分布式拒绝服务（DDoS）攻击的演变与防御技巧

DDoS 攻击的基本概念

定义及原理

分布式拒绝服务（DDoS）攻击，是目前最难防范的黑客攻击手段之一。它是指借助于 C/S 技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动 DoS 攻击，从而成倍地提高拒绝服务攻击的威力。攻击者会把 DDoS 主控程序安装在自己拥有的计算机，或通过非法手段获取账号后，将其安装在其他已沦陷的计算机上，同时将 DDoS 代理程序安装在众多已沦陷的计算机上。当攻击者想要对目标业务系统发起 DDoS 攻击时，就会通过主控程序与大量代理程序通讯，代理程序收到指令后立即发动攻击，造成被害业务系统网络近乎瘫痪，甚至出现宕机情况。

简单来说，DDoS 攻击是通过利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。比如，黑客控制大量的 “肉鸡”（被控制的计算机），在同一时间访问某一论坛，使得这个论坛变得很卡，甚至打不开，导致正常用户无法发帖和浏览内容，这就是攻击者成功实施了 DDoS 攻击。再形象一点举例，就好比一家火锅店刚开张生意红火，有一伙人想要捣乱，便让一群人把店里座位都占满，但就是不点餐，这时候想光顾火锅店的食客，都不敢进店，敢进店的也找不到位置坐，后来便没人再来了，而 DDoS 攻击就是攻击者通过大量的 “肉鸡”，对目标发送大量的请求，占用服务器资源，导致正常用户无法访问网站。

从网络通讯的角度来看，正常上网访问网页时，设备会先向网站服务器发送一个带有 SYN（同步）标志的数据包请求建立连接（第一次握手），服务器收到后会回复一个带有 SYN（同步）和 ACK（确认）标志的数据包表示同意建立连接并等待确认（第二次握手），客户端再发送一个带有 ACK（确认）标志的数据包给服务器完成确认（第三次握手），这就是典型的网络通讯三次握手过程。而 DDoS 攻击常常会利用这个过程来发起攻击，比如常见的 SYN Flood 攻击，攻击者发送大量 SYN 请求，但不进行后续的第二次握手（SYN-ACK）和第三次握手（ACK），这就导致服务器资源被大量消耗，因为服务器会为每个 SYN 请求保留资源等待确认，当大量的 SYN 请求堆积在服务器上，服务器的处理能力将被严重削弱，无法处理正常的请求；还有 ACK Flood 攻击，攻击者发送大量 ACK 请求，但不进行第一次握手（SYN），使得服务器在收到 ACK 请求时，无法找到匹配的 SYN 请求，从而消耗服务器的处理资源，导致无法正常响应其他请求。

攻击的表现形式

DDoS 攻击在实际中有着多种呈现形式，有时候其症状看起来很像服务器或系统自身出现了问题，或者是遭遇了合法请求过多等非恶意事件，往往需要通过细致的流量分析等手段才能确定是遭受了 DDoS 攻击。

在资源方面，当遭受攻击时，恶意请求大量涌入，可能致使 CPU 利用率飙升，一直保持高位甚至达到饱和状态；也可能利用软件漏洞等让内存溢出，即发送特制的数据包造成内存消耗过大，使得系统响应速度急剧下降，严重时甚至崩溃；还可能通过垃圾文件填充、日志爆满等手段让磁盘空间耗尽，影响服务器正常运行。

网络上会出现带宽拥堵的情况，DDoS 攻击通常会造成服务器带宽被大量无效流量占据，导致合法访问请求没办法得到及时响应，直观体现就是网站访问速度变慢或者干脆无法访问。像 SYN Flood 攻击针对 TCP 协议栈，短时间内发起大量半开连接请求，会造成端口资源耗尽，出现特定端口异常流量的现象。

系统稳定性也会降低，可能会有恶意进程在服务器上启动，比如木马、蠕虫等，它们会占用系统资源，或者执行未经授权的操作，通过 “ps -ef” 命令可检查可疑进程；并且在攻击事件发生时，系统和应用程序的日志会出现大量错误提示，例如登录失败、文件篡改或权限更改等警告信息。

服务方面则会出现中断或功能丧失的情况，例如 CC 攻击针对 Web 应用层，通过模拟大量合法请求压垮 Web 服务器，使得正常用户无法访问网站；还有像 SQL 注入等攻击可能导致数据库响应缓慢、查询错误或者被非法获取数据等，影响相关服务的正常开展。

