隨著COVID-19的出現(xiàn)，各行各業(yè)需要適應(yīng)遠程工作以及對互聯(lián)網(wǎng)連接變得日益依賴，越來越多類型的企業(yè)成為了DDoS攻擊組織誘人且有利可圖的目標(biāo)。根據(jù)提供分布式拒絕服務(wù)攻擊（DDoS）緩解服務(wù)的多家公司統(tǒng)計，2020年疫情驅(qū)動之下，DDoS攻擊規(guī)模、頻率，以及受害者數(shù)量和多樣性均突破歷史極值，2020年是DDoS攻擊紀錄頻頻被破的一年。2020年出現(xiàn)了全球最大型DDoS敲詐勒索攻擊，受害客戶比以往任何一年都多，每秒百萬包數(shù)（Mpps）突破歷史紀錄，正在遭受或即將遭受攻擊而急需防護的新客戶數(shù)量也創(chuàng)了歷史新高。本文系統(tǒng)的對DDoS攻擊進行技術(shù)分析和檢測防御方法介紹，以便提升企業(yè)網(wǎng)絡(luò)安全防護水平。

一、DDoS攻擊介紹

1.概念介紹

( 1 ) DoS攻擊：(Denial of Service)拒絕服務(wù)攻擊，這種攻擊行為是使目標(biāo)服務(wù)器充斥大量要回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負荷而停止提供正常的網(wǎng)絡(luò)服務(wù)。

( 2 ) DDoS攻擊：(Distributed Denial of Service)分布式拒絕服務(wù)攻擊，這種是攻擊者利用Internet上現(xiàn)有機器及系統(tǒng)的漏洞，攻占大量聯(lián)網(wǎng)主機(俗稱肉雞)，使其成為攻擊者的代理。當(dāng)被控制的機器達到一定數(shù)量后，攻擊者通過發(fā)送指令操縱這些攻擊機同時向目標(biāo)主機或網(wǎng)絡(luò)發(fā)起DoS攻擊，大量消耗其網(wǎng)絡(luò)帶寬和系統(tǒng)資源，導(dǎo)致該網(wǎng)絡(luò)或系統(tǒng)癱瘓或停止提供正常的網(wǎng)絡(luò)服務(wù)。由于DDoS的分布式特征，它具有了比DoS遠為強大的攻擊力和破壞性。

圖1  DDoS攻擊示意圖

2.攻擊原理

如圖2所示，一個比較完善的DDoS攻擊體系分成四大部分，分別是攻擊者(attacker也可以稱為master)、控制傀儡機( handler)、攻擊傀儡機(demon，又可稱agent)和受害著(victim)。第2和第3部分，分別用做控制和實際發(fā)起攻擊。第2部分的控制機只發(fā)布令而不參與實際的攻擊，第3部分攻擊傀儡機上發(fā)出DDoS的實際攻擊包。對第2和第3部分計算機，攻擊者有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運行并等待來自攻擊者的指令，通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時，這些傀儡機器并沒有什么異常，只是一旦攻擊者連接到它們進行控制，并發(fā)出指令的時候，攻擊愧儡機就成為攻擊者去發(fā)起攻擊了。

圖2  分布式拒絕服務(wù)攻擊體系結(jié)構(gòu)

之所以采用這樣的結(jié)構(gòu)，一個重要目的是隔離網(wǎng)絡(luò)聯(lián)系，隱藏保護攻擊者，使其不會在攻擊進行時受到監(jiān)控系統(tǒng)的跟蹤。同時也能夠更好地協(xié)調(diào)進攻，因為攻擊執(zhí)行器的數(shù)目太多，同時由一個系統(tǒng)來發(fā)布命令會造成控制系統(tǒng)的網(wǎng)絡(luò)阻塞，影響攻擊的突然性和協(xié)同性。而且，流量的突然增大也容易暴露攻擊者的位置和意圖。整個過程可分為：

