作者丨小蔚

上網的時候，我們總能或多或少地聽到一些新聞，某某網站又遭遇DDoS攻擊了，十幾二十個小時，網站都沒辦法開啟。似乎每一次DDoS的出現，都有大新聞。

2018年發生了有史以來最大的DDoS攻擊事件，駭客此次攻擊目標，是數百萬程式設計師使用的線上程式碼管理服務平臺——Github，峰值高達1.35TB/S。受到攻擊後，伺服器斷斷續續，無法訪問，好在20分鐘內防禦措施才成功緩解。

兩年後幾乎同一時間，DDoS攻擊規模再創新高，亞馬遜在AWS Shield服務中，成功攔截了2.3Tbps的DDoS攻擊！

亞馬遜和Github算是比較幸運的，很多網站被DDoS攻擊後，都免不了癱瘓的命運。

2002年，雅虎、CNN、亞馬遜、eBay、ZDNet等網站，24小時內遭受到DDoS攻擊，部分網站癱瘓，僅亞馬遜和雅虎兩家公司，損失就高達110萬美元。

2007年，愛沙尼亞三週內遭遇三輪DDoS攻擊，總統府、議會、政府部門、主要政黨、主要媒體和大型銀行，全部癱瘓，北約頂級反網路恐怖主義專家前往救援。

2016年，美國DNS服務商Dyn遭遇DDos攻擊，導致美國東海岸大量網站宕機，Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp等網站無一倖免。

在國內，2020年年底，網易的戰網平臺，受到了一系列大型惡意DDoS攻擊，導致平臺頻繁斷線崩潰。

為什麼防不住DDoS？

被DDoS攻擊的物件中，既有網際網路的大型企業，也有政府部門，按常理，他們在業界數一數二，為什麼還會遭遇DDoS攻擊呢？難不成是因為技術水平較差？

其實這是由於網路TCP/IP協議存在的天生缺陷導致的，可以說，只要網際網路用的還是TCP協議，那麼DDoS就不會消失，而且還會不斷髮展，越來越智慧化，攻擊成本越來越低，進而更加氾濫。

DDoS是目前最強大、最難防禦的攻擊方式之一，這是一個世界性的難題，只能防禦，沒有辦法徹底解決。

什麼是DDoS？

DDoS，全稱分散式拒絕服務攻擊（Distributed Denial of Service），它的攻擊目的，是讓指定目標，無法提供正常服務，甚至從網際網路上直接消失。遭受DDoS攻擊後，不僅正常使用者無法訪問網站，而且同時還會造成很大的經濟損失。

由於DDoS進行攻擊時，可以對源IP地址進行偽造，使得這種攻擊發生的時候，隱蔽性非常強，難以被檢測和防範。

DDoS攻擊，可以簡單地分成三種類型

攻擊頻寬

海量的資料包從網際網路的每一個角落蜂擁而來，堵塞IDC入口，讓各種強大的防禦系統、應急流程毫無用武之地。就像城市堵車一樣，四面八方湧來的汽車，堵住了城市的每一條街道，只是其他車輛無法正常行駛。這種型別的攻擊，典型的代表是ICMP Flood和UDP Flood。

ICMP Flood

ICMP是Internet控制報文協議，它是TCP/IP協議族的一個子協議，用於IP主機、路由器之間傳遞控制訊息，因此為攻擊者提供了極大的便利條件。

攻擊者在短時間內，向目標主機發送大量的ping包，消耗主機資源，主機資源耗盡後，就會癱瘓，無法提供服務。

UDP Flood

由於UDP協議是一種無連線的服務，所以只要開了一個UDP的埠，提供相關服務的話，攻擊者可傳送大量偽造源IP地址的小UDP包，利用大量的UDP小包，衝擊DNS伺服器或Radius認證伺服器、流媒體影片伺服器。100k bps的UDP Flood通常就能將線路上骨幹裝置打癱，造成整個網段的癱瘓。