DDoS 攻击的演变历程

早期的 DDoS 攻击情况

DDoS 攻击的起源可以追溯到上世纪 90 年代。1996 年，美国 Panix 公司就遭受了一次具有代表性的 DDoS 攻击，当时这一事件引起了不小的轰动。在那个阶段，攻击的特点主要体现为相对较为简单直接，从规模上来看，每秒的请求次数相较于现在是比较低的，往往在数千次左右。攻击者大多是利用一些初级的技术手段，比如通过控制少量的计算机，同时向目标服务器发起大量的连接请求，试图耗尽服务器的资源，使得服务器出现响应缓慢甚至短暂宕机的情况。而且那时的攻击工具和方法还不够成熟，更多是一些技术爱好者或者带有试验性质的攻击行为，其影响力主要局限在局部范围内，尚未引起整个互联网行业对这种攻击方式的高度重视，但也算是给安全领域敲响了一记警钟，让人们开始意识到网络安全中存在这样一种潜在的威胁模式。

标志性的攻击事件影响

2000 年年初，加拿大高中生 Michael Calce 对雅虎等知名网站发起的攻击堪称是 DDoS 攻击发展历程中的标志性事件。当时，他利用自己掌握的技术，操控众多计算机组成攻击平台，对雅虎等网站发动大规模的 DDoS 攻击。这次攻击致使这些大型网站在很长一段时间内无法正常提供服务，众多用户无法登录和访问相关网页，给这些网站的运营带来了极大的冲击，也让全球范围内的互联网用户切实感受到了 DDoS 攻击的威力。

正是这一事件，使得 DDoS 攻击从原本相对较轻微的、被看作是小范围滋扰的行为，彻底转变成为了重大的安全威胁。此前，很多人认为这类攻击只是偶发性、影响不大的情况，但这次攻击让互联网企业、安全专家以及普通用户都重新审视了 DDoS 攻击，开始认识到它可以对互联网的正常运转造成毁灭性的打击，也促使整个行业开始重视对 DDoS 攻击的防范和应对策略研究，投入更多资源去探索如何抵御这类攻击，保障网络服务的稳定。

随时代发展的变化

随着时间不断推移，DDoS 攻击在不同阶段呈现出了多样的变化。在攻击速度方面，早期每秒数千次请求的情况早已被突破，如今一些大规模的攻击每秒请求次数能够达到数十万甚至数百万次，瞬间就能让目标服务器面临巨大的压力。

在借助的僵尸网络规模上，过去可能只是控制几十台、上百台计算机发起攻击，而后来像 “Mirai” 僵尸网络的出现，让攻击者可以轻松控制数以万计甚至更多的物联网设备，如摄像头、路由器等，这些被控制的设备组成庞大的攻击大军，同时向目标发起攻击，极大地增强了攻击的威力。

从攻击的目标类型来看，最初主要聚焦在电脑服务器，像一些网站的服务器、企业内部的办公服务器等是主要攻击对象。但随着物联网的兴起，越来越多的物联网设备也成为了攻击目标，因为这些设备往往存在着安全漏洞，容易被攻破，进而被利用成为攻击的 “帮凶”。例如，GitHub 曾遭遇过超大规模的流量攻击，大量的请求从四面八方涌来，其服务器一度面临崩溃的边缘，这次事件就是 DDoS 攻击在新时代变化下威力展现的一个典型案例，也凸显了这种攻击随着时代发展而越发难以防范的特点。

当下的新趋势

如今，DDoS 攻击又呈现出了一些新的趋势。其中，高级持久拒绝服务（APDoS）开始出现，它不同于以往相对单一的攻击模式，而是会利用多个攻击向量，比如结合网络层、应用层等不同层面的攻击手段，同时从多个角度对目标发起攻击。这就好比攻击者不再是单纯从一个方向强攻，而是从四面八方同时展开攻势，让目标防不胜防。

