1.
引言:什么是DDoS攻击?
DDoS,即分布式拒绝服务攻击(Distributed
Denial
Service),是一种通过协调大量分散在网络各处的计算机(俗称“僵尸主机”)同时向目标系统发送大量请求或恶意数据包,从而耗尽目标的网络带宽、系统资源或应用服务能力,导致合法用户无法访问服务的攻击行为。
与传统的DoS(拒绝服务攻击)相比,DDoS具有分布式的特点:攻击源不再局限于单台机器,而是由攻击者控制的僵尸网络(Botnet)构成,这使得攻击规模呈几何级增长,防御难度也大大增加。
DDoS攻击的目标可以是任何联网的实体:网站、服务器、网络设备、甚至整个数据中心。
其后果包括服务中断、业务损失、品牌信誉受损,甚至可能成为更复杂攻击的掩护。
2.
网络协议基础回顾
要理解DDoS的原理,必须了解TCP/IP协议栈的基础知识,特别是传输层和应用层的协议工作机制。
TCP协议:面向连接、可靠的传输协议。
通过“三次握手”建立连接:
客户端发送SYN包(同步序列号)给服务器。
服务器回复SYN-ACK包(确认客户端的SYN,并发送自己的SYN)。
客户端回复ACK包,连接建立。
/>在连接建立后,数据传输才得以进行。
TCP还包含流量控制(滑动窗口)、拥塞控制等机制。
UDP协议:无连接、不可靠的传输协议。
不需要握手,直接发送数据包。
适用于对实时性要求高的应用(如DNS查询、视频流、VoIP)。
ICMP协议:互联网控制消息协议,用于在IP网络中传递错误报告和诊断信息(如ping使用的Echo请求/响应)。
HTTP/HTTPS协议:应用层协议,基于TCP,用于Web通信。
HTTP请求包括方法(GET、POST等)、URL、头部和主体。
2.2
资源耗尽的核心思想
DDoS攻击的核心思想是耗尽目标的关键资源,使其无法处理正常请求。
这些资源可以分为三类:
网络带宽:攻击者发送海量数据包,占满目标的上行/下行链路,导致合法数据包无法通过。
这通常是体积型攻击的目标。
系统资源:如服务器的CPU、内存、连接表(TCP状态表)、磁盘I/O等。
攻击者通过大量半连接或畸形请求消耗这些资源,使系统无法处理新请求。
这通常是协议型攻击的目标。
应用资源:如Web服务器的线程池、数据库连接、应用逻辑处理能力。
攻击者发送看似合法但消耗极大的请求,使应用层资源耗尽。
这通常是应用层攻击的目标。
2.3
分布式架构:僵尸网络
DDoS的“分布式”特性依赖于僵尸网络(Botnet)。
攻击者通过恶意软件感染大量设备(包括个人电脑、服务器、物联网设备如摄像头、路由器等),这些被感染的设备称为“僵尸”或“肉鸡”。
它们被攻击者远程控制,通常通过命令与控制(C&C,Command
&
Control)服务器接收指令。
当攻击者决定发起DDoS攻击时,通过C&C服务器向所有僵尸主机发送攻击指令(如“开始向目标IP的80端口发送UDP洪水”)。
这些僵尸主机便在同一时刻向目标发起流量攻击,汇聚成巨大的流量洪峰。
3.
