DDoS（分布式拒絕服務攻擊）

DDoS(Distributed Denial of Service)，即“分布式拒絕服務”俗稱洪水攻擊，指利用一批主機對一個或多個目標實施協作式的DOS攻擊。它是在拒絕服務DoS(Denial of Service)攻擊基礎上產生的一種攻擊方式，最基本的DoS攻擊就是利用大量正常的請求來占用過多的服務資源，使得服務器無法處理其他正常的請求。它囊括了已經出現的各種重要的DOS攻擊方法。根據WWW安全FAQ對DDOS的定義:

“一個DDOS攻擊使用許多計算機來發動一個并發的DOS攻擊來攻擊一個或多個目標。使用C/S技術，攻擊者能夠利用不知情的“同謀”計算機的資源，來成倍的增加DOS攻擊的效力。這些被利用的“同謀”計算機作為攻擊平臺提供服務”。

從DDoS的危害性和攻擊行為來看，可以將DDoS攻擊劃分為以下幾種攻擊方式：

(1)資源消耗類攻擊

資源消耗類攻擊往往伴隨著龐大的網絡流量，主要攻擊對象為網絡資源，例如內存資源、計算資源、帶寬資源等等，通過消耗網絡信息系統的資源，使得信息系統無法對正常用戶的請求提供服務，嚴重的情況下甚至可能造成服務器崩潰。資源消耗類是比較典型的DDOS攻擊，最具代表性的包括：Syn F100d、Ack F100d、UDP F100d。這類攻擊方式的目標很簡單，就是通過大量的非法或合法請求消耗正常的帶寬和協議棧處理資源的能力，從而達到目標服務端網絡無法正常工作的目的。

(2)服務消耗型攻擊

與資源消耗類攻擊相比而言，服務消耗類攻擊不需要龐大的的網絡流量，它主要是針對具體服務的特點進行精確定點打擊，如web的CC，數據服務的檢索，文件服務的下載等。這類攻擊往往不是為了擁塞流量通道或協議處理通道，它們的目標是讓服務端始終處于處理高消耗型的業務的忙碌狀態，進而無法對正常業務進行響應。

(3)反射類攻擊

反射攻擊也叫放大攻擊，該類攻擊以UDP協議為主，一般請求回應的流量遠遠大于請求本身流量的大小。攻擊者通過流量被放大的特點以較小的流量帶寬就可以制造出大規模的流量源，從而對目標發起攻擊。反射類攻擊嚴格意義上來說不算是攻擊的一種，它只是利用某些服務的業務特征來實現用更小的代價發動Flood攻擊。

(4)混合型攻擊

混合型攻擊是上述幾種攻擊類型混合使用的攻擊，混合型在攻擊過程中會不斷進行探測，及時調整攻擊策略，選擇最佳的攻擊方式?；旌闲凸敉殡S著資源消耗型攻擊和服務消耗型攻擊兩種攻擊類型特征。

根據阿里云DDoS攻擊介紹，常見的DDoS攻擊類型有畸形報文、傳輸層DDoS攻擊、DNS DDoS攻擊、連接型DDoS攻擊、Web應用層DDoS攻擊。其中畸形報文主要包括Frag Flood、smurf、StreamFlood、Land Flood、IP畸形報文、TCP畸形報文.UDP畸形報文等；傳輸層DDoS攻擊主要包括Syn Flood、Ack FIood.UDP Flood、ICMP Flood、RstFlood等；DNS DDoS攻擊主要包括DNS Request Flood、DNSResponse FlIood、虛假源+真實源DNS Query Flood.權威服務器攻擊和Local服務器攻擊等；連接型DDoS攻擊主要是指TCP慢速連接攻擊、連接耗盡攻擊.Loic.Hoic.Slowloris、Pyloris、Xoic等慢速攻擊；Web應用層攻擊主要是指HTTP Get Flood、HTTP PostFlood、cC等攻擊。

(1)攻擊發起者發送控制指令到一臺已經提前占領的控制服務器上；這臺控制服務器通過對網絡環境掃描以完成信息收集，并鎖定具有脆弱性的僵尸主機。

(2)將木馬程序或者惡意軟件安裝到僵尸網絡中的若干臺僵尸主機上，再源源不斷地把控制信息實時地分發至這些僵尸主機(一般是Linux或者Solaris操作系統的主機)，指揮這些僵尸主機在網絡上有針對性地選擇一些攻擊程序，比如：Trinoo、TFN、TFN2K和Stacheldraht等；

