盡可能地對(duì)被攻擊目標(biāo)造成最大程度的資源破壞是DDoS攻擊的根本初衷。站在這個(gè)角度上來(lái)看DDoS攻擊的發(fā)展，可以梳理出清晰的脈絡(luò)。

三個(gè)發(fā)展階段

曾經(jīng)有安全專家把DDoS攻擊比作互聯(lián)網(wǎng)“核武器”：一旦調(diào)動(dòng)足夠數(shù)量遍布互聯(lián)網(wǎng)的“肉雞”和存在各種協(xié)議漏洞的開(kāi)放服務(wù)器，就可以癱瘓掉任何互聯(lián)網(wǎng)業(yè)務(wù)。盡可能地對(duì)被攻擊目標(biāo)造成最大程度的資源破壞是DDoS攻擊的根本初衷。站在這個(gè)角度上來(lái)看DDoS攻擊的發(fā)展，可以梳理出清晰的脈絡(luò)。

DDoS攻擊的發(fā)展趨勢(shì)呈明顯的三個(gè)階段性：

第一階段：由個(gè)人計(jì)算機(jī)組建僵尸網(wǎng)絡(luò)，發(fā)動(dòng)DDoS攻擊；

第二階段：利用互聯(lián)網(wǎng)開(kāi)放服務(wù)器（如DNS、NTP）發(fā)起反射攻擊；

第三階段：利用智能／IoT設(shè)備協(xié)議（如SSDP）的脆弱性發(fā)起反射攻擊。

如下圖所示：

圖1: DDoS攻擊的發(fā)展

來(lái)自僵尸網(wǎng)絡(luò)的DDoS

最為傳統(tǒng)的DDoS攻擊多利用僵尸主機(jī)（Zombies，又叫肉雞）組成僵尸網(wǎng)絡(luò)來(lái)發(fā)起。

圖2: 典型的僵尸網(wǎng)絡(luò)架構(gòu)

（Source：圖片來(lái)自網(wǎng)絡(luò)）

“肉雞”是指中了木馬，或者被一些人留了后門的計(jì)算機(jī)，成為“肉雞”的計(jì)算機(jī)可以被黑客遠(yuǎn)程操控?！叭怆u”的存在多由于用戶系統(tǒng)存在各種脆弱性導(dǎo)致，系統(tǒng)一旦被入侵，黑客可獲得控制權(quán)。黑客在這些“肉雞”所有者不知情的情況下，發(fā)起對(duì)既定攻擊目標(biāo)的攻擊。其中一種比較典型的攻擊就是DDoS攻擊。

在我們遇到的一些實(shí)際攻擊事件中，從攻擊流量中分析來(lái)看，來(lái)源非常分散，全國(guó)各地都有，此類攻擊很可能就是由大量受操控“肉雞“組成的僵尸網(wǎng)絡(luò)發(fā)起?？梢?jiàn)，“肉雞”對(duì)于互聯(lián)網(wǎng)、特別是網(wǎng)站系統(tǒng)的威脅是很大的。即便單個(gè)“肉雞”的攻擊能力有限，但如果肉雞數(shù)量很多，匯總后的攻擊流量也將是驚人的。

利用開(kāi)放服務(wù)器的反射放大

雖然肉雞的效果顯著，但是無(wú)論組建還是僵尸網(wǎng)絡(luò)的維護(hù)都需要較高的成本，伴隨黑客不斷對(duì)更低成本獲得更大效果的追求，利用互聯(lián)網(wǎng)開(kāi)放服務(wù)器發(fā)起反射拒絕服務(wù)攻擊逐漸流行。

圖3: 利用NTP服務(wù)器發(fā)起反射攻擊

反射拒絕服務(wù)攻擊又稱DRDoS攻擊（Distributed Reflection Denial of Service），或分布式反射拒絕服務(wù)攻擊。其原理是黑客偽造成被攻擊者的IP地址，向互聯(lián)網(wǎng)上大量開(kāi)放特定服務(wù)的服務(wù)器發(fā)起請(qǐng)求，接收到請(qǐng)求的那些主機(jī)根據(jù)源IP地址將響應(yīng)數(shù)據(jù)包返回給受害者。整個(gè)過(guò)程中，返回響應(yīng)的服務(wù)器并不知道請(qǐng)求源的惡意動(dòng)機(jī)。

