常见DDOS攻击以及防御方式

在网络安全领域，DDoS 攻击一直是热门话题，随着网络技术的不断发展和网络环境的复杂化演变，DDoS 攻击变得愈加频繁、更具破坏性。根据 2023 年网络安全态势研判分析年度综合报告，全年全网网络层的 DDoS 攻击次数达 2.51 亿次！

DDoS攻击，即分布式拒绝服务攻击（Distributed Denial of Service），是指攻击者利用一台或多台不同位置的计算机对一个或多个目标同时发动攻击，消耗目标服务器性能或网络带宽，使服务器运行缓慢或者宕机，从而造成服务器无法正常地提供服务的网络攻击类型。

DDoS攻击是一种常见的网络攻击类型，也是当前最主要的互联网安全威胁之一。

DDOS攻击技术

常见的流量直接攻击（SYN，ACK，ICMP，udp flood），利用特定应用或协议进行反射性的流量攻击，基于应用的CC，慢速HTTP等。

ICMP Flood

攻击者发送大量的ICMP Echo请求到目标服务器，使服务器资源耗尽，无法正常响应其他网络请求。

ICMP反射泛洪攻击

指Smurf IP利用广播地址发送ICMP包，一旦广播出去，就会被广播域内的所有主机回应，当然这些包都回应给了伪装的IP地址（指向目标主机）。伪装IP地址可以是互联网上的任何地址，不一定在本地。假如黑客不停地发送ICMP包，就会造成拒绝服务。

‌UDP Flood‌

攻击者发送大量的UDP数据包到目标服务器，使服务器无法处理这些大量的无效数据包，从而导致服务瘫痪。这种攻击利用UDP协议的特性，通过向目标服务器发送大量UDP数据包，使其资源耗尽‌

SYN Flood

以多个随机的源主机地址向目的主机发送syn包，而在收到目的主机的syn+ ack包后并不回应，目的主机为这些源主机建立大量的连接队列，由于没有收到ack一直维护这些连接队列，造成资源的大量消耗而不能向正常的请求提供服务。

NTP Flood

NTP攻击是一种利用被攻击的NTP服务器来攻击目标系统的DDoS攻击方式。攻击者发送大量的伪造的NTP查询请求到NTP服务器，服务器会向目标系统发送大量的NTP响应数据，从而占用目标系统的带宽和系统资源。

CC攻击

CC攻击，英文Challenge Collapsar，是分布式拒绝服务（DDoS）攻击的一种类型，其通过向一些目标网络服务器发送伪造的HTTP 请求，这些请求往往需要复杂耗时的计算或数据库操作，以耗尽目标网络服务器的资源，导致目标服务器停止响应请求，造成用户访问速度慢甚至无法访问。

NTP（Network Time Protocol，网络时间协议）Flood

NTP是标准的基于UDP协议传输的网络时间同步协议，由于UDP协议的无连接性，方便伪造源地址。攻击者使用特殊的数据包，也就是IP地址指向作为反射器的服务器，源IP地址被伪造成攻击目标的IP，反射器接收到数据包时就被骗了，会将响应数据发送给被攻击目标，耗尽目标网络的带宽资源。

一般的NTP服务器都有很大的带宽，攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器，就可给目标服务器带来几百上千Mbps的攻击流量。因此，“问-答”方式的协议都可以被反射型攻击利用，将质询数据包的地址伪造为攻击目标地址，应答的数据包就会都被发送至目标，一旦协议具有递归效果，流量就被显著放大了，堪称一种“借刀杀人”的流量型攻击。

DNS Query Flood

DNS作为互联网的核心服务之一，自然也是DDoS攻击的一大主要目标。

DNS Query Flood采用的方法是操纵大量傀儡机器，向目标服务器发送大量的域名解析请求。服务器在接收到域名解析请求时，首先会在服务器上查找是否有对应的缓存，若查找不到且该域名无法直接解析时，便向其上层DNS服务器递归查询域名信息。

