隨著COVID-19的出現(xiàn)，各行各業(yè)需要適應遠程工作以及對互聯(lián)網(wǎng)連接變得日益依賴，越來越多類型的企業(yè)成為了DDoS攻擊組織誘人且有利可圖的目標。根據(jù)提供分布式拒絕服務攻擊（DDoS）緩解服務的多家公司統(tǒng)計，2020年疫情驅(qū)動之下，DDoS攻擊規(guī)模、頻率，以及受害者數(shù)量和多樣性均突破歷史極值，2020年是DDoS攻擊紀錄頻頻被破的一年。阿卡邁公司在報告中表示：2020年出現(xiàn)了全球最大型DDoS敲詐勒索攻擊，受害客戶比以往任何一年都多，每秒百萬包數(shù)（Mpps）突破歷史紀錄，正在遭受或即將遭受攻擊而急需防護的新客戶數(shù)量也創(chuàng)了歷史新高。本文系統(tǒng)的對DDoS攻擊進行技術分析和檢測防御方法介紹，以便提升企業(yè)網(wǎng)絡安全防護水平。

　　一、DDoS攻擊介紹

　　1.1概念介紹

　?。?1 ） DoS攻擊：（Denial of Service）拒絕服務攻擊，這種攻擊行為是使目標服務器充斥大量要回復的信息，消耗網(wǎng)絡帶寬或系統(tǒng)資源，導致網(wǎng)絡或系統(tǒng)不勝負荷而停止提供正常的網(wǎng)絡服務。

　?。?2 ） DDoS攻擊：（Distributed Denial of Service）分布式拒絕服務攻擊，這種是攻擊者利用Internet上現(xiàn)有機器及系統(tǒng)的漏洞，攻占大量聯(lián)網(wǎng)主機（俗稱肉雞），使其成為攻擊者的代理。當被控制的機器達到一定數(shù)量后，攻擊者通過發(fā)送指令操縱這些攻擊機同時向目標主機或網(wǎng)絡發(fā)起DoS攻擊，大量消耗其網(wǎng)絡帶寬和系統(tǒng)資源，導致該網(wǎng)絡或系統(tǒng)癱瘓或停止提供正常的網(wǎng)絡服務。由于DDoS的分布式特征，它具有了比DoS遠為強大的攻擊力和破壞性。

　　圖1  DDoS攻擊示意圖

　　1.2攻擊原理

　　如圖2所示，一個比較完善的DDoS攻擊體系分成四大部分，分別是攻擊者（attacker也可以稱為master）、控制傀儡機（ handler）、攻擊傀儡機（demon，又可稱agent）和受害著（victim）。第2和第3部分，分別用做控制和實際發(fā)起攻擊。第2部分的控制機只發(fā)布令而不參與實際的攻擊，第3部分攻擊傀儡機上發(fā)出DDoS的實際攻擊包。對第2和第3部分計算機，攻擊者有控制權(quán)或者是部分的控制權(quán)，并把相應的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運行并等待來自攻擊者的指令，通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時，這些傀儡機器并沒有什么異常，只是一旦攻擊者連接到它們進行控制，并發(fā)出指令的時候，攻擊愧儡機就成為攻擊者去發(fā)起攻擊了。

　　圖2  分布式拒絕服務攻擊體系結(jié)構(gòu)

　　之所以采用這樣的結(jié)構(gòu)，一個重要目的是隔離網(wǎng)絡聯(lián)系，隱藏保護攻擊者，使其不會在攻擊進行時受到監(jiān)控系統(tǒng)的跟蹤。同時也能夠更好地協(xié)調(diào)進攻，因為攻擊執(zhí)行器的數(shù)目太多，同時由一個系統(tǒng)來發(fā)布命令會造成控制系統(tǒng)的網(wǎng)絡阻塞，影響攻擊的突然性和協(xié)同性。而且，流量的突然增大也容易暴露攻擊者的位置和意圖。整個過程可分為：

