淺談 DDoS 攻擊與防御

原創(chuàng)：?iMike?運(yùn)維之美?

什么是 DDoS

DDoS 是英文 Distributed Denial of Service 的縮寫，中文譯作分布式拒絕服務(wù)。那什么又是拒絕服務(wù)（Denial of Service）呢？凡是能導(dǎo)致合法用戶不能夠正常訪問網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說(shuō)拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對(duì)正常網(wǎng)絡(luò)資源的訪問，從而達(dá)成攻擊者不可告人的目的。

分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會(huì)從很多 DoS 攻擊源猶如洪水般涌向受害主機(jī)。從而把合法用戶的網(wǎng)絡(luò)請(qǐng)求淹沒，導(dǎo)致合法用戶無(wú)法正常訪問服務(wù)器的網(wǎng)絡(luò)資源。

DDoS 攻擊方式分類

• 反射型
  
  

一般而言，我們會(huì)根據(jù)針對(duì)的協(xié)議類型和攻擊方式的不同，把 DDoS 分成 SYN Flood、ACK Flood、Connection Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各類攻擊類型。

每一種攻擊類型都有其特點(diǎn)，而反射型的 DDoS 攻擊是一種新的變種。攻擊者并不直接攻擊目標(biāo)服務(wù)的 IP，而是利用互聯(lián)網(wǎng)的某些特殊服務(wù)開放的服務(wù)器，通過偽造被攻擊者的 IP 地址向有開放服務(wù)的服務(wù)器發(fā)送構(gòu)造的請(qǐng)求報(bào)文，該服務(wù)器會(huì)將數(shù)倍于請(qǐng)求報(bào)文的回復(fù)數(shù)據(jù)發(fā)送到被攻擊 IP，從而對(duì)后者間接形成 DDoS 攻擊。

如下圖所示，這里的攻擊者（Attacker，實(shí)際情況中更多的會(huì)利用傀儡機(jī)進(jìn)行攻擊）不直接把攻擊包發(fā)給受害者，而是冒充受害者給放大器（Amplifiers）發(fā)包，然后通過放大器再反射給受害者。

?

在反射型攻擊中，攻擊者利用了網(wǎng)絡(luò)協(xié)議的缺陷或者漏洞進(jìn)行 IP 欺騙，主要是因?yàn)楹芏鄥f(xié)議（例如 ICMP、UDP 等）對(duì)源 IP 不進(jìn)行認(rèn)證。同時(shí)，要達(dá)到更好的攻擊效果，黑客一般會(huì)選擇具有放大效果的協(xié)議服務(wù)進(jìn)行攻擊。

總結(jié)一下就是利用 IP 欺騙進(jìn)行反射和放大，從而達(dá)到四兩撥千斤的效果。目前常見的反射攻擊有：DNS 反射攻擊、NTP 反射攻擊、SSDP 反射攻擊等。

注：將源地址設(shè)為假的無(wú)法回應(yīng)，即為 SYN Flood 攻擊。制造流量和攻擊目標(biāo)收到的流量為 1:1，回報(bào)率低。

?

• 流量放大型
  
  

通過遞歸等手法將攻擊流量放大的攻擊類型，比如：以反射型中常見的 SSDP 協(xié)議為例，攻擊者將 Search type 設(shè)置為 ALL。搜索所有可用的設(shè)備和服務(wù)，這種遞歸效果產(chǎn)生的放大倍數(shù)是非常大的，攻擊者只需要以較小的偽造源地址的查詢流量就可以制造出幾十甚至上百倍的應(yīng)答流量發(fā)送至目標(biāo)。

• 混合型
  
  

在實(shí)際情況中，攻擊者只求達(dá)到打垮對(duì)方的目的。發(fā)展到現(xiàn)在，高級(jí)攻擊者已經(jīng)不傾向使用單一的攻擊手段。而是根據(jù)目標(biāo)系統(tǒng)的具體環(huán)境靈動(dòng)組合，發(fā)動(dòng)多種攻擊手段。

比如：TCP 和 UDP、網(wǎng)絡(luò)層和應(yīng)用層攻擊同時(shí)進(jìn)行，這樣的攻擊既具備了海量的流量，又利用了協(xié)議、系統(tǒng)的缺陷，盡其所能地展開攻勢(shì)。對(duì)于被攻擊目標(biāo)來(lái)說(shuō)，需要面對(duì)不同協(xié)議、不同資源的分布式的攻擊，分析、響應(yīng)和處理的成本就會(huì)大大增加。

?