( 1 ) 掃描大量主機以尋找可入侵主機目標(biāo)；

( 2 ) 有安全漏洞的主機并獲取控制權(quán)；

( 3 ) 入侵主機中安裝攻擊程序；

( 4 ) 用己入侵主機繼續(xù)進行掃描和入侵。

當(dāng)受控制的攻擊代理機達到攻擊者滿意的數(shù)量時，攻擊者就可以通過攻擊主控機隨時發(fā)出擊指令。由于攻擊主控機的位置非常靈活，而且發(fā)布命令的時間很短，所以非常隱蔽以定位。一旦攻擊的命令傳送到攻擊操縱機，主控機就可以關(guān)閉或脫離網(wǎng)絡(luò)，以逃避追蹤要著，攻擊操縱機將命令發(fā)布到各個攻擊代理機。在攻擊代理機接到攻擊命令后，就開始向目標(biāo)主機發(fā)出大量的服務(wù)請求數(shù)據(jù)包。這些數(shù)據(jù)包經(jīng)過偽裝，使被攻擊者無法識別它的來源面，并且這些包所請求的服務(wù)往往要消耗較大的系統(tǒng)資源，如CPU或網(wǎng)絡(luò)帶寬。如果數(shù)百臺甚至上千臺攻擊代理機同時攻擊一個目標(biāo)，就會導(dǎo)致目標(biāo)主機網(wǎng)絡(luò)和系統(tǒng)資源的耗盡，從而停止服務(wù)。有時，甚至?xí)?dǎo)致系統(tǒng)崩潰。

另外，這樣還可以阻塞目標(biāo)網(wǎng)絡(luò)的防火墻和路由器等網(wǎng)絡(luò)設(shè)備，進一步加重網(wǎng)絡(luò)擁塞狀況。于是，目標(biāo)主機根本無法為正常用戶提供任何服務(wù)。攻擊者所用的協(xié)議都是一些非常常見的協(xié)議和服務(wù)。這樣，系統(tǒng)管理員就難于區(qū)分惡意請求和正常連接請求，從而無法有效分離出攻擊數(shù)據(jù)包，提升防御難度。

二、DDoS攻擊方式

分布式拒絕服務(wù)攻擊的精髓是：利用分布式的客戶端，向目標(biāo)發(fā)起大量看上去合法的請求，消耗或者占用大量資源，從而達到拒絕服務(wù)的目的。按照攻擊對象的不同，將DDoS的攻擊方式分成4類，分別是攻擊網(wǎng)絡(luò)帶寬、攻擊系統(tǒng)、攻擊應(yīng)用、混合攻擊。

1.攻擊網(wǎng)絡(luò)帶寬資源

由于網(wǎng)絡(luò)帶寬是有限的，攻擊者利用分布式的傀儡主機向目標(biāo)網(wǎng)絡(luò)發(fā)送大量的網(wǎng)絡(luò)數(shù)據(jù)包，占滿被攻擊者的全部帶寬，從而造成正常請求無法響應(yīng)。

（1）直接攻擊

直接攻擊是指攻擊者利用控制的大量主機對受害者發(fā)送大量的數(shù)據(jù)流量，使得受害者的網(wǎng)絡(luò)帶寬被占據(jù)，并大量消耗服務(wù)器和網(wǎng)絡(luò)設(shè)備的處理能力，達到拒絕服務(wù)攻擊的目的。例如ICMP/IGMP洪水攻擊，UDP洪水攻擊等都是典型的DDoS直接攻擊方式。

（2） 反射和放大攻擊

直接攻擊不僅效率低而且容易被追蹤，所以攻擊者更多地選擇反射攻擊。反射攻擊又稱DRDoS(DistributedReflectionDenialofService，分布式反射拒絕服務(wù))，是指攻擊者利用路由器、服務(wù)器等設(shè)施對請求產(chǎn)生應(yīng)答，從而反射出大量的流量對受害者進行攻擊的一種DDoS攻擊方式。這種攻擊方式隱蔽，更大危害還來自于使用反射過程的放大。放大是一種特殊的反射攻擊，其特殊之處在于反射器對于網(wǎng)絡(luò)流量具有放大作用，可以將攻擊者較小的流量放大成較大流量，從而造成更加嚴重的帶寬消耗。

