DDOS攻击的两种方式

#互联网攻击已成常态

辛苦建好了自己的私有云、公有云环境，发现安全是不容忽视的重要角落。像私有云的环境，出口带宽往往只有几百兆，而攻击流程现在超过Tb级。随着安全事件的频繁，安全人员的工资也水涨船高，在互联网企业成为重要的支撑岗位。我们对耳熟能祥的DDOS攻击进行再次的简要学习。

一、DDOS攻击像狼群战术

DDOS攻击主要针对有商业价格的网站，例如游戏服务器、网吧等，攻击时间短、流量大、突发性大、防御难度大。

就像国庆节等重大节目放假时，平常正常的高速公路收费站，突然涌入太多的汽车，造成全部中断。如同下图。

DDOS攻击有两种类型：带宽型攻击、资源消耗型攻击。带宽型攻击使用超Tb级的带宽直接堵塞服务器的所有带宽，造成正常业务带宽被阻塞；如同高速路收费站，正常每小时收费5000台汽车，如果同时来了500百万台恶意的汽车阻塞，则正常汽车通行则全面受阻。而资源消耗型攻击则消耗服务器的正常响应，主要是http、tcp类的握手式攻击；如同高速路收费站，恶意的汽车到收费站，收费员要求司机缴费，而司机拒绝回话，造成单个用户的收费处理时间大幅上升。

二、DDOS攻击原理

攻击者(Attacker)控制了大量的僵尸主机(Zombies)，用于攻击Web网站等，攻击者一般会通过跳板机进行控制（避免被追溯）。目前随着互联网的用户带宽提速，一般用户带宽会达到100M、200M，因此目前的DDOS攻击带宽超Tb级将成为常态。

三、常见的三种攻击

1、Syn Flood，利用Tcp的三次握手机制进行攻击。正常用户访问服务器是3次握手，每次握手将消耗服务器的正常资源。而攻击者可以通过伪造源ip地址、或直接用大量肉鸡ip，发送请求报文，对服务器的握手成功请求不回应，造成服务器大量的资源被消耗。这种攻击是资源消耗型的攻击，是最难防的一种攻击类型。

该类型攻击的防护，可以通过防火墙方式进行防护。客户对服务器的访问，将通过防火墙进行代理，由防火墙对客户进行三次握手，成功之后，再由防火墙向真实的服务器进行三次握手。所有流程如果正常，来自该客户的ip将通过SynCookie记录，以后直接通过，以提高访问效率。

2、DNS Flood，利用DNS请求不需要三次握手确认，大量请求DNS业务，造成DNS服务器中断。攻击者利用伪造的ip地址大量发起dns查询的请求，造成递归dns服务器存储了大量的dns、ip的映射信息，造成正常DNS请求失效。DNS Flood也属于资源消耗型的攻击。

DNS攻击也可以造成反射攻击。攻击者发起小流量 4M的伪造ip地址（某网吧的真实地址），DNS将查询到的DNS信息发送给该伪造ip地址，流量可能达到100M，造成某网吧接受到大量的流量，影响正常网吧业务。

3、HTTP Flood，可以利于服务器查询数据库造成业务过载。例如下图，攻击者发起大量的需要数据库验证的攻击请求（如验证用户名密码是否正确），造成Web Server向后台的数据库发起大量业务请求，从而造成真实的业务请求无法回应，该攻击方式也是大家熟悉的CC攻击。