黑客往往會(huì)選擇那些響應(yīng)包遠(yuǎn)大于請(qǐng)求包的服務(wù)來(lái)利用，這樣才可以以較小的流量換取更大的流量，獲得幾倍甚至幾十倍的放大效果。一般來(lái)說(shuō)，可以被利用來(lái)做放大反射攻擊的服務(wù)包括DNS服務(wù)、NTP服務(wù)、SNMP服務(wù)、Chargen服務(wù)等。

根據(jù)US-CERT在2014年1月發(fā)布的預(yù)警（Alert TA14-017A），DNS、NTP、SNMP等協(xié)議的反射放大效果以及脆弱性如下圖所示：

圖4: 反射放大攻擊效果和脆弱性一覽

（Source：http://www.tjdsmy.cn/ncas/alerts/TA14-017A）

從上圖可見(jiàn)，利用NTP協(xié)議的反射放大效果最好，超過(guò)500倍。也就是說(shuō)攻擊者只需要發(fā)起100Mbps的請(qǐng)求流量，經(jīng)過(guò)NTP服務(wù)器的反射放大，可以換來(lái)5Gbps的攻擊流量。2014年2月，在國(guó)外某云計(jì)算服務(wù)提供商遭受的400Gbps DDoS攻擊中，黑客就采用了NTP 反射放大攻擊。

SSDP攻擊的崛起

一方面，隨著互聯(lián)網(wǎng)上存在DNS、NTP、SNMP等協(xié)議脆弱性的開(kāi)放服務(wù)漏洞不斷被修復(fù)，可以用來(lái)發(fā)起反射攻擊的服務(wù)器數(shù)量數(shù)量越來(lái)越少。另一方面，互聯(lián)網(wǎng)上家用路由器、網(wǎng)絡(luò)攝像頭、打印機(jī)、智能家電等設(shè)備數(shù)量的激增，讓黑客看到了另一個(gè)可以不斷挖掘的金山。這些智能設(shè)備普遍采用UPnP（即插即用）協(xié)議作為網(wǎng)絡(luò)通訊協(xié)議， 而UPnP設(shè)備的發(fā)現(xiàn)是通過(guò)源端口為1900的SSDP（簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議）進(jìn)行相互感知。

利用SSDP協(xié)議進(jìn)行反射攻擊的原理與利用DNS服務(wù)、NTP服務(wù)類似，都是偽造成被攻擊者的IP地址向互聯(lián)網(wǎng)上大量的智能設(shè)備發(fā)起SSDP請(qǐng)求，接收到請(qǐng)求的智能設(shè)備根據(jù)源IP地址將響應(yīng)數(shù)據(jù)包返回給受害者。

圖5: SSDP反射放大攻擊

SSDP反射放大攻擊是一個(gè)迅速崛起的DDoS攻擊方式。從Akamai 2015 Q1 State of the Internet / Security Report報(bào)告中可以看出，SSDP反射攻擊已經(jīng)成為TOP1的DDoS攻擊方式（20.78%）。在2014年Q4，SSDP DDoS的比例只有14%，在2014年Q1，則幾乎沒(méi)有SSDP反射攻擊，如下圖所示：

圖6: SSDP攻擊所占比例最多

（Source：2015 Q1 Akamai’s State of the Internet / Security Report）

根據(jù)Arbor Networks在2015年初發(fā)布的《Worldwide Infrastructure Security Report》，SSDP反射攻擊到2014年7月才被關(guān)注，在2014年Q3-Q4期間曾經(jīng)打出過(guò)若干次超過(guò)100Gbps的攻擊流量。