• 脈沖波型
  
  

這是一種新型的 DDoS 攻擊方法，給某些 DDoS 攻擊解決方案帶來(lái)了問題，因?yàn)樗试S攻擊者攻擊以前認(rèn)為是安全的服務(wù)器。之所以將這種新技術(shù)命名為脈沖波，是由于其攻擊流量展現(xiàn)出來(lái)的圖形看起來(lái)很像不連貫的重復(fù)的脈沖狀。這類攻擊通常呈現(xiàn)一個(gè)有上有下的斜三角形的形狀，這個(gè)過程體現(xiàn)了攻擊者正在慢慢地組裝機(jī)器人并將目標(biāo)對(duì)準(zhǔn)待攻擊的目標(biāo)。

一次新的脈沖波攻擊從零開始，在很短的時(shí)間跨度內(nèi)達(dá)到最大值，然后歸零，再回到最大值，如此循環(huán)重復(fù)，中間的時(shí)間間隔很短。脈沖波型 DDoS 相對(duì)難以防御，因?yàn)槠涔舴绞奖荛_了觸發(fā)自動(dòng)化的防御機(jī)制。

? ? ? ??

?

• 鏈路泛洪
  
  

隨著 DDoS 攻擊技術(shù)的發(fā)展，又出現(xiàn)了一種新型的攻擊方式 Link Flooding Attack，這種方式不直接攻擊目標(biāo)而是以堵塞目標(biāo)網(wǎng)絡(luò)的上一級(jí)鏈路為目的。對(duì)于使用了 IP Anycast 的企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)，常規(guī)的 DDoS 攻擊流量會(huì)被分?jǐn)偟讲煌刂返幕A(chǔ)設(shè)施，這樣能有效緩解大流量攻擊。所以攻擊者發(fā)明了一種新方法，攻擊至目標(biāo)網(wǎng)絡(luò) traceroute 的倒數(shù)第二跳，即上聯(lián)路由，致使鏈路擁塞。

?

常見 DDoS 攻擊方法

DDoS 攻擊從層次上可分為網(wǎng)絡(luò)層攻擊與應(yīng)用層攻擊，從攻擊手法上可分為快型流量攻擊與慢型流量攻擊，但其原理都是造成資源過載，導(dǎo)致服務(wù)不可用。

網(wǎng)絡(luò)層 DDoS 攻擊

網(wǎng)絡(luò)層 DDoS 攻擊常見手段有：SYN Flood、ACK Flood、Connection Flood、UDP Flood、ICMP Flood、TCP Flood、Proxy Flood 等。

• SYN Flood 攻擊
  
  

SYN Flood 攻擊是一種利用 TCP 協(xié)議缺陷，發(fā)送大量偽造的 TCP 連接請(qǐng)求，從而使得被攻擊方資源耗盡（CPU 滿負(fù)載或內(nèi)存不足）的攻擊方式。建立 TCP連接，需要三次握手（客戶端發(fā)送 SYN 報(bào)文、服務(wù)端收到請(qǐng)求并返回報(bào)文表示接受、客戶端也返回確認(rèn)，完成連接）。

SYN Flood 就是用戶向服務(wù)器發(fā)送報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出應(yīng)答報(bào)文后就無(wú)法收到客戶端的確認(rèn)報(bào)文（第三次握手無(wú)法完成），這時(shí)服務(wù)器端一般會(huì)重試并等待一段時(shí)間（至少 30s）后再丟棄這個(gè)未完成的連接。