(3)利用這些攻擊程序對目標主機發動攻擊。

老道的攻擊者在占領一臺控制服務器的同時，會為自己留好后門，并有選擇地從內存中刪除某些日志記錄或者歷史文件，將自己隱藏起來，以此實現長期利用、操縱僵尸主機的目的。其主要的攻擊目標有政府機關、企事業單位的門戶網站，互聯網公司網站以及搜索引擎等。

DDoS的防護系統本質上是一個基于資源較量和規則過濾的智能化系統，現存的主要的防御手段和策略包括：

(1)資源隔離

資源隔離可以看作是用戶服務的一堵防護盾，這套防護系統擁有無比強大的數據和流量處理能力，為用戶過濾異常的流量和請求。如：針對Syn Flood，防護盾會響應Syn Cookie或Syn Reset認證，通過對數據源的認證，過濾偽造源數據包或發功攻擊的攻擊，保護服務端不受惡意連接的侵蝕。資源隔離系統主要針對ISo模型的第三層和第四層進行防護^[1]。

(2)用戶規則

用戶可以基于抗DDoS系統特定的規則，如:流量類型、請求頓率、數據包特征、正常業務之間的延時間隔等

(3)大數據智能分析

基于對海量數據進行分析，進而對合法用戶進行模型化，并利用這些指紋特征，如:HTTP模型特征、數據來源、請求源等

(4)資源對抗

即用更多的服務器和帶寬資源硬抗攻擊

(1)控制端資源，指用來控制大量的僵尸主機節點向攻擊目標發起DDoS攻擊的僵尸網絡控制端

(2)肉雞資源，指被控制端利用，向攻擊目標發起DDoS攻擊的僵尸主機節點

(3)反射服務器資源，指能夠被黑客利用發起反射攻擊的服務器、主機等設施，它們提供的某些網絡服務(如DNS服務器，NTP服務器等)，不需要進行認證并且具有放大效果，又在互聯網上大量部署，從而成為被利用發起DDoS反射攻擊的網絡資源。

(4)跨域偽造流量來源路由器，是指轉發了大量任意偽造IP攻擊流量的路由器。由于我國要求運營商在接入網上進行源地址驗證，因此跨域偽造流量的存在，說明該路由器或其下路由器的源地址驗證配置可能存在缺陷，且該路由器下的網絡中存在發動DDoS攻擊的設備。

(5)本地偽造流量來源路由器，是指轉發了大量偽造本區域IP攻擊流量的路由器。說明該路由器下的網絡中存在發動DDoS攻擊的設備^[2]。

(1)重大經濟損失

在遭受DDoS攻擊后，源站服務器可能無法提供服務，導致用戶無法訪問業務，從而造成巨大的經濟損失和品牌損失。例如：某電商平臺在遭受DDoS攻擊時，網站無法正常訪問甚至出現短暫的關閉，導致合法用戶無法下單購買商品等。

(2)數據泄露

服務器被DDoS攻擊時，可能會趁機竊取業務的核心數據。

(3)惡意競爭

部分行業存在惡性競爭，競爭對手可能會通過DDoS攻擊惡意攻擊網站服務，從而在行業競爭中獲取優勢。

參考來源：

[1]涂偉陽.SDN網絡架構下基于網絡異常行為的DDoS攻擊檢測方法研究[D].湖北:華中師范大學，2021.

[2] 國家計算機網絡應急技術處理協調中心：我國DDoS攻擊資源分析報告(2021年第4季度)(22頁).pdf

DDoS攻擊相關報告

騰訊安全：2021年全球DDoS威脅報告（37頁）.pdf

騰訊安全&；電信安全：2022年上半年DDoS攻擊威脅報告（32頁）.pdf

精品游戲興起阿里云上DDoS最佳實踐-原生一體化云安全論壇（22頁）.pdf

AWA在線研討會：Angry Birds等游戲DDoS防護和安全策略的云上最佳實踐（56頁）.pdf

FreeBuf&；云鼎實驗室：2018深淵背后的真相之DDoS威脅與黑灰產業調查報告（47頁）.pdf

億渡數據：2022年中國網絡安全行業白皮書（61頁）.pdf