DDoS攻击的详细分类
根据攻击目标所在的协议层,DDoS攻击通常分为三类:体积型攻击(Volumetric
Attacks)、协议型攻击(Protocol
Attacks)和应用层攻击(Application
Layer
Attacks)。
实际上,现代DDoS攻击往往是混合型的,结合多种手法以达到最佳破坏效果。
3.1
体积型攻击
这类攻击的目标是消耗目标的网络带宽。
通过发送大量看似无用的数据包,使网络链路饱和。
由于带宽资源有限,一旦被占满,合法流量便无法通过。
常见的体积型攻击包括:
3.1.1ICMP洪水(ICMP
Flood)
攻击者向目标发送大量的ICMP
Echo请求(ping)包。
目标会回复ICMP
Echo响应包。
如果攻击者伪造源IP(即反射攻击),则响应会发送给被伪造的受害者,但这里我们讨论的是直接攻击。
大量ICMP包会消耗目标的网络处理能力和带宽。
原理:ICMP协议不需要建立连接,处理简单。
但大量ICMP包会占用网络接口的队列,并消耗CPU资源来处理这些数据包。
防御:限制ICMP包的速率,或在必要时完全禁用ICMP。
3.1.2UDP洪水(UDP
Flood)
攻击者向目标主机的随机端口发送大量的UDP数据包。
当目标收到UDP包时,它会检查是否有应用程序监听该端口。
如果没有,则目标会回复一个ICMP“目标不可达”包。
大量UDP包会导致目标忙于生成ICMP响应,同时消耗带宽和系统资源。
变种:有时攻击者会针对特定服务,如向DNS服务器的53端口发送大量UDP查询包(DNS洪水)。
防御:使用防火墙过滤不必要的UDP服务,或启用速率限制。
3.1.3
Attacks)
这是体积型攻击中最具破坏力的一种。
攻击者利用网络中某些协议的响应特性,将小查询放大为大响应,且响应被发送给受害者(通过伪造源IP)。
典型的放大攻击包括DNS放大、NTP放大、SSDP放大等。
原理三要素:
存在一个开放的、可被查询的公共服务(如DNS解析器、NTP服务器)。
该服务对一个小请求会产生一个远大于请求的响应(放大因子高)。
攻击者伪造受害者IP作为源IP,向公共服务发送请求,服务将放大后的响应发送给受害者。
DNS放大攻击:攻击者向开放的DNS递归解析器发送一个小的查询请求(如“ANY”类型查询,返回所有记录),源IP伪造为受害者。
DNS服务器返回的响应大小是请求的几十甚至几百倍。
攻击者可以通过大量僵尸主机同时发起查询,汇聚成巨大的流量冲击受害者。
示例:请求大小约60字节,响应可达4000字节以上,放大因子约70倍。
NTP放大攻击:利用NTP(网络时间协议)的monlist命令。
该命令会返回与NTP服务器同步的最后600个客户端的IP地址列表,响应极大。
一个小请求(约90字节)可导致响应高达几十KB,放大因子约200倍。
SSDP放大攻击:利用UPnP协议的SSDP服务,请求发现网络设备。
响应可放大30倍左右。
防御:关闭不必要的放大服务;网络运营商应实施源地址验证(BCP
38)以防止IP伪造;使用流量清洗设备过滤放大流量。
3.2
协议型攻击
这类攻击利用协议栈实现中的漏洞或协议本身的机制,消耗服务器或中间设备的处理资源,而非带宽。
它们通常针对连接状态表。
3.2.1SYN洪水(SYN
Flood)
这是最经典的协议型攻击。
利用TCP三次握手的缺陷。
原理:在TCP连接建立过程中,服务器收到客户端的SYN包后,会分配一个传输控制块(TCB,即存储连接信息的数据结构)并进入SYN-RECEIVED状态,然后回复SYN-ACK包给客户端。
服务器会等待客户端的ACK包来完成连接,这个半连接会保留一段时间(通常几十秒到几分钟)直到超时。
攻击者发送大量伪造源IP的SYN包给服务器。
服务器为每个SYN包分配资源并回复SYN-ACK,但伪造的源IP不会回复ACK。
这些半连接会填满服务器的连接表(backlog队列),导致后续的合法SYN请求被丢弃,无法建立连接。
后果:服务器耗尽内存或连接表,拒绝服务。
防御:
SYN
Cookie:服务器不立即分配TCB,而是根据SYN包信息计算一个cookie作为初始序列号发送给客户端。
当收到客户端ACK时,验证cookie后才分配资源。
这避免了半连接消耗资源。
增加backlog队列:调大半连接队列长度,但治标不治本。
防火墙/Rate
Limit:限制每秒SYN包的数量,或识别异常源IP。
RST包干扰:提前向客户端发送RST包关闭连接(但需正确识别)。
3.2.2ACK洪水(ACK
Flood)
攻击者向目标发送大量ACK包。
这些ACK包可能对应于不存在的连接。
