據(jù)調(diào)查，目前我國境內(nèi)日均有365起總流量超過1G 的較大規(guī)模DDOS 攻擊事件。受攻擊方惡意將流量轉(zhuǎn)嫁給無辜者的情況屢見不鮮，我國已有多家省級政府網(wǎng)站遭受過流量轉(zhuǎn)嫁攻擊。維基解密網(wǎng)站也曾因為遭受DDO

據(jù)調(diào)查，目前我國境內(nèi)日均有365起總流量超過1G 的較大規(guī)模DDOS 攻擊事件。受攻擊方惡意將流量轉(zhuǎn)嫁給無辜者的情況屢見不鮮，我國已有多家省級政府網(wǎng)站遭受過流量轉(zhuǎn)嫁攻擊。維基解密網(wǎng)站也曾因為遭受DDOS 攻擊而癱瘓，被迫關(guān)閉了10余天。

DDOS 是目前企事業(yè)單位遭遇較多的一種網(wǎng)絡(luò)攻擊，DDOS 目的很簡單，就是使計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。DDOS 攻擊最早可追溯到1996年最初，在中國2002年開始頻繁出現(xiàn)，2003年已經(jīng)初具規(guī)模。目前的DDOS 攻擊主要有7種方式。

DDOS 攻擊的七種武器

長生劍——SYN Flood攻擊 SYN Flood攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的DDos 攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了TCP 協(xié)議實現(xiàn)上的一個缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的半連接請求，造成目標(biāo)服務(wù)器中的半連接隊列被占滿，耗費CPU 和內(nèi)存資源，使服務(wù)器超負荷，從而阻止其他合法用戶進行訪問。

這種攻擊早在1996年就被發(fā)現(xiàn)，但至今仍然顯示出強大的生命力，可謂“長生不老”。很多操作系統(tǒng)，甚至防火墻、路由器都無法有效地防御這種攻擊，而且由于它可以方便地偽造源地址，追查起來非常困難。

多情環(huán)—— TCP全連接攻擊 這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計的，一般情況下，常規(guī)防火墻大多具備syn cookies或者syn proxy能力，能夠有效應(yīng)對偽造的IP 攻擊，但對于正常的TCP 連接是放過的。但殊不知很多網(wǎng)絡(luò)服務(wù)程序能接受的TCP 連接數(shù)是有限的，一旦有大量的 TCP 連接，即便是正常的，也會導(dǎo)致網(wǎng)站訪問非常緩慢甚至無法訪問，正所謂“多情總被無情傷”。TCP 全連接攻擊就是通過許多僵尸主機不斷地與受害服務(wù)器建立大量的TCP 連接，直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的。

孔雀翎——TCP 混亂數(shù)據(jù)包攻擊 TCP 混亂數(shù)據(jù)包攻擊與Syn Flood攻擊類似，發(fā)送偽造源IP 的TCP 數(shù)據(jù)包，只不過TCP 頭的TCP Flags 部分是混亂的，可能

是syn,ack,syn ack,syn rst等等，會造成一些防護設(shè)備處理錯誤鎖死，消耗服務(wù)器CPU 內(nèi)存的同時還會堵塞帶寬。就好像七種武器中的孔雀翎，總是在迷惑對手的時候施展最后的致命一擊。

碧玉刀—— UDP Flood攻擊 UDP Flood是日漸猖獗的流量型DOS 攻擊，原理也很簡單。常見的情況是利用大量UDP 小包沖擊DNS 服務(wù)器或Radius 認證服務(wù)器、流媒體視頻服務(wù)器。 100k PPS的UDP Flood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個網(wǎng)段的癱瘓。就好像看似輕盈小巧的碧玉刀，實則威力不容小覷。由于UDP 協(xié)議是一種無連接的服務(wù)，在UDP FLOOD攻擊中，攻擊者可發(fā)送大量偽造源IP 地址的小UDP 包。但是，由于UDP 協(xié)議是無連接性的，所以只要開了一個UDP 的端口提供相關(guān)服務(wù)的話，那么就可針對相關(guān)的服務(wù)進行攻擊。