一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待一會(huì)兒并不是大問題，但惡意攻擊者大量模擬（構(gòu)造源 IP 去發(fā)送 SYN 包）這種情況，服務(wù)器端為了維護(hù)數(shù)以萬(wàn)計(jì)的半連接而消耗非常多的資源，結(jié)果往往是無(wú)暇理睬正常客戶的請(qǐng)求，甚至崩潰。從正常客戶的角度看來(lái)，網(wǎng)站失去了響應(yīng)，無(wú)法訪問。

?

• ACK Flood
  
  

ACK Flood 攻擊是在 TCP 連接建立之后進(jìn)行的。所有數(shù)據(jù)傳輸?shù)?TCP 報(bào)文都是帶有 ACK 標(biāo)志位的，主機(jī)在接收到一個(gè)帶有 ACK 標(biāo)志位的數(shù)據(jù)包的時(shí)候，需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在。如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法，然后再向應(yīng)用層傳遞該數(shù)據(jù)包。如果在檢查中發(fā)現(xiàn)該數(shù)據(jù)包不合法（例如：該數(shù)據(jù)包所指向的目的端口在本機(jī)并未開放），則主機(jī)操作系統(tǒng)協(xié)議棧會(huì)回應(yīng) RST 包告訴對(duì)方此端口不存在。

這里，服務(wù)器要做兩個(gè)動(dòng)作：查表、回應(yīng) ACK/RST。對(duì)比主機(jī)以及防火墻在接收到 ACK 報(bào)文和 SYN 報(bào)文時(shí)所做動(dòng)作的復(fù)雜程度，顯然 ACK 報(bào)文帶來(lái)的負(fù)載要小得多。這種攻擊方式顯然沒有 SYN Flood 給服務(wù)器帶來(lái)的沖擊大，因此攻擊者一定要用大流量 ACK 小包沖擊才會(huì)對(duì)服務(wù)器造成影響。所以在實(shí)際環(huán)境中，只有當(dāng)攻擊程序每秒鐘發(fā)送 ACK 報(bào)文的速率達(dá)到一定的程度，才能使主機(jī)和防火墻的負(fù)載有大的變化。

當(dāng)發(fā)包速率很大的時(shí)候，主機(jī)操作系統(tǒng)將耗費(fèi)大量的精力接收?qǐng)?bào)文、判斷狀態(tài)，同時(shí)要主動(dòng)回應(yīng) RST 報(bào)文，正常的數(shù)據(jù)包就可能無(wú)法得到及時(shí)的處理。這時(shí)候客戶端的表現(xiàn)就是訪問頁(yè)面反應(yīng)很慢，丟包率較高。但是狀態(tài)檢測(cè)的防火墻通過判斷 ACK 報(bào)文的狀態(tài)是否合法，借助其強(qiáng)大的硬件能力可以較為有效的過濾攻擊報(bào)文。當(dāng)然如果攻擊流量非常大，由于需要維護(hù)很大的連接狀態(tài)表同時(shí)要檢查數(shù)量巨大的 ACK 報(bào)文的狀態(tài)，防火墻也會(huì)不堪重負(fù)導(dǎo)致網(wǎng)絡(luò)癱瘓。

目前 ACK Flood 并沒有成為攻擊的主流，而通常是與其他攻擊方式組合在一起使用。

?