　?。?1 ） 掃描大量主機以尋找可入侵主機目標；

　　（ 2 ） 有安全漏洞的主機并獲取控制權(quán)；

　?。?3 ） 入侵主機中安裝攻擊程序；

　?。?4 ） 用己入侵主機繼續(xù)進行掃描和入侵。

　　當受控制的攻擊代理機達到攻擊者滿意的數(shù)量時，攻擊者就可以通過攻擊主控機隨時發(fā)出擊指令。由于攻擊主控機的位置非常靈活，而且發(fā)布命令的時間很短，所以非常隱蔽以定位。一旦攻擊的命令傳送到攻擊操縱機，主控機就可以關閉或脫離網(wǎng)絡，以逃避追蹤要著，攻擊操縱機將命令發(fā)布到各個攻擊代理機。在攻擊代理機接到攻擊命令后，就開始向目標主機發(fā)出大量的服務請求數(shù)據(jù)包。這些數(shù)據(jù)包經(jīng)過偽裝，使被攻擊者無法識別它的來源面，并且這些包所請求的服務往往要消耗較大的系統(tǒng)資源，如CPU或網(wǎng)絡帶寬。如果數(shù)百臺甚至上千臺攻擊代理機同時攻擊一個目標，就會導致目標主機網(wǎng)絡和系統(tǒng)資源的耗盡，從而停止服務。有時，甚至會導致系統(tǒng)崩潰。

　　另外，這樣還可以阻塞目標網(wǎng)絡的防火墻和路由器等網(wǎng)絡設備，進一步加重網(wǎng)絡擁塞狀況。于是，目標主機根本無法為正常用戶提供任何服務。攻擊者所用的協(xié)議都是一些非常常見的協(xié)議和服務。這樣，系統(tǒng)管理員就難于區(qū)分惡意請求和正常連接請求，從而無法有效分離出攻擊數(shù)據(jù)包，提升防御難度。

　　二、DDoS攻擊方式

　　分布式拒絕服務攻擊的精髓是：利用分布式的客戶端，向目標發(fā)起大量看上去合法的請求，消耗或者占用大量資源，從而達到拒絕服務的目的。按照攻擊對象的不同，將DDoS的攻擊方式分成4類，分別是攻擊網(wǎng)絡帶寬、攻擊系統(tǒng)、攻擊應用、混合攻擊。

　　2.1攻擊網(wǎng)絡帶寬資源

　　由于網(wǎng)絡帶寬是有限的，攻擊者利用分布式的傀儡主機向目標網(wǎng)絡發(fā)送大量的網(wǎng)絡數(shù)據(jù)包，占滿被攻擊者的全部帶寬，從而造成正常請求無法響應。具體內(nèi)容如圖2.1。

　　2.1.1  直接攻擊

　　直接攻擊是指攻擊者利用控制的大量主機對受害者發(fā)送大量的數(shù)據(jù)流量，使得受害者的網(wǎng)絡帶寬被占據(jù)，并大量消耗服務器和網(wǎng)絡設備的處理能力，達到拒絕服務攻擊的目的。例如ICMP/IGMP洪水攻擊，UDP洪水攻擊等都是典型的DDoS直接攻擊方式。

　　2.1.2  反射和放大攻擊

　　直接攻擊不僅效率低而且容易被追蹤，所以攻擊者更多地選擇反射攻擊。反射攻擊又稱DRDoS（DistributedReflectionDenialofService，分布式反射拒絕服務），是指攻擊者利用路由器、服務器等設施對請求產(chǎn)生應答，從而反射出大量的流量對受害者進行攻擊的一種DDoS攻擊方式。這種攻擊方式隱蔽，更大危害還來自于使用反射過程的放大。放大是一種特殊的反射攻擊，其特殊之處在于反射器對于網(wǎng)絡流量具有放大作用，可以將攻擊者較小的流量放大成較大流量，從而造成更加嚴重的帶寬消耗。