拳頭—— DNS Flood攻擊 UDP DNS Query Flood攻擊實質(zhì)上是UDP Flood的一種，但是由于DNS 服務(wù)器的不可替代的關(guān)鍵作用，一旦服務(wù)器癱瘓，影響一般都很大。UDP DNS Query Flood攻擊采用的方法是向被攻擊的服務(wù)器發(fā)送大量的域名解析請求，通常請求解析的域名是隨機生成或者是網(wǎng)絡(luò)世界上根本不存在的域名，被攻擊的DNS 服務(wù)器在接收到域名解析請求的時候首先會在服務(wù)器上查找是否有對應(yīng)的緩存，如果查找不到并且該域名無法直接由服務(wù)器解析的時候，DNS 服務(wù)器會向其上層DNS 服務(wù)器遞歸查詢域名信息。根據(jù)微軟的統(tǒng)計數(shù)據(jù)，一臺DNS 服務(wù)器所能承受的動態(tài)域名查詢的上限是每秒鐘9000個請求。而我們知道，在一臺PC 機上可以輕易地構(gòu)造出每秒鐘幾萬個域名解析請求，足以使一臺硬件配置極高的DNS 服務(wù)器癱瘓，由此可見DNS 服務(wù)器的脆弱性。DNS 解析作為DDOS 攻擊之根本，就好像拳頭一樣，隨時隨地可以出手。

離別鉤—— CC攻擊 CC 攻擊(Challenge Collapsar)是DDOS 攻擊的一種，是利用不斷對網(wǎng)站發(fā)送連接請求致使形成拒絕服務(wù)的攻擊。相比其它的DDOS 攻擊，CC 攻擊是應(yīng)用層的，主要針對網(wǎng)站。CC 主要是用來攻擊頁面的，CC 就是模擬多個用戶(少線程就是多少用戶) 不停地進行訪問那些需要大量數(shù)據(jù)操作(就是需要大量CPU 時間) 的頁面，造成服務(wù)器資源的浪費，CPU 長時間處于100，永遠都有處理不完的連接直至就網(wǎng)絡(luò)擁塞，正常的訪問被中止。

這種攻擊主要是針對存在ASP 、JSP 、php 、CGI 等腳本程序，并調(diào)用mssql Server、mysqlServer 、Oracle 等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計的，特征是和服務(wù)器建立正常的TCP 連接，并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用，典型的以小博大的攻擊方法。這種攻擊的特點是可以完全繞過普通的防火墻防護，輕松找一些Proxy 代理就可實施攻擊，缺點是對付只有靜態(tài)頁面的網(wǎng)站效果

會大打折扣，并且有些Proxy 會暴露攻擊者的IP 地址。就好像離別鉤名為離別，實為相聚一樣，CC 攻擊的真實意圖又有誰能理解呢。

霸王槍——針對游戲服務(wù)器的攻擊 因為游戲服務(wù)器非常多，這里介紹最早也是影響最大的傳奇游戲，傳奇游戲分為登陸注冊端口7000, 人物選擇端口7100，以及游戲運行端口7200,7300,7400等，因為游戲自己的協(xié)議設(shè)計的非常復(fù)雜，所以攻擊的種類也花樣百出，大概有幾十種之多，而且還在不斷的發(fā)現(xiàn)新的攻擊種類，最普遍是假人攻擊，假人攻擊是通過肉雞模擬游戲客戶端進行自動注冊、登陸、建立人物、進入游戲活動從數(shù)據(jù)協(xié)議層面模擬正常的游戲玩家，很難從游戲數(shù)據(jù)包來分析出哪些是攻擊？哪些是正常玩家。針對游戲服務(wù)器的攻擊十分霸氣，就像霸王槍蛟龍出水，難以抵擋。

抵御DDOS 攻擊之六脈神劍

以上DDOS 攻擊的七種武器都有各自的特點和殺傷力，但也并非無法防范。說起抵御DDOS 攻擊的招數(shù)，就不得不提起六脈神劍絕技，以無形化有形，瓦解著DDOS 的一次次攻擊。

少商劍—— Syn Flood防御技術(shù) syn cookie/syn proxy類防護技術(shù)：這種技術(shù)對所有的syn 包均主動回應(yīng)，探測發(fā)起syn 包的源IP 地址是否真實存在，如果該IP 地址真實存在，則該IP 會回應(yīng)防護設(shè)備的探測包，從而建立TCP 連接。大多數(shù)的國內(nèi)外抗DDOS 產(chǎn)品均采用此類技術(shù)。

