隨著互聯(lián)網(wǎng)與信息技術(shù)的發(fā)展，所有人都在享受互聯(lián)網(wǎng)帶來的舒適和便利。如今，無論是個人社交行為，還是商業(yè)活動都早已離不開互聯(lián)網(wǎng)。

但是，網(wǎng)絡(luò)空間在創(chuàng)造機(jī)遇的同時，也帶來了威脅。隨著企業(yè)價值、知名度的提高、官方網(wǎng)站、線上交易平臺、使用者登入頁面皆為攻擊者之首選目標(biāo)，而最常見的攻擊手法就是 DDoS 。DDoS 攻擊讓許多廠商與企業(yè)感到束手無策的同時，還遭受了巨大的損失。而且通過這些年的發(fā)展，DDoS 攻擊手法還變得越來越多元且難以防范，它已經(jīng)成為不同組織和個人的攻擊形式之一，用于網(wǎng)絡(luò)中的勒索、報復(fù)，甚至網(wǎng)絡(luò)戰(zhàn)爭。

本篇文章就帶大家認(rèn)識一下常見的 DDoS 攻擊手法，以及遇到攻擊后要如何進(jìn)行防御應(yīng)變。

什么是 DDoS 攻擊？

DDoS 攻擊全名為 Distributed Denial-of-Service Attack，又稱為分布式拒絕服務(wù)攻擊，是舊時 DoS 攻擊（Denial-of-Service Attack，拒絕服務(wù)攻擊）的擴(kuò)大版，其目的是以各種攻擊手法，讓網(wǎng)絡(luò)系統(tǒng)的功能癱瘓或資源耗盡，迫使網(wǎng)頁或服務(wù)器中斷服務(wù)，導(dǎo)致正常的用戶無法使用網(wǎng)頁功能和使用服務(wù)。

早期的電腦不如今日發(fā)達(dá)，只要攻擊方電腦性能高于被攻擊方，一對一的 DoS 攻擊很容易達(dá)到目的。現(xiàn)如今很多大型企業(yè)具備較強(qiáng)的服務(wù)提供能力，所以應(yīng)付單個請求的攻擊已經(jīng)不是問題。

既然一打一行不通了，那就群毆。攻擊者會組織很多同伙，同時提出服務(wù)請求，直到服務(wù)無法訪問，這也就是名稱中“分布式”的由來。但是，在現(xiàn)實中，一般的攻擊者無法組織各地伙伴協(xié)同“作戰(zhàn)”，所以會使用“僵尸網(wǎng)絡(luò)”來控制眾多計算機(jī)進(jìn)行攻擊。

僵尸網(wǎng)絡(luò)感染了惡意軟件的計算機(jī)，以及其它可聯(lián)網(wǎng)資源，例如 IoT 設(shè)備。這些僵尸主機(jī)接收攻擊者控制命令，從而構(gòu)建出一只數(shù)量龐大的僵尸主機(jī)（Bot）軍隊，同時間對同一目標(biāo)發(fā)動特定類型攻擊，將被攻擊者的網(wǎng)絡(luò)資源及系統(tǒng)資源耗盡，導(dǎo)致無法為真正的用戶提供服務(wù)。這也是名稱中“阻止服務(wù)”的由來。

因為僵尸主機(jī)的數(shù)量很大而且分布廣泛，又都是合法的網(wǎng)絡(luò)設(shè)備，因此很難將攻擊流量與正常流量分開，其危害程度和防御難度都很大。

上圖是每年雙十一淘寶服務(wù)器癱瘓的新聞。眾多用戶使用服務(wù)造成的流量洪峰，某種角度來說等同于一次大型的 DDoS 攻擊。

如何識別 DDoS 攻擊

DDoS 攻擊最明顯的特征就是站點或服務(wù)突然變慢或不可用。但是，實際業(yè)務(wù)中，由于多種原因（如業(yè)務(wù)流量的合理激增，例如游戲文件更新）也會造成類似的性能問題，因此通常需要進(jìn)一步確認(rèn)。以下是 DDoS 攻擊的一些明顯跡象：

• 來自單個 IP 地址或 IP 范圍的可疑訪問；

• 對單個頁面或接口的請求數(shù)量激增；

• 不尋常的流量模式，例如一天中在凌晨突然出現(xiàn)流量高峰，或某種不符合業(yè)務(wù)的流量高峰（例如，每 10 分鐘出現(xiàn)一次高峰）

DDoS 攻擊還有其它更具體的跡象，具體取決于攻擊的類型。

DDoS 的攻擊方式

帶寬消耗型攻擊

通過傳送大量無效、或惡意放大流量的數(shù)據(jù)請求，堵塞被攻擊的服務(wù)器帶寬，使其達(dá)到飽和狀態(tài)，讓正常用戶無法進(jìn)入，甚至造成網(wǎng)頁宕機(jī)癱瘓，達(dá)到拒絕服務(wù)的目的。

像是常見的 UDP 洪水攻擊（即發(fā)送用戶數(shù)據(jù)報協(xié)議的大包或小包）、ICMP 洪水攻擊（即發(fā)送大量 ICMP 相關(guān)報文）；生成超過 IP 協(xié)議中規(guī)定的最大的數(shù)據(jù)長度，導(dǎo)致系統(tǒng)宕機(jī)的死亡之 Ping，皆屬于此類。