　　2.1.3  鏈路攻擊

　　攻擊鏈路與前面提到的攻擊方法不同，攻擊對象不是服務器而是骨干網(wǎng)絡上的帶寬資源。一種典型的鏈路攻擊方式是Coremelt攻擊。首先，攻擊者通過traceroute等手段確定各個僵尸主機與攻擊鏈路之間的位置關系。然后，由攻擊者將僵尸網(wǎng)絡分成兩部分，并控制這兩部分之間通過骨干網(wǎng)絡進行通信。大量的數(shù)據(jù)包通過骨干網(wǎng)絡，將會造成骨干網(wǎng)絡的擁堵和延時。從骨干網(wǎng)絡上來看，通過網(wǎng)絡的數(shù)據(jù)包是真實存在的，并沒有任何有效的方式將真正的數(shù)據(jù)包與拒絕服務攻擊的數(shù)據(jù)區(qū)分開來，這樣使得這種攻擊方式更加隱蔽和難以防范。

　　圖3  攻擊網(wǎng)絡帶寬資源

　　2.2攻擊系統(tǒng)資源

　　2.2.1  攻擊TCP連接

　　TCP是一種面向連接的、可靠的、基于字節(jié)流量的傳輸層控制協(xié)議。由于在設計之初考慮更多的是協(xié)議的可用性，缺乏對協(xié)議的安全性進行周密比較和詳細描述，因此TCP協(xié)議存在許多安全缺陷和安全問題。TCP連接洪水攻擊的原理，就是在建立三次握手過程中，服務器會創(chuàng)建并保存TCP連接信息，該信息會被保存在連接表中。但是，連接表中的空間是有限的，一旦連接表中存儲的數(shù)據(jù)超過了其最大數(shù)目，服務器就無法創(chuàng)建新的TCP連接。攻擊者利用大量的受控主機，占據(jù)連接表中所有空間，使得目標無法建立新的TCP連接。當大量的受控主機進行攻擊時，其攻擊效果非常明顯。攻擊手段主要有：SYN洪水攻擊、PSH+ACK洪水攻擊、RST攻擊、Sockstress攻擊等。

　　2.2.2  攻擊SSL連接

　　安全套接字（SecureSocketsLayer,SSL）是為網(wǎng)絡通信協(xié)議提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。其在傳輸層對數(shù)據(jù)進行加密，然而SSL協(xié)議在加密、解密和密鑰協(xié)商的過程中會消耗大量的系統(tǒng)資源。SSL洪水攻擊的原理，就是在SSL握手過程中，無論接收的數(shù)據(jù)是否有效，只能先進行解密才能進行驗證，所以攻擊者利用這個特性，向被攻擊者發(fā)送大量的無用數(shù)據(jù)，消耗目標大量的計算資源。

　　圖4  攻擊系統(tǒng)資源

　　2.3攻擊應用資源

　　2.3.1  攻擊DNS服務

　　DNS服務是網(wǎng)絡服務中一項核心服務，對DNS服務器攻擊造成的影響更具威脅性。針對DNS服務器的攻擊，主要有DNSQUERY洪水攻擊和DNSNXDOMAIN攻擊兩類。DNSQUERY洪水攻擊是利用大量的查詢請求，使得DNS服務器進行大量查詢，消耗其大量的計算和存儲資源，使得DNS服務器的服務質(zhì)量下降，甚至完全停止服務。在發(fā)起該攻擊方式時，考慮到DNS服務器的查詢方式，需要發(fā)送大量的不同域名的地址查詢，而且盡量不要選擇存儲在DNS緩存記錄里面的域名。DNSNXDO-MAIN攻擊是DNSQUERY洪水攻擊的一種變種，后者攻擊時發(fā)送的是真實的域名地址，前者則發(fā)送大量不存在的域名地址，使得DNS服務器進行大量遞歸查詢，從而使得正常的請求速度變慢，甚至是拒絕服務。

　　2.3.2  攻擊Web服務

　　隨著Web的迅速發(fā)展，人們的生活因此而變得方便快捷，大量的商務也因此更加方便。所以一旦Web服務器遭到拒絕服務攻擊，那么就會對其承載的大量服務造成巨大的影響。攻擊Web服務器，常用的手段包括HTTP（s）洪水攻擊、Slowloris攻擊、慢速POST請求攻擊、數(shù)據(jù)處理過程攻擊等。