通常，攻击者请求解析的域名是随机生成或者是网络上根本不存在的域名，由于在本地无法查到对应的结果，服务器必须使用递归查询向上层域名服务器提交解析请求，引起连锁反应。解析过程给服务器带来很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

根据微软的统计数据，一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的DNS服务器瘫痪，由此可见DNS服务器的脆弱性。

泪滴攻击

攻击者向目标机器发送损坏的IP包，诸如重叠的包或过大的包载荷。借由这些手段，该攻击可以通过TCP/IP协议栈中分片重组代码的bug来使各种不同的操作系统瘫痪。

Ping of Death

攻击者利用单个包的长度超过了IP规范所规定的包长度的条件对目标发起攻击。

DDOS的防御

不同的企业可以根据实际情况采用不同的防御方式，比较重要的一点就是要考虑预算问题，在大部分时候，你购买的高防服务以及流量都排不上用场。

常用的防御方式：本地设备清洗，运营商清洗，云清洗。

本地清洗设备

业内习惯称之为ADS设备，可以旁路或者串联部署，旁路部署时需要再发生攻击时进行流量牵引。可以抵御一些小规模的流量攻击，遇到大规模的攻击就比较麻烦。比较典型时设备时绿盟的黑洞。

本地清洗最大的问题是当DDoS攻击流量超出企业出口带宽时，即使ADS设备处理性能够，也无法解决这个问题。

典型的部署结构图如下所示，检测设备对镜像过来的流量进行分析，检测到DDoS攻击后通知清洗设备，清洗设备通过BGP或OSPF协议将发往被攻击目标主机的流量牵引到清洗设备，然后将清洗后的干净流量通过策略路由或者MPLS LSP等方式回注到网络中；当检测设备检测到DDoS攻击停止后，会通知清洗设备停止流量牵引。

运营商清理

当本地流量清洗解决不了流量超过出口宽带的问题时，往往需要借助运营商的能力，紧急扩容或者开启清洗服务。

云清洗

内容分发系统（CDN）是指通过在网络各处放置节点服务器，让用户能够在离自己最近的地方访问服务，以此来提高访问速度和服务质量。CDN主要利用了四大关键技术：内容分发，内容路由，内存存储，内容管理。

CDN技术的初衷是为了提高互联网用户对静态网站的访问速度，但是由于分布式，就近访问的特点，能对攻击流量进行稀释，因此一些传统的CDN厂商除了提供云加速服务，也开始推出云清洗服务。

云清洗需要注意下面的一些问题

1）云清洗需要提前配置好相应的记录。

2）DNS修改记录后，需要等待TTL超时才生效

3）直接对源IP的攻击，无法使用云清洗防护。

其它方式

面临DDOS攻击时，如果有多条线路，可以通过负载均衡将受攻击线路的访问需求转移到其它互联网线路。

报文过滤

一个IP访问速率限制

封IP

防御措辞

有效防御DDoS攻击涉及多个方面的技术和策略，以下是一些常用的防御措施：

1、使用高宽带

网络带宽直接决定了网络抵抗攻击的能力。高宽带支持大量数据传输和高速互联网连接，能够在能够在有大量流量涌入网站时提供强大的流量吞吐，减少网络的拥堵。

2、采用安全防御产品

采用安全防御产品，提供DDoS防护，可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击。

不仅如此，锐安盾还可提供 WAF、Bot、API安全防护服，节点识别并拦截 L3/L4/L7层各类攻击请求；支持将静态资源缓存到边缘节点，达到加速效果，确保网站的安全与加速。

3、增强边缘防御

部署在网络边缘的防火墙和入侵检测系统（IDS）可以在一定程度上识别并过滤攻击流量。防火墙可以配置规则来阻止未经授权的访问，而IDS可以分析通过网络传递的数据包以识别恶意活动。

4、设计冗余和备份计划

准备好恢复计划和业务连续性是对抗DDoS攻击的关键。确保关键数据和应用程序有冗余备份，并分布在多个地理位置，可以在攻击影响到一处资源时快速恢复服务。