• Connection Flood
  
  

Connection Flood 是典型的并且非常有效的利用小流量沖擊大帶寬網(wǎng)絡(luò)服務(wù)的攻擊方式。這種攻擊的原理是利用真實(shí)的 IP 地址向服務(wù)器發(fā)起大量的連接，并且建立連接之后很長(zhǎng)時(shí)間不釋放。長(zhǎng)期占用服務(wù)器的資源，造成服務(wù)器上殘余連接 (WAIT 狀態(tài)) 過多，效率降低，甚至資源耗盡，無(wú)法響應(yīng)其它客戶所發(fā)起的連接。

其中一種攻擊方法是每秒鐘向服務(wù)器發(fā)起大量的連接請(qǐng)求，這類似于固定源 IP 的 SYN Flood 攻擊，不同的是采用了真實(shí)的源 IP 地址。通常這可以在防火墻上限制每個(gè)源 IP 地址每秒鐘的連接數(shù)來(lái)達(dá)到防護(hù)目的。

但現(xiàn)在已有工具采用慢速連接的方式，也即幾秒鐘才和服務(wù)器建立一個(gè)連接，連接建立成功之后并不釋放并定時(shí)發(fā)送垃圾數(shù)據(jù)包給服務(wù)器使連接得以長(zhǎng)時(shí)間保持。這樣一個(gè) IP 地址就可以和服務(wù)器建立成百上千的連接，而服務(wù)器可以承受的連接數(shù)是有限的，這就達(dá)到了拒絕服務(wù)的效果。

?

• UDP Flood 攻擊
  
  

由于 UDP 是一種無(wú)連接的協(xié)議，因此攻擊者可以偽造大量的源 IP 地址去發(fā)送 UDP 包，此種攻擊屬于大流量攻擊。正常應(yīng)用情況下，UDP 包雙向流量會(huì)基本相等，因此在消耗對(duì)方資源的時(shí)候也在消耗自己的資源。

• ICMP Flood 攻擊
  
  

此攻擊屬于大流量攻擊，其原理就是不斷發(fā)送不正常的 ICMP 包（所謂不正常就是 ICMP 包內(nèi)容很大），導(dǎo)致目標(biāo)帶寬被占用。但其本身資源也會(huì)被消耗，并且目前很多服務(wù)器都是禁 ping 的（在防火墻里可以屏蔽 ICMP 包），因此這種方式已經(jīng)落伍。

• Smurf 攻擊
  
  

這種攻擊類似于 ICMP Flood 攻擊，但它能巧妙地修改進(jìn)程。Smurf 攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的 ICMP 應(yīng)答請(qǐng)求數(shù)據(jù)包，來(lái)淹沒受害主機(jī)。最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此 ICMP 應(yīng)答請(qǐng)求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的 Smurf 將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。

應(yīng)用層 DDoS 攻擊

應(yīng)用層 DDoS 攻擊不是發(fā)生在網(wǎng)絡(luò)層，是發(fā)生在 TCP 建立握手成功之后，應(yīng)用程序處理請(qǐng)求的時(shí)候。常見的有：CC 攻擊、DNS Flood、慢速連接攻擊等。

• CC 攻擊
  
  

CC 攻擊（Challenge Collapsar）是 DDoS 攻擊的一種，其前身名為 Fatboy 攻擊，也是一種常見的網(wǎng)站攻擊方法。CC 攻擊還有一段比較有趣的歷史，Collapsar 是綠盟科技的一款防御 DDoS 攻擊的產(chǎn)品品牌，Collapasar 在對(duì)抗拒絕服務(wù)攻擊的領(lǐng)域內(nèi)具有比較高的影響力和口碑。然而黑客為了挑釁，研發(fā)了一款 Challenge Collapasar 工具簡(jiǎn)稱 CC，表示要向 Collapasar 發(fā)起挑戰(zhàn)。

CC 攻擊的原理就是借助代理服務(wù)器針對(duì)目標(biāo)系統(tǒng)的消耗資源比較大的頁(yè)面不斷發(fā)起正常的請(qǐng)求，造成對(duì)方服務(wù)器資源耗盡，一直到宕機(jī)崩潰。因此在發(fā)送 CC 攻擊前，我們需要尋找加載比較慢，消耗資源比較多的網(wǎng)頁(yè)。比如：需要查詢數(shù)據(jù)庫(kù)的頁(yè)面、讀寫硬盤的文件等。相比其它的 DDoS 攻擊 CC 更有技術(shù)含量一些，這種攻擊你見不到真實(shí)源 IP。見不到特別大的異常流量，但造成服務(wù)器無(wú)法進(jìn)行正常連接。

?