　　圖5  攻擊應用資源

　　2.4混合攻擊

　　攻擊者在實施攻擊過程中，并不在意使用了哪種攻擊手段，而更加在意是否能夠達到拒絕服務攻擊的效果。所以，攻擊者常常使用其能夠使用的所有攻擊手段進行攻擊，稱這種攻擊為混合攻擊。這些攻擊方式是相輔相成、互相補充的，對于受害者來說，要面對不同協(xié)議、不同資源的攻擊，更加難以防范，其處理拒絕服務攻擊的成本也會大幅提高，這種攻擊更加具有針對性。

　　除上述提到的攻擊方式外，拒絕服務攻擊還可與其它攻擊方式相互混合使用。以達到混淆視聽，難以防范的目的。

　　三、DDoS攻擊檢測及防御

　　3.1檢測原理

　　常見的入侵檢測方法分為誤用檢測和異常檢測兩種。

　　3.1.1  誤用檢測

　　誤用檢測主要是根據(jù)已知的攻擊特征直接檢測入侵行為。首先對異常信息源建模分析提取特征向量，根據(jù)特征設計針對性的特征檢測算法，若新數(shù)據(jù)樣本檢測出相應的特征值，則發(fā)布預警或進行反應。

　　優(yōu)點：特異性，檢測速度快，誤報率低，能迅速發(fā)現(xiàn)已知的安全威脅。

　　缺點：需要人為更新特征庫，提取特征碼，而攻擊者可以針對某一特征碼進行繞過。

　　3.1.2  異常檢測

　　異常檢測主要是檢測偏離正常數(shù)據(jù)的行為。首先對信息源進行建模分析，創(chuàng)建正常的系統(tǒng)或者網(wǎng)絡的基準輪廓。若新數(shù)據(jù)樣本偏離或者超出當前正常模式輪廓，異常檢測系統(tǒng)就發(fā)布預警或進行反應。由于檢測系統(tǒng)是根據(jù)正常情況定制描繪出系統(tǒng)或網(wǎng)絡的正常輪廓，對于外部攻擊，攻擊者很難在攻擊時不偏離正常輪廓，因此很容易被異常檢測系統(tǒng)偵測到；同理，異常檢測系統(tǒng)也可以檢測來自內(nèi)部的攻擊。另外，異常檢測系統(tǒng)還有能力檢測以前未知的攻擊。

　　優(yōu)點：異常檢測旨在發(fā)現(xiàn)偏離，而不是具體入侵特征，因而通用性較強，對突發(fā)的新型異常事件有很好的預警作用，利于人們宏觀防御，目前大部分網(wǎng)絡異常流量檢測系統(tǒng)均采用異常檢測系統(tǒng)。

　　缺點：首先只有對初始系統(tǒng)進行訓練，才能創(chuàng)建正常的輪廓模型；其次，調(diào)整和維護輪廓模型也較為復雜和耗時，創(chuàng)建錯誤的輪廓模型可能導致較高的誤報率。最后，一些精心構(gòu)造惡意攻擊，可利用異常檢測訓練系統(tǒng)使其逐漸接受惡意行為，造成漏報。

　　3.2檢測方法

　　一般檢測DDoS攻擊依靠網(wǎng)絡流量實時監(jiān)測系統(tǒng)或者業(yè)務系統(tǒng)本身運行狀態(tài)參數(shù)。具體檢測方法如下：

　　3.2.1  基于網(wǎng)絡流量實時監(jiān)測系統(tǒng)

　?。?1 ） 發(fā)現(xiàn)網(wǎng)絡流量突然暴增，出現(xiàn)異常變化。

　?。?2 ） 個別網(wǎng)絡協(xié)議（如：ICMP、UDP、TCP；HTTP、DNS等）突然暴增。

　?。?3 ） 出現(xiàn)相同源地址的大量數(shù)據(jù)包、大量垃圾數(shù)據(jù)包。

　　3.2.2  基于設備運行狀態(tài)