圖7: SSDP攻擊自2014年Q3后異軍突起

（Source：Worldwide Infrastructure Security Report，Arbor networks）

另根據(jù)USCERT的數(shù)據(jù)，SSDP的放大倍數(shù)是30倍，雖然較NTP和Chargen等協(xié)議的放大倍數(shù)小很多，但是由于互聯(lián)網(wǎng)上智能設(shè)備的數(shù)量非常龐大，隨著IoT的發(fā)展，這個(gè)數(shù)字更將呈現(xiàn)幾何級(jí)數(shù)的增加。這無(wú)疑為黑客提供了豐富的攻擊來(lái)源。

SSDP嚴(yán)峻的形勢(shì)在阿里云上同樣得到了體現(xiàn)。根據(jù)阿里云云盾安全運(yùn)營(yíng)團(tuán)隊(duì)在2015年6月的統(tǒng)計(jì)，在對(duì)阿里云用戶的UDP DDoS攻擊中，80%的攻擊方式為SSDP反射放大攻擊。

下圖是在黑客對(duì)阿里云某用戶攻擊中捕獲的數(shù)據(jù)包，源端口為1900是SSDP 反射放大攻擊的重要特征之一：

圖8: SSDP攻擊數(shù)據(jù)包

隨著物聯(lián)網(wǎng)和智能設(shè)備的快速發(fā)展和普及，利用智能設(shè)備展開(kāi)DDoS攻擊會(huì)越來(lái)越普遍。

如何應(yīng)對(duì)？

對(duì)于DDoS攻擊，普遍采用的防護(hù)手段包括：

（1）源驗(yàn)證／反向探測(cè)，對(duì)源進(jìn)行探測(cè)和人機(jī)識(shí)別，段包括cookie、識(shí)別碼等；

（2）限源，即對(duì)源IP或協(xié)議進(jìn)行限制，blacklist是一個(gè)常見(jiàn)手段；

（3）特征丟棄，依據(jù)數(shù)據(jù)包的特征或訪問(wèn)行為進(jìn)行丟棄，如基于Payload特征、發(fā)包行為特征、QPS特征等；

（4）限速，對(duì)流量／訪問(wèn)的速率進(jìn)行限流。

特別對(duì)于大流量DDoS攻擊的防護(hù)，與電信運(yùn)營(yíng)商配合也是必不可少的。其中包括與運(yùn)營(yíng)商配合實(shí)施就源清洗，以及在運(yùn)營(yíng)商側(cè)路由器上對(duì)特定協(xié)議或特定來(lái)源的IP進(jìn)行限制都是降低防護(hù)開(kāi)銷的辦法。

當(dāng)然，針對(duì)于網(wǎng)絡(luò)層DDoS攻擊（Layer-4 DDoS）和應(yīng)用層DDoS（Layer-7 DDoS）攻擊不同的攻擊策略，在具體防護(hù)時(shí)，采取的手段也不盡相同。這里不再贅述。

此外，對(duì)于網(wǎng)站來(lái)說(shuō)，通過(guò)CDN進(jìn)行DDoS防護(hù)也是一個(gè)不錯(cuò)的手段，CDN多節(jié)點(diǎn)彼此互備，以及對(duì)協(xié)議的限制，具有與生俱來(lái)的抗DDoS能力和高可用性。同時(shí)，CDN往往與云WAF系統(tǒng)配合工作，兩者協(xié)同成為防護(hù)HTTP Flood的利器。

上面的方法是否就是防御DDoS攻擊的全部了呢？ NO！

隨著大數(shù)據(jù)的興起，依托用戶訪問(wèn)數(shù)據(jù)、包括QPS，IP－cookie，IP－Request分布、頁(yè)面點(diǎn)擊等行為數(shù)據(jù)結(jié)合信譽(yù)機(jī)制建立起完整的可視化防御系統(tǒng)。結(jié)合威脅情報(bào)，建立起運(yùn)營(yíng)商／ISP／DC／區(qū)域信息庫(kù)、IP地址黑名單、代理庫(kù)、黑暗網(wǎng)絡(luò)庫(kù)等豐富的情報(bào)庫(kù)，線上、線下進(jìn)行關(guān)聯(lián)分析，一方面將防御時(shí)間點(diǎn)提前，甚至在攻擊發(fā)起之前就可以預(yù)知；另一方面溯源追蹤到攻擊者，有效打擊攻擊者的囂張氣焰。