• Slowloris 攻擊
  
  

Slowloris 是一種慢速連接攻擊，Slowloris 是利用 Web Server 的漏洞或設(shè)計(jì)缺陷，直接造成拒絕服務(wù)。其原理是：以極低的速度往服務(wù)器發(fā)送 HTTP 請(qǐng)求，Apache 等中間件默認(rèn)會(huì)設(shè)置最大并發(fā)鏈接數(shù)，而這種攻擊就是會(huì)持續(xù)保持連接，導(dǎo)致服務(wù)器鏈接飽和不可用。Slowloris 有點(diǎn)類似于 SYN Flood 攻擊，只不過 Slowloris 是基于 HTTP 協(xié)議。

Slowloris ?PoC

# 構(gòu)造以下畸形 HTTP 請(qǐng)求包 GET / HTTP/1.1\r\n Host: Victim host\r\n User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 12)\r\n Content-Length: 42\r\n

完整的 HTTP 請(qǐng)求頭結(jié)尾應(yīng)該是兩次的?\r\n\r\n，這里少了一次，因此服務(wù)器將會(huì)一直等待。

• Slow Attack
  
  

Slow Attack 也是一種慢速 DoS 攻擊，它通過消耗服務(wù)器的系統(tǒng)資源和連接數(shù)，導(dǎo)致 Web 服務(wù)器無(wú)法正常工作。常見的攻擊方式包括 Slow Header、Slow Body 和 Slow Read。

Slow Header：正常的 HTTP Header 以兩個(gè) CLRF 結(jié)尾，通過發(fā)送只包含一個(gè) CLRF 的畸形 Header 請(qǐng)求來(lái)占用 Web 服務(wù)器連接，從而達(dá)到消耗掉服務(wù)器所有可用的連接數(shù)。最終造成 Web 服務(wù)器資源飽和并拒絕新的服務(wù)。

Slow Read：向服務(wù)器請(qǐng)求很大的文件，然后通過設(shè)置 TCP 滑動(dòng)窗口較小值，導(dǎo)致服務(wù)器以極慢的速度傳輸文件。這樣，就會(huì)占用服務(wù)器大量的內(nèi)存，從而造成拒絕服務(wù)。

Slow Body：在向服務(wù)器發(fā)送 HTTP Post 包時(shí)，指定一個(gè)非常大的 Content-Length 值，然后以極低的速度發(fā)包并保持連接不斷，最終導(dǎo)致服務(wù)器連接飽和不可用。

Kali Linux 提供的專用測(cè)試工具 SlowHTTPTest 能夠?qū)崿F(xiàn)以上三種 Slow Attack 方式。

• JavaScript DDoS
  
  

基于 JavaScript 的 DDoS 攻擊利用的工具是普通網(wǎng)民的上網(wǎng)終端，這也意味著只要裝有瀏覽器的電腦，都能被用作為 DDoS 攻擊者的工具。當(dāng)被操縱的瀏覽器數(shù)量達(dá)到一定程度時(shí)，這種 DDoS 攻擊方式將會(huì)帶來(lái)巨大的破壞性。

攻擊者會(huì)在海量訪問的網(wǎng)頁(yè)中嵌入指向攻擊目標(biāo)網(wǎng)站的惡意 JavaScript 代碼，當(dāng)互聯(lián)網(wǎng)用戶訪問該網(wǎng)頁(yè)時(shí)，則流量被指向攻擊目標(biāo)網(wǎng)站。比較典型攻擊事件：GitHub DDoS 攻擊。

• ReDoS 攻擊
  
  