　?。?1 ） 監(jiān)控業(yè)務系統(tǒng)性能，網(wǎng)絡設備、服務器CUP占用率突然增高。

　?。?2 ） 業(yè)務系統(tǒng)的業(yè)務請求連接突然大量增加。

　?。?3 ） 服務器出現(xiàn)大量垃圾數(shù)據(jù)包。

　?。?4 ） 將服務器網(wǎng)絡斷開后，異常狀態(tài)消失。

　　3.3防御方法

　　隨著這幾年DDoS攻擊越來越智能化，發(fā)起DDoS攻擊不再需要很高的技術能力，在很多提供在線攻擊服務的網(wǎng)站上只要支付幾美元，然后輸入IP或域名，就可以對目標發(fā)起DDoS攻擊。2020年5G網(wǎng)絡的商業(yè)化導致未來智能物聯(lián)網(wǎng)設備越來越多，僵尸網(wǎng)絡“肉雞”規(guī)模將越來越大，成本將越來越低，這直接導致DDoS攻擊頻率將不斷提升。企業(yè)想要保障服務器穩(wěn)定運行，必須重視網(wǎng)絡安全防護，接入專業(yè)的高防服務，比如游盾云防護DDoS高防，基于云計算的分布式集群防御搭建，每個節(jié)點服務器配置多個IP地址，T級的DDoS防御流量保障服務器穩(wěn)定運行。特別是電商、金融、培訓、美容、游戲等DDoS“重災區(qū)”行業(yè)，更應該重視網(wǎng)絡安全防護，避免因DDoS攻擊導致業(yè)務中斷造成經(jīng)濟損失和用戶流失。

　　一般DDoS攻擊防御方法如下：

　?。?1 ） 過濾不必要的服務和端口：可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務和端口，即在路由器上過濾假IP。比如Cisco公司的CEF（Cisco Express Forwarding）可以針對封包Source IP和Routing Table做比較，并加以過濾。只開放服務端口成為目前很多服務器的流行做法，例如www服務器那么只開放80而將其他所有端口關閉或在防火墻上做阻止策略。

　?。?2 ） 異常流量的清洗過濾：通過DDoS硬件防火墻對異常流量的清洗過濾，通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術能準確判斷外來訪問流量是否正常，進一步將異常流量禁止過濾。單臺負載每秒可防御800-927萬個syn攻擊包。

　?。?3 ） 分布式集群防御：這是目前網(wǎng)絡安全界防御大規(guī)模DDoS攻擊的最有效辦法。分布式集群防御的特點是在每個節(jié)點服務器配置多個IP地址（負載均衡），并且每個節(jié)點能承受不低于10G的DDoS攻擊，如一個節(jié)點受攻擊無法提供服務，系統(tǒng)將會根據(jù)優(yōu)先級設置自動切換另一個節(jié)點，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點，使攻擊源成為癱瘓狀態(tài)，從更為深度的安全防護角度去影響企業(yè)的安全執(zhí)行決策。

　　（ 4 ） 高防智能DNS解析：高智能DNS解析系統(tǒng)與DDoS防御系統(tǒng)的完美結(jié)合，為企業(yè)提供對抗新興安全威脅的超級檢測功能。它顛覆了傳統(tǒng)一個域名對應一個鏡像的做法，智能根據(jù)用戶的上網(wǎng)路線將DNS解析請求解析到用戶所屬網(wǎng)絡的服務器。同時智能DNS解析系統(tǒng)還有宕機檢測功能，隨時可將癱瘓的服務器IP智能更換成正常服務器IP，為企業(yè)的網(wǎng)絡保持一個永不宕機的服務狀態(tài)。

　　四、結(jié)論

　　隨著全球互聯(lián)網(wǎng)業(yè)務和云計算的發(fā)展熱潮，可以預見到，針對特定服務、大小型企業(yè)甚至公共和非營利組織的DDoS攻擊頻率還會大幅度增長，攻擊手段也會更加復雜。雖然無法完全阻止DDoS攻擊的發(fā)生，但一些有效的DDoS攻擊保護技術和方法可用于增強基礎設施抵御DDoS攻擊并減輕其后果。有效地對付DDoS攻擊是一個系統(tǒng)工程，不僅需要技術人員去探索新的防護手段，網(wǎng)絡使用者也要具備網(wǎng)絡攻擊基本的防護意識，只有將技術手段和人員素質(zhì)結(jié)合到一起才能最大限度的發(fā)揮網(wǎng)絡防護的效能。