（3） 鏈路攻擊

攻擊鏈路與前面提到的攻擊方法不同，攻擊對象不是服務(wù)器而是骨干網(wǎng)絡(luò)上的帶寬資源。一種典型的鏈路攻擊方式是Coremelt攻擊。首先，攻擊者通過traceroute等手段確定各個僵尸主機與攻擊鏈路之間的位置關(guān)系。然后，由攻擊者將僵尸網(wǎng)絡(luò)分成兩部分，并控制這兩部分之間通過骨干網(wǎng)絡(luò)進行通信。大量的數(shù)據(jù)包通過骨干網(wǎng)絡(luò)，將會造成骨干網(wǎng)絡(luò)的擁堵和延時。從骨干網(wǎng)絡(luò)上來看，通過網(wǎng)絡(luò)的數(shù)據(jù)包是真實存在的，并沒有任何有效的方式將真正的數(shù)據(jù)包與拒絕服務(wù)攻擊的數(shù)據(jù)區(qū)分開來，這樣使得這種攻擊方式更加隱蔽和難以防范。

圖3  攻擊網(wǎng)絡(luò)帶寬資源

2.攻擊系統(tǒng)資源

（1） 攻擊TCP連接

TCP是一種面向連接的、可靠的、基于字節(jié)流量的傳輸層控制協(xié)議。由于在設(shè)計之初考慮更多的是協(xié)議的可用性，缺乏對協(xié)議的安全性進行周密比較和詳細描述，因此TCP協(xié)議存在許多安全缺陷和安全問題。TCP連接洪水攻擊的原理，就是在建立三次握手過程中，服務(wù)器會創(chuàng)建并保存TCP連接信息，該信息會被保存在連接表中。但是，連接表中的空間是有限的，一旦連接表中存儲的數(shù)據(jù)超過了其最大數(shù)目，服務(wù)器就無法創(chuàng)建新的TCP連接。攻擊者利用大量的受控主機，占據(jù)連接表中所有空間，使得目標(biāo)無法建立新的TCP連接。當(dāng)大量的受控主機進行攻擊時，其攻擊效果非常明顯。攻擊手段主要有：SYN洪水攻擊、PSH+ACK洪水攻擊、RST攻擊、Sockstress攻擊等。

（2）攻擊SSL連接

安全套接字(SecureSocketsLayer,SSL)是為網(wǎng)絡(luò)通信協(xié)議提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。其在傳輸層對數(shù)據(jù)進行加密，然而SSL協(xié)議在加密、解密和密鑰協(xié)商的過程中會消耗大量的系統(tǒng)資源。SSL洪水攻擊的原理，就是在SSL握手過程中，無論接收的數(shù)據(jù)是否有效，只能先進行解密才能進行驗證，所以攻擊者利用這個特性，向被攻擊者發(fā)送大量的無用數(shù)據(jù)，消耗目標(biāo)大量的計算資源。

圖4  攻擊系統(tǒng)資源

3.攻擊應(yīng)用資源

（1） 攻擊DNS服務(wù)

DNS服務(wù)是網(wǎng)絡(luò)服務(wù)中一項核心服務(wù)，對DNS服務(wù)器攻擊造成的影響更具威脅性。針對DNS服務(wù)器的攻擊，主要有DNSQUERY洪水攻擊和DNSNXDOMAIN攻擊兩類。DNSQUERY洪水攻擊是利用大量的查詢請求，使得DNS服務(wù)器進行大量查詢，消耗其大量的計算和存儲資源，使得DNS服務(wù)器的服務(wù)質(zhì)量下降，甚至完全停止服務(wù)。在發(fā)起該攻擊方式時，考慮到DNS服務(wù)器的查詢方式，需要發(fā)送大量的不同域名的地址查詢，而且盡量不要選擇存儲在DNS緩存記錄里面的域名。DNSNXDO-MAIN攻擊是DNSQUERY洪水攻擊的一種變種，后者攻擊時發(fā)送的是真實的域名地址，前者則發(fā)送大量不存在的域名地址，使得DNS服務(wù)器進行大量遞歸查詢，從而使得正常的請求速度變慢，甚至是拒絕服務(wù)。

（2） 攻擊Web服務(wù)

隨著Web的迅速發(fā)展，人們的生活因此而變得方便快捷，大量的商務(wù)也因此更加方便。所以一旦Web服務(wù)器遭到拒絕服務(wù)攻擊，那么就會對其承載的大量服務(wù)造成巨大的影響。攻擊Web服務(wù)器，常用的手段包括HTTP(s)洪水攻擊、Slowloris攻擊、慢速POST請求攻擊、數(shù)據(jù)處理過程攻擊等。

