安全科普——DDoS攻擊，互聯網的洪水猛獸

每一次大規模DDoS，總能鬧出大動靜

▼

· 2000年2月，雅虎、CNN、亞馬遜、eBay、ZDNet等網站24小時內遭受DDoS攻擊，部分網站癱瘓，僅亞馬遜和雅虎損失高達110萬美元。

· 2007年5月，愛沙尼亞三周內遭遇三輪DDoS攻擊，總統府、議會、政府部門、主要政黨、主流媒體和大型銀行網站均陷入癱瘓，北約頂級反網路恐怖主義專家前往救援。

· 2016年10月，美國DNS服務商Dyn遭遇DDoS攻擊，包括Twitter、Spotify、Airbnb、Visa等網站無法訪問，大半個美國集體斷網，媒體形容此次事件為「史上最嚴重DDoS攻擊」。

DDoS很常見，甚至被稱為黑客圈子的准入技能；DDoS又很兇猛，搞起事來幾乎壓垮一方網路。

什麼是DDoS？

DDoS（Distributed Denial of Service）意為分散式拒絕服務攻擊，攻擊者利用大量「肉雞」對攻擊目標發動大量的正常或非正常請求，耗盡目標主機資源或網路資源，從而使被攻擊者不能為合法用戶提供服務。

換句話說——老張的飯店（被攻擊目標）可接待100個顧客同時就餐，隔壁老王（攻擊者）雇傭了200個人（肉雞），進飯店霸佔位置卻不吃不喝（非正常請求），飯店被擠得滿滿當當（資源耗盡），而真正要吃飯的顧客卻進不來，飯店無法正常營業（DDoS攻擊達成）。

那麼問題來了，老張該怎麼辦？

當然是，轟出去！

發現來者不善，老張派手下把這些影響生意的人都攆出去了，並且告訴服務員，盯緊這群兔崽子（添加過濾規則和黑名單），再來搗亂亂棍伺候。這下，飯店營業又恢復了正常（防禦成功）。

然而，隔壁老王也不是吃素的，這一次，他請了2000個人分批次來搗亂。剛把一群不速之客趕走，另一批又接踵而來，進門時看上去就像正常的顧客，服務員根本沒辦法辨認。無奈之下，老張暫時關閉了店鋪。

如此可見，當DDoS攻擊流量達到一定程度，靠常規的過濾規則和黑名單機制根本無法抵擋如洪水一般的惡意訪問。國內大多數中小網站帶寬規模僅10M、100M，知名企業帶寬能超過1G，當超大流量打過來，企業自身一般都抵擋不住。

DDoS攻擊方式？

為了長時間地擾亂飯店經營，這2000個人使出了渾身解數。他們有的只看菜單卻不點餐；有的在門口搭訕收銀小妹；有的鬧著要去后廚看看衛生條件；還有的就堵在門口圍觀。

同樣的，DDoS攻擊方式是多種多樣的，表現形式主要有兩種，一種為流量攻擊，主要是針對網路帶寬的攻擊，即大量攻擊包導致網路帶寬被阻塞，合法網路包被虛假的攻擊包淹沒而無法到達主機。這種DDoS粗暴至極，一個個伺服器、路由器就此淪陷。但有些攻擊不只有蠻力，比如DNS、NTP反射攻擊，可以將流量放大數百倍，達到四兩撥千斤的效果。

另一種為資源耗盡攻擊，主要是針對伺服器主機的攻擊，即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網路服務。這種DDoS用的是巧勁，利用TCP、HTTP等協議定義的行為來不斷佔用計算資源以阻止它們處理正常事務和請求，比如典型的CC攻擊，模擬多個正常用戶，不停地進行訪問如論壇等需要大量數據操作的頁面，造成伺服器資源的浪費，CPU長時間處於100%，永遠都有處理不完的請求，網路擁塞，正常訪問被中止。

發展到現在，DDoS攻擊趨向於多元化混合攻擊，攻擊時長也有增加的趨勢。

誰是肉雞？誰被攻擊？

老張特別納悶，我規規矩矩地做生意，招誰惹誰了？原來，隔壁老王在街對面也開了一家飯店，但生意一直很慘淡。急紅了眼，老王就想出了僱人搗亂的招。

· 競爭：當在行業里形成了一定的影響力，競爭對手想要故意搞垮你。

一直混跡於這個街區的土霸王老K看著老王賺得滿盆金箔，曾上門吃霸王餐讓老張給保護費。被轟走後，老K就聯合老王召集了更多的人來搗亂。

· 勒索：錢多自然有人眼紅，DDoS攻擊就是有效的勒索工具之一。

當2000人湧入老張飯店時，場面過度混亂，旁邊店鋪的生意也受到了影響。

· 躺槍：大流量的DDoS攻擊會帶來「連帶效應」，被攻擊者的相關用戶的業務也會受影響。

從歷史案件分析，互聯網金融、遊戲、博彩、電商、教育培訓、競價排名、醫療等行業最容易發生DDoS攻擊。

那這些搗亂的人，都是哪來的？

老張店裡的「食客」，是對手花錢雇來的。而黑客圈子裡的「肉雞」，是指被黑客遠程控制的機器，它可能是伺服器，也可能是個人電腦、路由器等。「養雞」可以靠誘導用戶點擊、攻擊系統漏洞等黑客手段，當然也可以直接「買雞」或「抓雞」。