ReDoS (Regular expression Denial of Service)， 中文譯作正則表達(dá)式拒絕服務(wù)攻擊。開發(fā)人員使用了正則表達(dá)式來(lái)對(duì)用戶輸入的數(shù)據(jù)進(jìn)行有效性校驗(yàn)，當(dāng)編寫校驗(yàn)的正則表達(dá)式存在缺陷或者不嚴(yán)謹(jǐn)時(shí)，攻擊者可以構(gòu)造特殊的字符串來(lái)大量消耗服務(wù)器的系統(tǒng)資源，從而造成服務(wù)器的服務(wù)中斷或停止。 更詳細(xì)介紹可參考：「淺析 ReDoS 的原理與實(shí)踐」一文。

• DNS Query Flood
  
  

DNS 作為互聯(lián)網(wǎng)的核心服務(wù)之一，自然也是 DDoS 攻擊的一大主要目標(biāo)。DNS Query Flood 采用的方法是操縱大量傀儡機(jī)器，向目標(biāo)服務(wù)器發(fā)送大量的域名解析請(qǐng)求。服務(wù)器在接收到域名解析請(qǐng)求時(shí)，首先會(huì)在服務(wù)器上查找是否有對(duì)應(yīng)的緩存，若查找不到且該域名無(wú)法直接解析時(shí)，便向其上層 DNS 服務(wù)器遞歸查詢域名信息。

通常，攻擊者請(qǐng)求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)上根本不存在的域名。由于在本地域名服務(wù)器無(wú)法查到對(duì)應(yīng)的結(jié)果，本地域名服務(wù)器必須使用遞歸查詢向上層域名服務(wù)器提交解析請(qǐng)求，引起連鎖反應(yīng)。解析過程給本地域名服務(wù)器帶來(lái)一定的負(fù)載，每秒鐘域名解析請(qǐng)求超過一定的數(shù)量就會(huì)造成域名服務(wù)器解析域名超時(shí)。

?

根據(jù)微軟的統(tǒng)計(jì)數(shù)據(jù)，一臺(tái) DNS 服務(wù)器所能承受的動(dòng)態(tài)域名查詢的上限是每秒鐘 9000 個(gè)請(qǐng)求。而一臺(tái) P3 的 PC 機(jī)上可以輕易地構(gòu)造出每秒鐘幾萬(wàn)個(gè)域名解析請(qǐng)求，足以使一臺(tái)硬件配置極高的 DNS 服務(wù)器癱瘓，由此可見 DNS 服務(wù)器的脆弱性。

無(wú)線 DDoS 攻擊

• Auth Flood 攻擊
  
  

Auth Flood 攻擊，即身份驗(yàn)證洪水攻擊。該攻擊目標(biāo)主要針對(duì)那些處于通過驗(yàn)證和 AP 建立關(guān)聯(lián)的關(guān)聯(lián)客戶端，攻擊者將向 AP 發(fā)送大量偽造的身份驗(yàn)證請(qǐng)求幀（偽造的身份驗(yàn)證服務(wù)和狀態(tài)代碼），當(dāng)收到大量偽造的身份驗(yàn)證請(qǐng)求超過所能承受的能力時(shí)，AP將斷開其他無(wú)線服務(wù)連接。

• Deauth Flood 攻擊
  
  

Deauth Flood 攻擊即為取消驗(yàn)證洪水攻擊，它旨在通過欺騙從 AP 到客戶端單播地址的取消身份驗(yàn)證幀來(lái)將客戶端轉(zhuǎn)為未關(guān)聯(lián) / 未認(rèn)證的狀態(tài)。對(duì)于目前的工具來(lái)說(shuō)，這種形式的攻擊在打斷客戶無(wú)線服務(wù)方面非常有效和快捷。一般來(lái)說(shuō)，在攻擊者發(fā)送另一個(gè)取消身份驗(yàn)證幀之前，客戶端會(huì)重新關(guān)聯(lián)和認(rèn)證以再次獲取服務(wù)。攻擊者反復(fù)欺騙取消身份驗(yàn)證幀就能使所有客戶端持續(xù)拒絕服務(wù)。