此外，新的攻击平台也不断产生，这些平台往往更加隐蔽、高效，能够帮助攻击者更轻易地组织起大规模的攻击行动。攻击者可以利用这些平台快速召集大量的 “肉鸡” 设备，然后按照精心设计的攻击策略，对目标进行持续性、高强度的攻击。这给各类组织带来了更大的风险，无论是商业公司的线上业务、政府部门的电子政务系统，还是金融机构的网络服务等，一旦遭受这类新型的 DDoS 攻击，面临的可能不仅仅是短时间的服务中断，还可能涉及到数据泄露、业务瘫痪等更为严重的后果，对组织的声誉、经济利益等都会造成难以估量的损失。

DDoS 攻击的常见类型

流量型攻击

流量型 DDoS 攻击主要是通过向目标主机发送超大量的网络流量，使目标主机的网络带宽或资源被耗尽，从而无法正常响应合法用户的请求。下面介绍几种细分类型及其攻击方式。

IP Flood 攻击是流量型攻击中较为常见的一种。攻击者会使用多个随机源主机地址，向目标主机发送海量的 IP 包。这些 IP 包如同潮水一般涌向目标主机，使得目标主机需要耗费大量的资源来处理这些数据包。正常情况下，主机对于接收到的 IP 包会进行相应的分析、处理以及响应操作，但面对 IP Flood 攻击时，大量无意义的 IP 包瞬间占据了主机的处理能力，使得其无暇顾及正常的服务请求，就好像一个人本来在有条不紊地处理各种事务，结果突然涌来无数繁杂且无用的文件需要查看，最终导致正常的工作都无法开展，目标主机也因此陷入网络拥堵甚至瘫痪的状态。

SYN Flood 攻击则是利用了 TCP 协议中的三次握手机制来发起攻击。在正常的 TCP 连接建立过程中，客户端会向服务器发送一个带有 SYN 标志的数据包请求建立连接（第一次握手），服务器收到后回复一个带有 SYN（同步）和 ACK（确认）标志的数据包（第二次握手），客户端再发送一个带有 ACK 标志的数据包给服务器完成确认（第三次握手）。而 SYN Flood 攻击时，攻击者会发送大量的 SYN 请求，却故意不进行后续的第二次握手（SYN-ACK）和第三次握手（ACK）回应。服务器会为每个接收到的 SYN 请求保留一定的资源等待后续确认，随着大量未完成握手的 SYN 请求堆积，服务器的资源会被快速消耗殆尽，无法再响应正常的连接请求，就如同一家酒店接收到了无数的预订请求，为这些预订预留了房间，结果却没人来办理入住手续，导致真正有住宿需求的客人来了却没房间可住一样。

UDP 反射 Flood 攻击的原理又有所不同。攻击者会向一些具有特定服务的网络服务器发送伪造源 IP 地址（即目标受害者的 IP 地址）的 UDP 数据包，这些服务器在收到数据包后，会按照正常的服务流程将相应的回复数据包发送到伪造的源 IP 地址也就是目标主机处。由于攻击者可以从众多的服务器发起这样的请求，最终大量的回复数据包会汇聚到目标主机，导致目标主机被海量的流量淹没，正常的网络服务也就无法开展了，这就好比有人冒用他人地址去订购大量商品，结果商品都被送到了被冒用地址的主人那里，数量太多直接把那户人家的门口都堵住了，正常的出入都成了问题。

连接型攻击

连接型 DDoS 攻击主要是针对网络中的连接资源进行攻击，干扰服务器与客户端之间正常的连接建立和响应流程，致使服务器无法响应合法用户的请求。

DNS Query Flood 攻击是通过向 DNS 服务器发起大量的 DNS 请求来实施攻击的。DNS 服务器的主要作用是将域名解析为对应的 IP 地址，以便客户端能够准确地访问相应的网络服务。当攻击者发起大量的 DNS 查询请求时，DNS 服务器就需要耗费大量的资源来处理这些请求，对每个请求进行解析查找等操作。而随着请求数量远超服务器正常处理能力，它就没办法及时响应正常用户的 DNS 查询请求了。例如，正常情况下，用户想要访问某个网站，会通过 DNS 服务器解析域名获取 IP 地址后进行访问，可遭受 DNS Query Flood 攻击时，DNS 服务器忙于处理恶意的大量请求，用户的正常解析请求就只能等待，长时间得不到回应，就好像在一个办事大厅里，突然涌进来很多无理取闹不断重复咨询的人，导致真正有正经事要办的人没办法得到工作人员的服务一样。