服务器需要查找对应的连接状态,如果找不到,则可能回复RST包。
处理这些无意义的ACK包会消耗CPU资源,并可能导致防火墙或IPS设备负载过高。
3.2.3
Attacks)
发送大量IP碎片包,目标主机需要重组这些碎片。
攻击者可以发送重叠的、不完整的或恶意的碎片,导致目标消耗大量内存和CPU进行重组,甚至引发系统崩溃。
例如,Teardrop攻击利用碎片重组时的偏移计算漏洞,导致系统蓝屏。
3.2.4
TCP连接耗尽
攻击者建立大量真实的TCP连接(完成三次握手),但随后不发送数据或发送慢速数据,占用服务器的连接资源。
这种攻击可能结合慢速攻击手法。
3.3
应用层攻击
这是最难防御的DDoS类型,因为攻击流量看起来与正常流量无异,它们直接针对应用程序的逻辑漏洞或资源瓶颈,使用较少的流量即可造成巨大破坏。
3.3.1HTTP洪水(HTTP
Flood)
攻击者向目标Web服务器发送大量看似合法的HTTP
GET或POST请求。
GET请求通常用于请求页面、图片等资源,消耗Web服务器的处理线程、I/O和带宽。
POST请求可能涉及数据库写入、文件上传等,消耗更多后端资源。
特点:攻击流量特征与正常用户相似,难以通过简单的流量过滤区分。
攻击者通常使用大量僵尸主机(真实IP)来发起请求,绕过基于IP的速率限制。
变种:HTTP洪水可能针对特定URL(如首页、搜索功能、登录接口),放大攻击效果。
防御:
基于行为的检测:分析请求频率、访问模式、浏览器特征等。
验证码/挑战:对可疑请求弹出验证码(CAPTCHA)或JavaScript计算挑战。
Web应用防火墙(WAF):识别异常请求模式,如过于频繁的访问。
限流:对单个IP、会话或API设置访问速率限制。
CDN缓存:将静态内容缓存到边缘节点,减少源站压力。
3.3.2POST、Slow
Read)
这类攻击的特点是慢速发送请求,占用服务器连接资源。
Slowloris:攻击者向Web服务器发送不完整的HTTP请求头。
例如,发送一个HTTP
GET请求,但故意不发送结束符(两个换行符)。
服务器会保持连接打开,等待完整请求。
攻击者持续发送额外的头字段(如“X-a:
b\r\n”)来维持连接。
当攻击者开启成百上千个这样的慢速连接时,服务器的并发连接池被占满,无法接受新请求。
Slow
POST请求中,将Content-Length设为很大的值,然后以极慢的速度发送body数据(例如每秒1字节)。
服务器会等待数据接收完成,从而长时间占用连接。
Slow
Read:攻击者建立正常连接后,发送请求,但以极慢的速度读取响应(即TCP窗口设得很小)。
服务器需要保持连接并尝试发送数据,消耗内存和连接资源。
防御:
设置合理的超时时间。
限制单个连接的最大传输速率。
使用反向代理或负载均衡器,它们可以更好地管理慢速连接。
检测并断开长期不发送完整数据的连接。
3.3.3
DNS查询洪水
针对DNS服务器的攻击。
攻击者发送大量DNS查询请求,消耗DNS服务器的CPU和内存,使其无法响应合法查询。
可以是直接洪水,也可以是使用僵尸网络发起看似合法的查询(如请求一个不存在的域名,导致递归解析)。
防御:使用任播(Anycast)技术分散流量,部署专用DNS防护设备,限速。
3.3.4
针对SSL/TLS的攻击
例如,SSL
renegotiation攻击:攻击者反复发起SSL重新协商,消耗服务器CPU资源进行加密计算。
防御:限制重新协商次数,使用专用SSL加速硬件或云服务。
4.
攻击动机
商业竞争:竞争对手可能通过DDoS攻击使对方网站服务不可用,获取商业优势,或勒索。
政治/意识形态:黑客活动分子(hacktivists)针对政府、企业网站发起攻击,表达政治诉求(如Anonymous组织)。
敲诈勒索:攻击者先进行DDoS攻击,然后向受害者发送勒索邮件,要求支付赎金停止攻击。
娱乐/炫耀:一些黑客新手为了证明自己的能力或单纯恶作剧而发起攻击。
作为掩护:在发起其他攻击(如数据窃取)时,使用DDoS分散安全团队的注意力。
4.2
攻击影响
经济损失:对于电商、金融、游戏等依赖在线业务的企业,服务中断直接导致收入损失。
据估计,每小时的中断可能造成数十万甚至数百万美元的损失。
品牌声誉受损:用户无法访问服务,会损害企业的信誉,导致用户流失。
生产力下降:企业内部网络或服务被攻击,员工无法正常工作。
法律与合规风险:某些行业(如金融、医疗)有严格的可用性要求,服务中断可能导致违反法规并面临罚款。
数据丢失风险:虽然DDoS本身不直接窃取数据,但攻击可能被用于掩护数据窃取或破坏。
5.