黑產從業者受利益驅動，或被雇傭去攻擊一些高盈利行業。DDoS攻擊已經形成了完整的產業鏈，一些黑客明碼標價，比如打1G流量到一個網站一小時，報價只需50元。

被攻擊了會怎樣？

顯而易見，DDoS攻擊直接造成了伺服器癱瘓，而其破壞性的後果，遠不止是短時間內的無法訪問。

· 收入銳減

電商、借貸、遊戲等網站，沒有客戶訪問就沒有收入，DDoS攻擊讓企業失去業務機會。有調查數據顯示，損失合同或運營終止是DDoS攻擊的最嚴重後果，在遭遇過攻擊的企業中，26%將其視為最大的風險。

· 信譽損失

糟糕的客戶體驗會讓潛在客戶和已有的合作夥伴重新考量、審查企業，新的銷售機會和品牌形象大受打擊。作為老張的顧客，看到店內烏七八糟，也會為自己下次就餐產生深深的擔憂。

· 資料外泄

如今使用DDoS 作為其他網路犯罪活動掩護的情況越來越多，當網站被打到快癱瘓時，維護人員的全部精力都在抗DDoS上面，攻擊者竊取數據、感染病毒、惡意欺騙等犯罪活動更容易得手。有研究表明，30%的美國金融從業者反饋他們遭受DDoS 攻擊后發現系統被感染惡意軟體或者病毒。

DDoS攻擊怎麼破？

第一次搗亂事件后，老張暫時關閉了店鋪避風頭，的確，對非重要業務可以暫時下線服務，但這並不是長久之計。

長教訓之後老張制定了一系列機制，點單不能超過十分鐘，就餐不能超過兩小時，惡意佔位將永不接待，並且安裝攝像頭，遇到無賴就連同證據一起交給警察。保證充足的網路帶寬、安裝多節點防火牆、過濾不必要的服務和埠、對訪問來源做適當的限制、增強操作系統的TCP/IP棧等等防禦手段和機制，就是網站的保護傘。

面對多次大規模的搗亂，老張索性將飯店經營規模擴大，可同時容納一萬人人就餐，這樣即使2000人進來坐著不消費，飯店的正常營業也不會受影響。對於網站而言，增加帶寬硬防是一個理論上比較有效的辦法，但實際上，對於大流量的滲透來說實在太過燒錢，硬體能不能跟上也是個問題，高昂的成本和技術的挑戰讓人望而卻步。

而CDN的出現無疑是一大福音，CDN系統能夠實時地根據網路流量和各節點的連接、負載狀況以及到用戶的距離和響應時間等綜合信息將用戶的請求重新導向離用戶最近的服務節點上。用戶可就近取得所需內容，解決 Internet網路擁擠的狀況，提高用戶訪問網站的響應速度。新興的CDN抗D可以說是眾多中小企業普遍認同的解決方案，用戶不容易直接獲取真實IP，可以多節點抵禦DDoS攻擊。

那麼問題來了，並不是每個中小企業都有專門的安全維護團隊，並不是每個站長都精通種種打怪手段。擴張一個萬人飯店談何容易，但將網站接入保護，卻有便利之路。知道創宇DDoS流量清洗服務——抗D保，專註於特大流量DDoS攻擊防禦，最大防禦能力超過2TB。

使用騰訊宙斯盾流量清洗設備和知道創宇祝融智能攻擊識別引擎，100%清洗SYN Flood、UDP Flood、ICMP Flood等攻擊流量；根據訪問者的URL、頻率、行為等訪問特徵，迅速識別出CC攻擊，100%攔截無漏傳；有效解決突發的大量隨機HOST A記錄查詢攻擊、遞歸DNS穿透攻擊、DNS流量攻擊等多種針對域名解析的攻擊請求。

抗D保為最容易遭受攻擊的金融借貸平台、遊戲、電商、教育培訓、競價排名、醫療等高危網站制定專屬策略，為網路安全保駕護航。

肉雞來了，扔給他一劑抗D保。