DNS Reply Flood 攻击则是攻击者伪造大量的 DNS 回复数据包发送给目标 DNS 服务器。这些伪造的回复数据包会充斥在服务器端，干扰服务器对正常回复数据包的识别和处理，让服务器陷入混乱，无法准确判断哪些是合法的回复，哪些是恶意的，进而影响其正常的域名解析服务，最终导致整个网络服务因为无法正确解析域名而出现故障，就如同有人往一个信息处理中心塞了大量真假混杂的文件，工作人员根本分不清哪些是有用的，哪些是捣乱的，整个信息处理工作也就陷入了瘫痪状态。

特殊协议缺陷攻击

特殊协议缺陷攻击是利用网络协议中存在的漏洞来对目标用户发起攻击，使得目标用户在使用相关网络服务时出现故障，无法正常使用主机。

Https Flood 攻击针对的是 Https 协议。Https 协议是保障网络通信安全的重要协议，在很多网站中广泛应用。攻击者会利用该协议中的一些漏洞或者通过构造特殊的请求，向目标服务器发起大量的 Https 请求。例如，构造一些看似合法但实则会消耗大量服务器资源的加密请求，服务器在处理这些请求时，由于加密解密等操作本身就比较消耗资源，大量的此类请求会使得服务器不堪重负，最终导致正常的基于 Https 协议的网页访问等服务无法正常开展，就好像有人故意拿着大量复杂又必须处理的加密文件不断塞给一个解密员，导致他没办法处理其他正常的解密工作了。

Sip Invite Flood 攻击主要针对的是 SIP 协议（会话初始协议）。SIP 协议常用于 VoIP（网络电话）等服务中，攻击者会发送大量的 SIP INVITE 请求，模拟发起通话邀请等操作。服务器会按照协议要求对这些请求进行处理、验证等流程，而大量的恶意请求会耗尽服务器在处理会话邀请方面的资源，使得正常的基于 SIP 协议的通话等服务无法正常进行，比如正常用户想要拨打网络电话却因为服务器忙于处理恶意请求而无法成功建立通话连接，就像在一个电话总机室里，不断有人恶意拨打骚扰电话，导致真正要打电话的人没办法接通线路一样。

DDoS 攻击的防御技巧

硬件方面的防御措施

在应对 DDoS 攻击时，硬件层面的防御起着基础性的关键作用。首先，选择高性能的网络设备是至关重要的一环。比如路由器、交换机以及硬件防火墙等，要选用知名度高、口碑好的产品。知名品牌的路由器往往有着更出色的数据包转发能力和稳定性，能够在面对大量异常流量涌入时，依然保障正常的数据传输路径，避免出现因自身性能瓶颈而导致网络堵塞的情况。交换机同样如此，优质的交换机可以更高效地处理各个端口的数据交换任务，在遭受攻击时，尽可能维持内部网络之间以及与外部网络连接的正常运转。

硬件防火墙更是防御体系中的核心硬件设施之一，它可以依据预设的规则，对进出网络的流量进行检测和过滤，识别出那些带有攻击特征的数据包并直接拦截，从而阻止恶意流量靠近服务器等关键网络资源。例如，一些企业级的硬件防火墙，能够基于深度包检测技术，精准地分辨出正常的网络访问请求和 DDoS 攻击流量，像对 SYN Flood 攻击中大量异常的 SYN 请求包，能及时阻断，防止其消耗服务器的资源。

另外，保证充足的网络带宽也是不容忽视的一点。足够的带宽就像是一条宽阔的马路，即便有大量的 “车辆”（网络流量）同时通行，也不容易出现拥堵，使得合法的网络访问请求能够顺利通过。如果带宽过于狭窄，在遭受 DDoS 攻击时，正常流量很容易就被大量的恶意流量挤占，导致网站或服务无法正常响应。例如，对于一些大型的电商网站，在促销活动期间本身就会迎来巨大的流量高峰，这时候若带宽不足，再遭遇小规模的 DDoS 攻击，可能就会出现页面加载缓慢甚至无法访问的情况，影响用户体验和业务开展。所以，根据业务的规模和预期流量情况，合理地租用或升级网络带宽，是硬件防御措施中很重要的一个部分。