DDoS攻击的防御策略
防御DDoS需要多层次、多方面的策略,从网络架构设计到实时监控和应急响应。
5.1
预防与准备阶段
网络架构设计:
冗余与弹性:使用多个数据中心,部署负载均衡器,分散流量。
采用CDN(内容分发网络)将静态内容缓存到边缘节点,减少源站压力。
任播(Anycast):将相同IP地址广播到多个地理位置,流量自动路由到最近的节点。
当某个节点受到攻击时,流量可以分散到其他节点,吸收部分攻击。
带宽扩容:确保网络带宽足够大,以承受一定的攻击流量。
但这无法应对超大流量攻击,通常需要云清洗服务。
基础设施加固:
关闭不必要的服务和端口,减少攻击面。
应用安全补丁,防止利用漏洞的攻击。
调整操作系统和应用的网络参数,如TCP
SYN队列长度、超时时间等。
制定应急响应计划:明确当攻击发生时谁负责、如何切换备用系统、如何联系ISP或云防护服务商。
5.2
检测与识别
及时发现攻击是防御的关键。
检测方法包括:
流量监控与基线分析:使用网络流量分析工具(如NetFlow、sFlow)监控进出流量。
建立正常流量基线,当流量突然异常增大(如数倍于基线)时触发告警。
异常行为检测:分析数据包特征,如特定协议占比、源IP分布、请求模式等。
例如,SYN洪水时,SYN包比例异常高;HTTP洪水时,某个URL请求频率激增。
入侵检测系统(IDS)/入侵防御系统(IPS):部署在关键路径上,根据签名库检测已知攻击模式。
云防护服务商的监测:许多云服务提供商提供DDoS监控和告警服务。
5.3
缓解与响应
一旦检测到攻击,需要迅速采取措施:
流量清洗:将受攻击的流量引流到专用的流量清洗中心,通过算法区分攻击流量和正常流量,丢弃攻击流量,将清洗后的干净流量回注到原网络。
清洗技术包括:基于IP信誉的过滤、速率限制、指纹识别(如TCP指纹、HTTP指纹)、行为分析(如挑战应答)、协议合规性检查等。
黑洞路由(Blackholing):将目标IP的所有流量(包括正常流量)引流到一个空接口(null0),即丢弃所有流量。
这是最后的应急手段,适用于极端情况,但会导致服务完全中断。
有远程触发黑洞(RTBH)机制可以快速实施。
限速(Rate
Limiting):对特定IP、特定协议或特定端口设置流量速率上限,限制攻击流量对带宽的占用。
启用SYN
Cookie:在服务器上开启SYN
Cookie防御SYN洪水。
使用Web应用防火墙(WAF):针对应用层攻击,WAF可以检测恶意请求模式并拦截。
弹性扩容:在云环境中,可以自动增加资源(如增加服务器、扩展带宽)以吸收攻击流量。
但面对超大流量攻击,可能成本高昂。
联系上游ISP或云防护服务商:对于超出自身处理能力的攻击,需要ISP或专业DDoS防护服务(如Cloudflare、Akamai、AWS
Shield、阿里云高防等)介入,它们拥有庞大的带宽和清洗能力。
5.4
常用DDoS防护技术详解
CDN(内容分发网络):不仅加速内容分发,还能隐藏源站IP,缓存静态资源,吸收大量攻击流量。
用户请求先到CDN节点,CDN节点回源站获取动态内容。
如果攻击针对CDN节点,CDN网络可以分散攻击,且通常具备DDoS防护能力。
云清洗服务:例如,企业将其流量通过BGP路由通告到云清洗中心,清洗中心实时分析流量,过滤攻击后,将干净流量送回企业网络。
这种服务通常按需计费,可应对Tbps级攻击。
基于指纹识别的防护:对于应用层攻击,可以通过分析客户端的行为特征(如浏览器指纹、鼠标轨迹、请求顺序)来区分人与机器。
例如,JavaScript挑战:向客户端发送一段JS代码,能够正确执行并返回结果的被认为是正常浏览器,否则可能是攻击脚本。
AI/机器学习:利用机器学习模型学习正常流量模式,自动识别异常流量并实时阻断。