• Association Flood 攻擊
  
  

Association Flood 攻擊即為關(guān)聯(lián)洪水攻擊。在無(wú)線路由器或者接入點(diǎn)內(nèi)置一個(gè)列表即為連接狀態(tài)表，里面可顯示出所有與該 AP 建立連接的無(wú)線客戶端狀態(tài)。它試圖通過利用大量模仿和偽造的無(wú)線客戶端關(guān)聯(lián)來(lái)填充 AP 的客戶端關(guān)聯(lián)表，從而達(dá)到淹沒 AP 的目的。

由于開放身份驗(yàn)證（空身份驗(yàn)證）允許任何客戶端通過身份驗(yàn)證后關(guān)聯(lián)。利用這種漏洞的攻擊者可以通過創(chuàng)建多個(gè)到達(dá)已連接或已關(guān)聯(lián)的客戶端來(lái)模仿很多客戶端，從而淹沒目標(biāo) AP 的客戶端關(guān)聯(lián)表。

• Disassociation Flood 攻擊
  
  

Disassociation Flood 攻擊即為取消關(guān)聯(lián)洪水攻擊，和 Deauth Flood 攻擊表現(xiàn)方式很相似。它通過欺騙從 AP 到客戶端的取消關(guān)聯(lián)幀來(lái)強(qiáng)制客戶端成為未關(guān)聯(lián) / 未認(rèn)證的狀態(tài)。一般來(lái)說(shuō)，在攻擊者發(fā)送另一個(gè)取消關(guān)聯(lián)幀之前，客戶端會(huì)重新關(guān)聯(lián)以再次獲取服務(wù)。攻擊者反復(fù)欺騙取消關(guān)聯(lián)幀就能使客戶端持續(xù)拒絕服務(wù)。

Disassociation Broadcast 攻擊和 Disassociation Flood 攻擊原理基本一致，只是在發(fā)送程度及使用工具上有所區(qū)別。前者很多時(shí)候用于配合進(jìn)行無(wú)線中間人攻擊，而后者常用于目標(biāo)確定的點(diǎn)對(duì)點(diǎn)無(wú)線 DoS，比如：破壞或干擾指定機(jī)構(gòu)或部門的無(wú)線接入點(diǎn)等。

• RF Jamming 攻擊
  
  

RF Jamming 攻擊即為 RF 干擾攻擊。該攻擊是通過發(fā)出干擾射頻達(dá)到破壞正常無(wú)線通信的目的。而前面幾種攻擊主要是基于無(wú)線通信過程及協(xié)議的。RF 為射頻，主要包括無(wú)線信號(hào)發(fā)射機(jī)及收信機(jī)等。

DDoS 攻擊現(xiàn)象判定方法

• SYN 類攻擊判斷
  
  

服務(wù)器 CPU 占用率很高。

出現(xiàn)大量的 SYN_RECEIVED 的網(wǎng)絡(luò)連接狀態(tài)。

網(wǎng)絡(luò)恢復(fù)后，服務(wù)器負(fù)載瞬時(shí)變高。網(wǎng)絡(luò)斷開后瞬時(shí)負(fù)載下將。

• UDP 類攻擊判斷
  
  

服務(wù)器 CPU 占用率很高。

網(wǎng)卡每秒接受大量的數(shù)據(jù)包。

網(wǎng)絡(luò) TCP 狀態(tài)信息正常。

• CC 類攻擊判斷
  
  

服務(wù)器 CPU 占用率很高。

Web 服務(wù)器出現(xiàn)類似 Service Unavailable 提示。

出現(xiàn)大量的 ESTABLISHED 的網(wǎng)絡(luò)連接狀態(tài)且單個(gè) IP 高達(dá)幾十個(gè)甚至上百個(gè)連接。

用戶無(wú)法正常訪問網(wǎng)站頁(yè)面或打開過程非常緩慢，軟重啟后短期內(nèi)恢復(fù)正常，幾分鐘后又無(wú)法訪問。

DDoS 攻擊防御方法

• 網(wǎng)絡(luò)層 DDoS 防御
  
  

