DDoS攻击方式全面剖析

DDoS经过长时间的发展，攻击一直受到攻击者的青睐，成本低(与防御相比)，效果显著，影响深远。DDoS攻击方法有很多种，最基本的DoS攻击利用单个合理的服务请求占用过多的服务资源，使合法用户无法得到服务响应。DoS目标系统带宽、内存、攻击通常采用一对一的方式CPU当性能指标不高时，效果明显。随着网络技术的发展，计算机处理能力迅速增强，内存大大增加，千兆网络出现，目标系统的消化能力翻了一番。此时，分布式拒绝服务攻击——DDoS就出现了。

利用网络上被抓获的计算机作为肉鸡，通过某种方式组合形成大量的僵尸网络，一对多控制，同时向目标系统提出服务杀伤力。DDoS攻防对抗多年，从DoS到DDoS，从流量到技能，从单一攻击到混合攻击，攻击手段正在发展。本文将逐一介绍最常见、最具代表性的攻击方法，企业经营者可以了解自己和敌人，做好准备。

一、攻击带宽：以力取胜

就像城市交通堵塞一样，当数据包超过带宽上限时，就会出现网络拥堵和响应缓慢。流量型DDoS攻击就是这样，发送大量数据包，立即占据目标系统的所有带宽，正常请求被堵塞，拒绝服务。

ICMPFlood

ICMP(互联网用于控制报文协议)IP控制信息在主机和路由器之间传输，控制信息是指网络本身的信息，如网络是否连接，主机是否可用，路由是否可用。虽然用户数据没有传输，但它在用户数据的传输中起着重要的作用。通过向目标系统发送大量的数据包，目标主机可以瘫痪，如果大量的发送成为洪水攻击。

UDPFlood

UDP在UDPFlood攻击者通常会发送大量的伪造源IP地址的小UDP包冲击DNS服务器或Radius认证服务器，流媒体视频服务器。100kbps的UDPFlood防火墙等线路骨干设备经常瘫痪，导致整个网段瘫痪。

传统的流量攻击方法技术含量低，伤害1000人，损失800人。攻击效果通常取决于控制主机本身的网络性能，而且很容易找到攻击源，单独使用并不常见。因此，反射性放大攻击具有四到两千斤的效果。

NTPFlood

NTP是标准的基础UDP由于协议传输的网络时间同步协议UDP无连接协议，方便伪造源地址。攻击者使用特殊的数据包，即IP地址指向作为反射器的服务器，源IP地址被伪造成攻击目标IP，当反射器收到数据包时，它会被欺骗，并将响应数据发送给攻击目标，耗尽目标网络的带宽资源。一般的NTP服务器有很大的带宽，攻击者可能只需要1Mbps欺骗上传带宽NTP服务器，就可给目标服务器带来几百上千Mbps攻击流量。

因此，可以使用问答方法的协议进行反射攻击。如果将查询数据包的地址伪造成攻击目标地址，响应数据包将被发送到目标。一旦协议具有递归效果，流量将显著放大，可称为用刀杀人流量攻击。

面对洪水般的流量，花高价抗击D虽然带宽扩容和多运营商链路冗余可以在一定程度上提高阻力D能力，但是面对大量的攻击还是没用的，浪费资源。知道创宇的抵抗DDoS云防御平台-抗D保险，横跨全国分布式数据中心，600G以上带宽抗DDoS，腾讯自有带宽1可随时调用.5Tb，这使得抗D保有两个以上Tb防御能力。

二、攻击系统/应用:以巧取胜

这类型的DDoS攻击走的是巧劲，利用各种协议的行为特性、系统的缺陷、服务的脆弱性、软件的漏洞等等发起攻击，不断占用目标系统的资源以阻止它们处理正常事务和请求。

SYNFlood

这是一种利用TCP发送大量伪造的协议缺陷TCP连接请求耗尽了被攻击方的资源(CPU全负荷或内存不足)的攻击方法TCP连接需要三次握手-客户端发送SYN服务端收到请求并返回报告接受，客户端也返回确认并完成连接。

SYNFlood也就是说，如果用户在向服务器发送报告后突然死亡或掉线，服务器在发送响应报告后无法收到客户端的确认报告（第三次握手无法完成）。此时，服务器端通常会在丢弃未完成的连接之前重新测试并等待一段时间。用户异常导致服务器线程等待一段时间不是大问题，但恶意攻击者模拟了大量这种情况。服务器端消耗大量资源，以维持数万个半连接。因此，它往往没有时间忽略客户的正常要求，甚至崩溃。从正常客户的角度来看，该网站失去了响应，无法访问。

CC攻击

CC攻击是目前应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的法律请求，实现伪装和伪装DDoS。我们都有访问静态页面的经验，即使有很多人，也不需要太长时间，但如果你在高峰时间访问论坛、酒吧等，这是非常缓慢的，因为服务器系统需要去数据库来判断访问者是否有权阅读帖子和发言。访问者越多，论坛页面越多，数据库压力越大，访问频率越高，占用的系统资源也相当可观。

CC攻击充分利用这一特点，模拟多个正常用户不断访问需要大量数据操作的页面，如论坛，造成服务器资源浪费，CPU长期处于100%，总有无穷无尽的要求，网络拥堵，正常访问暂停。这种攻击技术含量高，没有真正的来源IP，没有特别大的异常流量，但服务器无法正常连接。

之所以选择代理服务器，是因为代理可以有效隐藏自己的身份，绕过防火墙，因为基本上所有的防火墙都会并发检测TCP/IP超过一定数量和频率的连接数将被视为正确的Connection-Flood。当然也可以用肉鸡开始CC攻击，攻击者使用CC攻击软件控制大量肉鸡发动攻击，肉鸡可以模拟正常用户访问网站的请求伪造成合法数据包，相比前者来说更难防御。

CC攻击是针对Web第七层协议发起的服务攻击，在上层协议发起DDoS攻击越难防御，上层协议与业务关系越密切，防御系统面临的情况就越复杂CC攻击中最重要的方法之一HTTPFlood，不仅会直接导致攻击Web前端响应缓慢，对承载产生致命影响，也可能导致连锁反应，间接攻击后端Java业务层逻辑和后端数据库服务。