AI可以应对新型攻击和变种。
6.2000年
Mafiaboy攻击
一名15岁黑客“Mafiaboy”对多家大型网站(如Yahoo、eBay、CNN)发起DDoS攻击,导致这些网站服务中断数小时。
攻击使用简单的工具,通过向目标发送大量流量,引起了全球对DDoS威胁的关注。
6.22016年
Dyn攻击(Mirai僵尸网络)
这是历史上最著名的物联网DDoS攻击之一。
攻击者利用Mirai恶意软件感染了大量物联网设备(如摄像头、路由器、DVR),组成庞大的僵尸网络。
随后,该僵尸网络向DNS服务提供商Dyn发起攻击,导致许多知名网站(如Twitter、Netflix、Spotify、Reddit)无法访问。
攻击流量峰值达到1.2
Tbps。
关键点:物联网设备安全性弱(默认密码),成为僵尸网络的理想目标。
攻击展示了物联网时代的巨大风险。
6.32018年
Tbps攻击
2018年2月,GitHub遭受了史上最大规模的DDoS攻击之一,峰值流量达到1.35
Tbps。
攻击属于Memcached放大攻击,利用Memcached数据库的UDP放大特性(放大因子高达50000倍)。
攻击持续了约20分钟,GitHub迅速将流量引流到Akamai的Prolexic服务进行清洗,未造成长时间中断。
6.42020年
Tbps攻击
2020年2月,亚马逊Web服务(AWS)的Shield服务报告了有史以来最大的DDoS攻击,峰值流量达到2.3
Tbps。
攻击同样利用CLDAP(Connection-less
Lightweight
Protocol)放大攻击,攻击持续三天。
AWS依靠其庞大的基础设施和自动缓解机制成功防御。
6.5
近年趋势:勒索型DDoS
近年来,勒索型DDoS攻击日益猖獗。
攻击者先发起短时间的攻击作为警告,然后发送勒索邮件要求比特币赎金,否则将发动更大规模攻击。
许多企业由于防护能力不足,被迫支付赎金。
7.
物联网僵尸网络的持续扩大
随着物联网设备数量爆炸式增长,且许多设备安全性薄弱,它们将成为僵尸网络的主力军。
5G网络的普及使这些设备拥有更高带宽,攻击威力将更大。
7.2
新型放大攻击的出现
攻击者不断寻找新的协议放大向量。
近年来发现了CLDAP、WS-Discovery、CoAP等协议的放大潜力。
未来还将有更多协议被滥用。
7.3
应用层攻击的精细化
攻击者会结合机器学习,模拟真实用户行为,绕过基于行为的检测。
例如,利用真人操作的“验证码农场”进行攻击,或利用社交媒体招募真人同时访问目标网站(即“Flash
加密流量中的DDoS
随着HTTPS普及,越来越多流量被加密。
传统的基于DPI(深度包检测)的防护难以识别加密流量中的攻击。
需要借助加密流量分析(如TLS指纹、JA3指纹)和机器学习。
7.5
AI攻防对抗
攻击者可能使用AI优化攻击策略,动态调整攻击参数以逃避检测。
防御方则利用AI实时分析并自动响应。
未来将是AI之间的对抗。
7.6
5G与边缘计算带来的挑战
5G网络的高带宽、低延迟和多连接特性,为DDoS攻击提供了新的土壤。
边缘计算节点也可能成为攻击目标或跳板。
8.
总结
DDoS攻击是网络安全领域最持久、最常见的威胁之一。
它利用分布式架构和协议特性,通过耗尽目标资源来达到拒绝服务的目的。
从早期的简单洪水攻击,到如今的混合型、应用层、物联网驱动的超大规模攻击,DDoS攻击手段不断演进。
防御DDoS需要构建纵深防御体系:事前通过架构优化和冗余设计提升弹性;事中利用流量监控、清洗中心和云防护服务及时阻断攻击;事后分析攻击手法,完善防护策略。
对于企业而言,单靠自身往往难以应对Tbps级的攻击,与专业的DDoS防护服务商合作是明智之选。
