當(dāng)DDoS跨入400Gbps時(shí)代，那些來自孩子們的攻擊該如何應(yīng)對(duì)！

DDoS，分布式拒絕服務(wù)攻擊，Distributed Denial of Service的縮寫，亦稱洪水攻擊。DDoS最早可追溯到1996年，2002年在國內(nèi)頻繁出現(xiàn)，并在2013年邁向成熟。DDoS攻擊具體可分成兩種形式――帶寬和資源消耗，通過大量合法或偽造請(qǐng)求占用大量網(wǎng)絡(luò)以及服務(wù)器資源，下面我們簡(jiǎn)單看一下 維基百科上的信息：

1. 帶寬消耗型攻擊

帶寬消耗攻擊可以分為兩個(gè)不同的層次，洪泛攻擊或放大攻擊。洪泛攻擊的特點(diǎn)是利用僵尸程序發(fā)送大量流量至受損的受害者系統(tǒng)，目的在于堵塞其帶寬。放大攻擊也與之類似，通過惡意放大流量限制受害者系統(tǒng)的帶寬；其特點(diǎn)是利用僵尸程序發(fā)送信息，但是信息卻是發(fā)送至廣播 IP 地址，導(dǎo)致系統(tǒng)子網(wǎng)被廣播 IP 地址連接上之后再發(fā)送信息至受害系統(tǒng)。

帶寬消耗的攻擊方式主要包括User Datagram Protocol（UDP）floods、ICMP floods、ping of death以及淚滴攻擊。

2. 資源消耗型攻擊

資源消耗型攻擊主要包括協(xié)議分析攻擊（ SYN flood ，SYN洪水）、LAND attack、CC攻擊、僵尸網(wǎng)絡(luò)攻擊和Application level floods（應(yīng)用程序級(jí)洪水攻擊），其中駭客們慣用及最愛的無疑就是SYN flood。

SYN Flood是一種非常典型和常見的系統(tǒng)資源消耗型DDoS攻擊，是在TCP連接創(chuàng)建的握手階段，利用客戶端與服務(wù)器三次交互對(duì)服務(wù)器側(cè)的TCP資源進(jìn)行攻擊。攻擊者通過向被攻擊目標(biāo)服務(wù)器發(fā)出大量TCP SYN報(bào)文，使服務(wù)器打開并維持大量的半開連接，進(jìn)而占滿服務(wù)器的連接表，影響正常用戶與服務(wù)器建立會(huì)話，造成拒絕服務(wù)。

在對(duì)DDoS有了大致的了解后，我們看一下DDoS攻擊在近年內(nèi)的發(fā)展：

從300到400不到1年

Spamhaus，致力于反垃圾郵件的非盈利組織，維護(hù)著一個(gè)巨大的垃圾郵件黑名單，這個(gè)名單被很多大學(xué)/研究機(jī)構(gòu)、互聯(lián)網(wǎng)提供商、軍事機(jī)構(gòu)和商業(yè)公司廣泛使用。在2013年3月，Spamhaus赫然把Cyberbunker公司加入了黑名單之內(nèi)，從而遭到了那個(gè)時(shí)候史上最大的DDoS攻擊――流量一度超過300Gbps！

然而，這個(gè)史上最大攻擊記錄僅僅保持了不到1年的時(shí)間：CloudFlare CEO Matthew Prince在2月10日的Twitter上指出，他們受到了NTP（Network Time Protocol）類型的DDoS攻擊，規(guī)模大于Spamhaus，約為400Gbps，影響最大的地區(qū)在歐洲。比較有意思的是，Spamhaus正是CloudFlare的客戶之一。而在2月13日，CloudFlare公布了這次大規(guī)模DDoS攻擊背后的技術(shù)，詳情訪問 該公司博客。（ps：更多的NTP原理可訪問 NTP反射型DDoS攻擊）

孩子們只是為了娛樂

通過 KrebsOnSecurity了解到，在DDoS服務(wù)租賃者中存在大量的年輕人，他們期望通過破壞別人的網(wǎng)站或服務(wù)以炫耀自己，而KrebsOnSecurity在這周也受到一位15歲男孩的攻擊，他稱自己為“Mr. Booter Master”。而通過KrebsOnSecurity網(wǎng)站選擇的安全公司Prolexic Technologies得知，就是這個(gè)15歲的孩子發(fā)起了一個(gè)接近200Gbps的攻擊。通過該安全公司還得知，這次攻擊僅僅持續(xù)了10分鐘左右，與其說是破壞不如說是演習(xí)和驗(yàn)證。通過知情人士還得知，攻擊者的目的在于通過這種方式向Darkode論壇管理員證明他可以為社區(qū)貢獻(xiàn)更多：

類似“Mr. Booter Master”這個(gè)年齡段的攻擊者還有很多，他們通過各種各樣的方式證明自己的實(shí)力，但是無可否認(rèn)的是他們的目的只有一個(gè)――為了娛樂！

新時(shí)代的攻擊即服務(wù)

云服務(wù)的發(fā)展為企業(yè)減少了基礎(chǔ)設(shè)施領(lǐng)域的建設(shè)成本，同時(shí)這也給很多黑客帶來了機(jī)會(huì)?，F(xiàn)在已經(jīng)出現(xiàn)了Attacks-as-a-Service（攻擊即服務(wù)），這是一種特殊的云服務(wù)模式。然而即使表面上看起來很合法，而且具有完整的服務(wù)水平協(xié)議，不過這些技術(shù)支持都是在暗中完成。

去年我們有報(bào)到過，來自中國的一個(gè)黑客小組新開了一個(gè)叫“IM DDODS”的網(wǎng)站，它就允許任何客戶進(jìn)行注冊(cè)，并且可以對(duì)任何他們希望的目標(biāo)發(fā)起DDoS攻擊。同時(shí)，根據(jù)圈內(nèi)人士提供的消息，雇傭一名黑客的價(jià)格其實(shí)非常便宜，遠(yuǎn)不及在一家高檔餐廳享受一頓豐盛晚餐的價(jià)格。一些黑客可以在48小時(shí)之內(nèi)破解電子郵件的密碼，收費(fèi)也只是在150美金到400美金之間。而IM DDOS則更為慷慨，他們同時(shí)還提供了很多“買就送”的免費(fèi)服務(wù)。

200-400Gbps的時(shí)代

從 Arbor Networks得知，2013年NTP攻擊得到了長(zhǎng)足的發(fā)展，DDoS攻擊已經(jīng)步入200-400Gbps時(shí)代。需要注意的是，這點(diǎn)并不僅限于歐美等國家――2014春節(jié)期間，阿里云曾遭遇一場(chǎng)160Gbit/s DDoS攻擊，雖然官方公布了這場(chǎng)博弈的結(jié)果，但是如果下方回帖網(wǎng)友使用的也是阿里云服務(wù)的話，情況似乎并不樂觀。同時(shí)，不可否認(rèn)的是，在200-400Gbps DDoS攻擊數(shù)量級(jí)下，國內(nèi)的防范之路還有很長(zhǎng)一段要走。（文/仲浩 審校/魏偉）

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對(duì)您的學(xué)習(xí)有所幫助,可以手機(jī)掃描二維碼進(jìn)行捐贈(zèng)