限制單 IP 請(qǐng)求頻率。

網(wǎng)絡(luò)架構(gòu)上做好優(yōu)化，采用負(fù)載均衡分流。

防火墻等安全設(shè)備上設(shè)置禁止 ICMP 包等。

通過 DDoS 硬件防火墻的數(shù)據(jù)包規(guī)則過濾、數(shù)據(jù)流指紋檢測(cè)過濾、及數(shù)據(jù)包內(nèi)容定制過濾等技術(shù)對(duì)異常流量進(jìn)行清洗過濾。

采用 ISP 近源清洗，使用電信運(yùn)營(yíng)商提供的近源清洗和流量壓制，避免全站服務(wù)對(duì)所有用戶徹底無(wú)法訪問。這是對(duì)超過自身帶寬儲(chǔ)備和自身 DDoS 防御能力之外超大流量的補(bǔ)充性緩解措施。

• 應(yīng)用層 DDoS 防御
  
  

優(yōu)化操作系統(tǒng)的 TCP/IP 棧。

應(yīng)用服務(wù)器嚴(yán)格限制單個(gè) IP 允許的連接數(shù)和 CPU 使用時(shí)間。

編寫代碼時(shí)，盡量實(shí)現(xiàn)優(yōu)化并合理使用緩存技術(shù)。盡量讓網(wǎng)站靜態(tài)化，減少不必要的動(dòng)態(tài)查詢。網(wǎng)站靜態(tài)化不僅能大大提高抗攻擊能力，而且還給駭客入侵帶來(lái)不少麻煩，至少到現(xiàn)在為止關(guān)于 HTML 的溢出還沒出現(xiàn)。

增加 WAF（Web Application Firewall）設(shè)備，WAF 的中文名稱叫做 Web 應(yīng)用防火墻。Web 應(yīng)用防火墻是通過執(zhí)行一系列針對(duì) HTTP / HTTPS 的安全策略來(lái)專門為 Web 應(yīng)用提供保護(hù)的一款產(chǎn)品。

使用 CDN / 云清洗，在攻擊發(fā)生時(shí)，進(jìn)行云清洗。通常云清洗廠商策略有以下幾步：預(yù)先設(shè)置好網(wǎng)站的 CNAME，將域名指向云清洗廠商的 DNS 服務(wù)器；在一般情況下，云清洗廠商的 DNS 仍將穿透 CDN 的回源的請(qǐng)求指向源站，在檢測(cè)到攻擊發(fā)生時(shí)，域名指向自己的清洗集群，然后再將清洗后的流量回源。

CDN 僅對(duì) Web 類服務(wù)有效，針對(duì)游戲類 TCP 直連的服務(wù)無(wú)效。這時(shí)可以使用 DNS 引流 + ADS (Anti-DDoS System) 設(shè)備來(lái)清洗，還有在客戶端和服務(wù)端通信協(xié)議做處理（如：封包加標(biāo)簽，依賴信息對(duì)稱等）。

DDoS 攻擊究其本質(zhì)其實(shí)是無(wú)法徹底防御的，我們能做得就是不斷優(yōu)化自身的網(wǎng)絡(luò)和服務(wù)架構(gòu)，來(lái)提高對(duì) DDoS 的防御能力。

參考文檔

http://www.google.com
http://t.cn/RrSkw6a
http://t.cn/RrSkNKe
http://t.cn/RrSFJ1B
http://t.cn/RrovtI3
http://t.cn/RrKGEIb
http://t.cn/RCwYkYf
http://t.cn/RrKIAlN
http://t.cn/RrKQ8j8
http://t.cn/RcCzPCO

轉(zhuǎn)載于:https://www.cnblogs.com/-abm/p/9503946.html

總結(jié)

以上是生活随笔為你收集整理的浅谈 DDoS 攻击与防御的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。