圖5  攻擊應(yīng)用資源

4.混合攻擊

攻擊者在實施攻擊過程中，并不在意使用了哪種攻擊手段，而更加在意是否能夠達到拒絕服務(wù)攻擊的效果。所以，攻擊者常常使用其能夠使用的所有攻擊手段進行攻擊，稱這種攻擊為混合攻擊。這些攻擊方式是相輔相成、互相補充的，對于受害者來說，要面對不同協(xié)議、不同資源的攻擊，更加難以防范，其處理拒絕服務(wù)攻擊的成本也會大幅提高，這種攻擊更加具有針對性。

除上述提到的攻擊方式外，拒絕服務(wù)攻擊還可與其它攻擊方式相互混合使用。以達到混淆視聽，難以防范的目的。

三、DDoS攻擊檢測及防御

1.檢測原理

常見的入侵檢測方法分為誤用檢測和異常檢測兩種。

（1）誤用檢測

誤用檢測主要是根據(jù)已知的攻擊特征直接檢測入侵行為。首先對異常信息源建模分析提取特征向量，根據(jù)特征設(shè)計針對性的特征檢測算法，若新數(shù)據(jù)樣本檢測出相應(yīng)的特征值，則發(fā)布預(yù)警或進行反應(yīng)。

優(yōu)點：特異性，檢測速度快，誤報率低，能迅速發(fā)現(xiàn)已知的安全威脅。

缺點：需要人為更新特征庫，提取特征碼，而攻擊者可以針對某一特征碼進行繞過。

（2）異常檢測

異常檢測主要是檢測偏離正常數(shù)據(jù)的行為。首先對信息源進行建模分析，創(chuàng)建正常的系統(tǒng)或者網(wǎng)絡(luò)的基準輪廓。若新數(shù)據(jù)樣本偏離或者超出當(dāng)前正常模式輪廓，異常檢測系統(tǒng)就發(fā)布預(yù)警或進行反應(yīng)。由于檢測系統(tǒng)是根據(jù)正常情況定制描繪出系統(tǒng)或網(wǎng)絡(luò)的正常輪廓，對于外部攻擊，攻擊者很難在攻擊時不偏離正常輪廓，因此很容易被異常檢測系統(tǒng)偵測到；同理，異常檢測系統(tǒng)也可以檢測來自內(nèi)部的攻擊。另外，異常檢測系統(tǒng)還有能力檢測以前未知的攻擊。

優(yōu)點：異常檢測旨在發(fā)現(xiàn)偏離，而不是具體入侵特征，因而通用性較強，對突發(fā)的新型異常事件有很好的預(yù)警作用，利于人們宏觀防御，目前大部分網(wǎng)絡(luò)異常流量檢測系統(tǒng)均采用異常檢測系統(tǒng)。

缺點：首先只有對初始系統(tǒng)進行訓(xùn)練，才能創(chuàng)建正常的輪廓模型；其次，調(diào)整和維護輪廓模型也較為復(fù)雜和耗時，創(chuàng)建錯誤的輪廓模型可能導(dǎo)致較高的誤報率。最后，一些精心構(gòu)造惡意攻擊，可利用異常檢測訓(xùn)練系統(tǒng)使其逐漸接受惡意行為，造成漏報。

2.檢測方法

一般檢測DDoS攻擊依靠網(wǎng)絡(luò)流量實時監(jiān)測系統(tǒng)或者業(yè)務(wù)系統(tǒng)本身運行狀態(tài)參數(shù)。具體檢測方法如下：

  基于網(wǎng)絡(luò)流量實時監(jiān)測系統(tǒng)

( 1 ) 發(fā)現(xiàn)網(wǎng)絡(luò)流量突然暴增，出現(xiàn)異常變化。

( 2 ) 個別網(wǎng)絡(luò)協(xié)議（如：ICMP、UDP、TCP；HTTP、DNS等）突然暴增。

( 3 ) 出現(xiàn)相同源地址的大量數(shù)據(jù)包、大量垃圾數(shù)據(jù)包。

 基于設(shè)備運行狀態(tài)

