的目的，發(fā)展到現在，高級攻擊者已經(jīng)不傾向使用單一的攻擊手段作戰了，而是根據目標系統的具體環(huán)境靈動(dòng)組合，發(fā)動(dòng)多種攻擊手段，既具備了海量的流量，又利用了協(xié)議、系統的缺陷，盡其所能地展開(kāi)攻勢。對于被攻擊目標來(lái)說(shuō)，需要面對不同協(xié)議、不同資源的分布式的攻擊，分析、響應和處理的成本就會(huì )大大增加。