软件与配置方面防御

软件及配置相关的防御技巧同样在抵御 DDoS 攻击中有着不可替代的作用。尽量避免使用 NAT（网络地址转换），这是因为 NAT 虽然在一定程度上可以节省 IP 地址资源以及增强内部网络的安全性，但在面对 DDoS 攻击时，它可能会带来一些不利影响。例如，当遭受攻击时，NAT 设备需要对大量经过转换的数据包进行处理，其自身的转换表项很容易被耗尽，进而影响整个网络的正常通信。而且在排查攻击来源等方面，NAT 会使得溯源工作变得更加复杂，不利于快速定位攻击者并采取相应措施。

把网站做成静态页面也是一种有效的防御手段。静态页面相对动态页面来说，不需要服务器进行复杂的数据库查询、脚本解析等操作，占用的服务器资源更少。当遭遇 DDoS 攻击时，即便恶意流量试图耗尽服务器资源，静态页面由于本身对资源需求较低，仍有较大概率可以保持正常访问，为用户提供基本的信息展示服务。比如一些以内容展示为主的企业官网，采用静态页面的形式，在受到一定规模的攻击时，仍能维持页面的可访问性，让用户可以获取到关键信息。

对主机服务器硬件进行合理升级也不容忽视。例如，提升服务器的 CPU 性能，使其能够更快地处理各种网络请求，在面对攻击时可以多线程、高效率地对正常请求进行响应，不至于被大量恶意请求拖垮。增加内存容量，可以保证服务器在处理多任务、高并发流量时，有足够的缓存空间来存放临时数据，避免因内存不足而出现系统卡顿或者崩溃的情况。同时，优化磁盘的读写性能，让服务器在面对诸如日志记录等磁盘操作时，能够更加迅速，保障整体服务的稳定性，增强抵御 DDoS 攻击的能力。

借助专业防护工具

安装专业抗 DDoS 防火墙等外部工具是当下很多网络运营者常用的防范方式。以极验抗 DDoS、抗 CC 防火墙为例，其具备强大的防护功能。用户可以登录其后台，根据自身网络业务的特点和需求配置转发规则，开启防护功能。比如，在配置转发规则时，可以设定对特定端口、特定 IP 地址段的流量进行重点监测和过滤，对于那些频繁超过正常阈值的流量请求，防火墙能够自动进行拦截，识别出可能的 DDoS 攻击流量并阻断其进入内部网络。

同时，这些专业防护工具还能实时分析流量的特征，区分正常用户的访问模式和攻击行为模式。例如，对于一些 CC 攻击，攻击者会模拟大量合法用户的行为发起大量请求，试图压垮 Web 服务器，但专业防火墙可以通过分析请求的频率、来源 IP 的分布、请求的内容等多方面因素，判断出哪些是恶意的 CC 攻击流量，进而精准地进行防护，保障 Web 服务器能够正常为合法用户提供服务，让正常的网站浏览、在线交易等业务不受影响，维持业务的连续性和稳定性。

综合防御策略的重要性

面对日益复杂且多变的 DDoS 攻击手段，不能仅仅依靠单一的防御手段，而是需要综合运用多种防御措施，构建起一套完善的防御体系。这是因为不同的防御措施都有其各自的优势和局限性，只有将它们有机结合起来，才能最大程度地提高整体的防御能力。

比如，硬件方面的高性能设备和充足带宽可以从基础架构上保障网络的承载能力，但对于一些利用协议漏洞或者应用层逻辑漏洞的攻击，仅靠硬件就难以完全防范了，这时候就需要软件配置优化以及专业防护工具来从不同角度对攻击进行识别和拦截。而综合运用这些手段后，攻击者想要成功实施 DDoS 攻击，就需要突破多层防御，其攻击成本会大大增加。

例如，攻击者原本可能通过简单的流量型攻击，利用大量 “肉鸡” 发送海量流量就能让目标服务器瘫痪，但当目标采用了综合防御策略后，硬件防火墙首先会过滤掉一部分明显异常的流量，软件配置上的优化使得服务器本身对资源的利用更加高效，不容易被攻击流量耗尽资源，再加上专业防护工具对攻击行为的精准识别和阻断，攻击者就不得不花费更多的时间、精力和资源去寻找新的攻击方式或者加大攻击力度，而这往往会增加他们暴露的风险。

原文始发于微信公众号（信息安全动态）：分布式拒绝服务（DDoS）攻击的演变与防御技巧