資源消耗型攻擊

有別于帶寬消耗型的 DDoS 攻擊，資源消耗型攻擊是讓被攻擊方的服務(wù)器不斷進(jìn)行反復(fù)的無效運作，導(dǎo)致網(wǎng)頁資源被耗盡，無法再響應(yīng)正常用戶的請求，從而達(dá)到拒絕服務(wù)的目的。

這種類型的典型 DDoS 攻擊手法，如 SYN 洪水攻擊。我們都知道創(chuàng)建 TCP 連接需要客戶端與服務(wù)器進(jìn)行三次交互，也就是常說的“三次握手”。而這個信息通常被保存在服務(wù)器連接表結(jié)構(gòu)中，但是表的大小有限，當(dāng)超過存儲量時，服務(wù)器就無法創(chuàng)建新的 TCP 連接。

而 SYN 洪水攻擊就表現(xiàn)為，對服務(wù)器提出建立 TCP 握手請求后故意切斷網(wǎng)絡(luò)，讓服務(wù)器持續(xù)發(fā)出請求并等待回復(fù)，從而導(dǎo)致服務(wù)器資源不斷消耗。甚至更進(jìn)一步，如果將 SYN 洪水攻擊中發(fā)起請求的 IP 來源，設(shè)定為被攻擊服務(wù)器的 IP 地址，就會讓服務(wù)器不斷的自我響應(yīng)，直到資源耗盡，這就是常見的 LAND 攻擊手法。

除此之外，還有利用大量服務(wù)器對被攻擊方提出模擬 HTTP 正常請求的 CC 攻擊、網(wǎng)路僵尸攻擊等等，都是以耗盡服務(wù)器資源為目標(biāo)的攻擊手段。

應(yīng)用攻擊

近些年，Web 技術(shù)發(fā)展非常迅速，因此也誕生了應(yīng)用攻擊。即攻擊者不斷地向 Web 服務(wù)器惡意發(fā)送大量 HTTP 請求，利用 Web 應(yīng)用已經(jīng)提供的一些接口，來對網(wǎng)站的后臺數(shù)據(jù)庫進(jìn)行增、刪、改、查的操作。由于這種操作是由計算機(jī)來完成，計算機(jī)巨大的計算能力常常伴隨產(chǎn)生極恐怖的破壞力。一旦 Web 服務(wù)受到這種攻擊，就會對其承載的業(yè)務(wù)造成致命的影響。

DDoS 的防御方式

DDoS 攻擊之所以難以防御，是因為 DDoS 的攻擊會用看似正常的需求進(jìn)行包裝，加上難以追蹤攻擊來源，也是 DDoS 處理起來棘手的原因。

不過我們?nèi)匀豢梢岳孟旅娴?3 個處理方向，來加強(qiáng)系統(tǒng)的 DDoS 防御：

- 加強(qiáng)防火墻的通行規(guī)則

通過設(shè)置高性能的防火墻，來限制異常 IP 發(fā)出的請求，降低大量無效數(shù)據(jù)占用帶寬或損耗資源的可能性，加強(qiáng)篩選機(jī)制、阻斷 DDoS 攻擊的效果。

- 提升服務(wù)器的性能、規(guī)格

提升服務(wù)器的性能，當(dāng)遭受 DDoS 攻擊時可爭取多一點的緩沖時間，在不讓服務(wù)癱瘓的狀況下，及時針對攻擊模式制定應(yīng)對的 DDoS 防御手段，將傷害減至最低。

- 使用具備 DDoS 防御的系統(tǒng)

像是 DDoS 流量清洗機(jī)制，可以將流量導(dǎo)入清洗系統(tǒng)中，把異常的流量來源過濾、剔除，又或是服務(wù)器本身具備防御一定數(shù)量的無效數(shù)據(jù)包，以及設(shè)定合理的同時連線數(shù)量等，讓 DDoS 攻擊無功而返。

- 尋找專業(yè)高防服務(wù)團(tuán)隊

由于傳統(tǒng)設(shè)備無法抵御大流量的 DDoS 攻擊，通過配置云端高防系統(tǒng)的方式也逐漸受到了客戶的青睞。又拍云 DDoS 高防 IP 服務(wù)是針對互聯(lián)網(wǎng)業(yè)務(wù)在遭受大流量 DDoS 攻擊后業(yè)務(wù)癱瘓，而提供的高等級流量防護(hù)服務(wù)。直接將高防 IP 服務(wù)部署在源站服務(wù)器前，幫助業(yè)務(wù)服務(wù)器站抵御來自內(nèi)外部的流量攻擊。

客戶將業(yè)務(wù)接入高防 IP 后，源服務(wù)器的所有公網(wǎng)流量將引流至高防機(jī)房，高防 IP 平臺的異常流量檢測系統(tǒng)會實時對流量進(jìn)行智能識別和分析，將攻擊流量引流至高防節(jié)點，隱藏源站，以確保用戶源站穩(wěn)定可靠運行。

高防 IP 可以防御的有包括但不限于以下類型：SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、Ping Sweep 等攻擊。

又拍云高防 IP 服務(wù)提供在線 SaaS 的服務(wù)接入方式，異地多節(jié)點多線路防護(hù)，單點防御 1T，全網(wǎng)總防御能力近 3T，支持 BGP 、電信、聯(lián)通、移動等多條線路，可以有效防御 SYN Flood、ACK Flood、UDP Flood、HTTP Flood、CC 攻擊等，為客戶提供穩(wěn)定、安全的訪問體驗。

總結(jié)

以上是生活随笔為你收集整理的白话科普系列——双十一，竟然是一场有“预谋”的DDoS攻击？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。