( 1 ) 監(jiān)控業(yè)務(wù)系統(tǒng)性能，網(wǎng)絡(luò)設(shè)備、服務(wù)器CUP占用率突然增高。

( 2 ) 業(yè)務(wù)系統(tǒng)的業(yè)務(wù)請求連接突然大量增加。

( 3 ) 服務(wù)器出現(xiàn)大量垃圾數(shù)據(jù)包。

( 4 ) 將服務(wù)器網(wǎng)絡(luò)斷開后，異常狀態(tài)消失。

3.防御方法

隨著這幾年DDoS攻擊越來越智能化，發(fā)起DDoS攻擊不再需要很高的技術(shù)能力，在很多提供在線攻擊服務(wù)的網(wǎng)站上只要支付幾美元，然后輸入IP或域名，就可以對目標(biāo)發(fā)起DDoS攻擊。2020年5G網(wǎng)絡(luò)的商業(yè)化導(dǎo)致未來智能物聯(lián)網(wǎng)設(shè)備越來越多，僵尸網(wǎng)絡(luò)“肉雞”規(guī)模將越來越大，成本將越來越低，這直接導(dǎo)致DDoS攻擊頻率將不斷提升。企業(yè)想要保障服務(wù)器穩(wěn)定運行，必須重視網(wǎng)絡(luò)安全防護，接入專業(yè)的高防服務(wù)，比如藍隊云DDoS高防IP，基于云計算的分布式集群防御搭建，每個節(jié)點服務(wù)器配置多個IP地址，T級的DDoS防御流量保障服務(wù)器穩(wěn)定運行。特別是電商、金融、培訓(xùn)、美容、游戲等DDoS“重災(zāi)區(qū)”行業(yè)，更應(yīng)該重視網(wǎng)絡(luò)安全防護，避免因DDoS攻擊導(dǎo)致業(yè)務(wù)中斷造成經(jīng)濟損失和用戶流失。

一般DDoS攻擊防御方法如下：

( 1 ) 過濾不必要的服務(wù)和端口：可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務(wù)和端口，即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較，并加以過濾。只開放服務(wù)端口成為目前很多服務(wù)器的流行做法，例如www服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。

( 2 ) 異常流量的清洗過濾：通過DDoS硬件防火墻對異常流量的清洗過濾，通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)能準確判斷外來訪問流量是否正常，進一步將異常流量禁止過濾。單臺負載每秒可防御800-927萬個syn攻擊包。

( 3 ) 分布式集群防御：這是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDoS攻擊的最有效辦法。分布式集群防御的特點是在每個節(jié)點服務(wù)器配置多個IP地址（負載均衡），并且每個節(jié)點能承受不低于10G的DDoS攻擊，如一個節(jié)點受攻擊無法提供服務(wù)，系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動切換另一個節(jié)點，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點，使攻擊源成為癱瘓狀態(tài)，從更為深度的安全防護角度去影響企業(yè)的安全執(zhí)行決策。

( 4 ) 高防智能DNS解析：高智能DNS解析系統(tǒng)與DDoS防御系統(tǒng)的完美結(jié)合，為企業(yè)提供對抗新興安全威脅的超級檢測功能。它顛覆了傳統(tǒng)一個域名對應(yīng)一個鏡像的做法，智能根據(jù)用戶的上網(wǎng)路線將DNS解析請求解析到用戶所屬網(wǎng)絡(luò)的服務(wù)器。同時智能DNS解析系統(tǒng)還有宕機檢測功能，隨時可將癱瘓的服務(wù)器IP智能更換成正常服務(wù)器IP，為企業(yè)的網(wǎng)絡(luò)保持一個永不宕機的服務(wù)狀態(tài)。

四、結(jié)論

隨著全球互聯(lián)網(wǎng)業(yè)務(wù)和云計算的發(fā)展熱潮，可以預(yù)見到，針對特定服務(wù)、大小型企業(yè)甚至公共和非營利組織的DDoS攻擊頻率還會大幅度增長，攻擊手段也會更加復(fù)雜。雖然無法完全阻止DDoS攻擊的發(fā)生，但一些有效的DDoS攻擊保護技術(shù)和方法可用于增強基礎(chǔ)設(shè)施抵御DDoS攻擊并減輕其后果。有效地對付DDoS攻擊是一個系統(tǒng)工程，不僅需要技術(shù)人員去探索新的防護手段，網(wǎng)絡(luò)使用者也要具備網(wǎng)絡(luò)攻擊基本的防護意識，只有將技術(shù)手段和人員素質(zhì)結(jié)合到一起才能最大限度的發(fā)揮網(wǎng)絡(luò)防護的效能。