上面的兩種DDoS攻擊方式，技術含量比較低，攻擊效果基本取決於主機本身的效能，而且很容易被查到攻擊源頭，單獨使用已經不常見了。

攻擊系統

這類攻擊大多是利用協議缺陷，或者軟體本身存在的漏洞發起的，例如Slowloris攻擊、Hash衝突攻擊。

Slowloris攻擊

由於網頁伺服器，對於併發的連線數都有一個上限。如果惡意佔用這些連線不釋放，伺服器就無法接收新的請求，導致拒絕服務。

Slowloris攻擊者以極低的速度，向伺服器傳送HTTP請求的方式，來達到這個目的。

混合型

既利用協議、軟體的漏洞，又具備海量的流量，例如SYN Flood攻擊、DNS Query Flood攻擊，是當前的主流攻擊方式。

SYN Flood

攻擊者會利用TCP協議的缺陷，傳送大量偽造的TCP連線請求，進而使被攻擊方CPU滿負荷，或者記憶體不足。

SYN Flood攻擊是透過三次握手實現的。

三次握手：

1.攻擊者向被攻擊伺服器，傳送一個包含SYN標誌的TCP報文，SYN即同步報文。同步報文會指明客戶端使用的埠以及TCP連線的初始序號，第一次握手達成。2.受害伺服器在收到攻擊者的SYN報文後，將返回一個SYN+ACK的報文，表示攻擊者的請求被接受，同時，TCP序號被加一，ACK即確認。第二次握手達成。3.攻擊者也返回一個確認報文ACK給受害伺服器，同樣TCP序列號被加一，到此一個TCP連線完成，三次握手完成。

在這三次握手中，如果有一個使用者，向伺服器傳送了SYN報文後，突然掉線或者宕機，此時伺服器將無法收到客戶端的ACK報文，伺服器端一般會嘗試重試。

等待一段時間後，還無法建立連結，才會丟棄這個未完成的連線，這個時間一般在30秒-2分鐘左右。

攻擊者就是透過大量模擬這種情況，透過偽裝大量的IP地址，給伺服器傳送SYN報文，由於偽裝的IP地址不存在，也就沒有裝置會給伺服器返回任何應答，致使伺服器端出現非常多的半連線列表，從而消耗大量的資源，進而癱瘓，無法響應。

這是目前最主流的DDoS攻擊方式之一。

DNS Query Flood

DNS作為網際網路的核心服務之一，自然成為了DDoS的一大攻擊目標。

攻擊者透過大量的傀儡機，對目標發起海量的域名查詢請求，通常請求解析的域名，都是隨機生成，或者根本不存在的域名。被攻擊的DNS伺服器收到解析請求後，會先查詢是否有對應的快取，如果找不到，並且伺服器無法直接解析，DNS伺服器就會向其上層DNS伺服器，遞迴查詢域名資訊。

這一域名解析的過程，會給伺服器帶來很大的負載，當每秒解析域名的請求太多，超出了一定數量，就會導致DNS伺服器解析域名超時，拒絕服務。

真正讓網際網路企業頭疼的，是CC攻擊。

CC

像SYN Flood和DNS Query Flood這類攻擊，都需要用root許可權，控制大量的傀儡機，很耗費時間和精力，而且期間容易被發現，導致攻擊者資源損耗快，又無法得到快速補充，攻擊預期往往比較低，而CC攻擊則不同。

使用CC攻擊，攻擊者不需要控制大量的傀儡機，而是透過匿名代理，對攻擊目標發起HTTP請求。

而且CC攻擊，是在HTTP層發起的，極力模仿正常使用者的網頁請求行為，往往與網站的業務緊密相關，很多雲服務商，很難提供一套通用，而且不會影響使用者體驗的方案。方案一旦誤殺正常使用者，帶來的傷害會遠高於攻擊本身帶來的傷害。

CC攻擊還會引起嚴重的連鎖反應，導致前端響應緩慢，還會間接攻擊到後端等業務邏輯，以及資料庫服務，甚至對日誌儲存伺服器帶來影響。

DDoS雲清洗服務，也可以抵禦CC攻擊，目前 DMS 單節點抗攻擊能力可達 800Gbps，同時 DMS 的智慧排程中心能夠根據攻擊情況智慧排程全網資源，總體抗攻擊能力達到 15Tbps+。

以上就是幾種常見的DDoS攻擊型別，下課啦~