Safereset 技術(shù)：此技術(shù)對所有的syn 包均主動回應(yīng)，探測包特意構(gòu)造錯誤的字段，真實存在的IP 地址會發(fā)送rst 包給防護設(shè)備，然后發(fā)起第2次連接，從而建立TCP 連接。部分國外產(chǎn)品采用了這樣的防護算法。

syn 重傳技術(shù)：該技術(shù)利用了TCP/IP協(xié)議的重傳特性，來自某個源IP 的第一個syn 包到達時被直接丟棄并記錄狀態(tài)，在該源IP 的第2個syn 包到達時進行驗證，然后放行。

Syn Flood防御技術(shù)就好像少商劍一樣，異常剛猛，頗有石破天驚，風(fēng)雨大至之勢，是御敵最常用到的招式。

商陽劍—— UDP Flood防御技術(shù) UDP 協(xié)議與TCP 協(xié)議不同，是無連接狀態(tài)的協(xié)議，并且UDP 應(yīng)用協(xié)議五花八門，差異極大，因此針對UDP Flood的防護非常困難。一般最簡單的方法就是不對外開放UDP 服務(wù)。

如果必須開放UDP 服務(wù)，則可以根據(jù)該服務(wù)業(yè)務(wù)UDP 最大包長設(shè)置UDP 最大包大小以過濾異常流量。還有一種辦法就是建立UDP 連接規(guī)則，要求所有去往該端口的UDP 包，必須首先與TCP 端口建立TCP 連接，然后才能使用UDP 通訊。

難以駕馭是UDP Flood防御技術(shù)的特點，同樣也是商陽劍的特點，雖難以捉摸，不過一旦純熟，效果極佳。

少澤劍—— DNS Flood防御技術(shù) 在UDP Flood的基礎(chǔ)上對 UDP DNS Query Flood 攻擊進行防護，根據(jù)域名 IP 自學(xué)習(xí)結(jié)果主動回應(yīng)，減輕服務(wù)器負載(使用 DNS Cache)。

對突然發(fā)起大量頻度較低的域名解析請求的源 IP 地址進行帶寬限制，在攻擊發(fā)生時降低很少發(fā)起域名解析請求的源IP 地址的優(yōu)先級，限制每個源 IP 地址每秒的域名解析請求次數(shù)。好似少澤劍忽來忽去，變化精微一般，DNS Flood防御技術(shù)也在變化中不斷調(diào)整，以求防御的最佳效果。

少沖劍—— CC防御技術(shù) 對是否HTTP Get的判斷，要統(tǒng)計到達每個服務(wù)器的每秒鐘的GET 請求數(shù)，如果遠遠超過正常值，就要對HTTP 協(xié)議解碼，找出HTTP Get 及其參數(shù)(例如URL 等) 。然后判斷某個GET 請求是來自代理服務(wù)器還是惡意請求，并回應(yīng)一個帶Key 的響應(yīng)要求，請求發(fā)起端作出相應(yīng)的回饋。如果發(fā)起端不響應(yīng)則說明是利用工具發(fā)起的請求，這樣HTTP Get請求就無法到達服務(wù)器，達到防護的效果。頗有少沖劍輕靈迅速，以巧取勝之意。

關(guān)沖劍——限制連接數(shù) 目前市場上的安全產(chǎn)品，包括防火墻、入侵防御、DDOS 防御等產(chǎn)品主要采用限制服務(wù)器主機連接數(shù)手段防御DDOS 攻擊，如關(guān)沖劍一般，看似拙滯古樸，實則為招數(shù)之基本。使用安全產(chǎn)品限制受保護主機的連接數(shù)，即每秒訪問數(shù)量，可以確保受保護主機在網(wǎng)絡(luò)層處理上不超過負荷(不含CC 攻擊) ，雖然用戶訪問時斷時續(xù)，但可以保證受保護主機始終有能力處理數(shù)據(jù)報文。而使用安全產(chǎn)品限制客戶端發(fā)起的連接數(shù)，可以有效降低傀儡機的攻擊效果，即發(fā)起同樣規(guī)模的攻擊則需要更多的傀儡機。

中沖劍——攻擊防御溯本追源技術(shù) 針對CC 攻擊防御的溯本追源技術(shù)是通過對服務(wù)器訪問流量的實時監(jiān)測，可以發(fā)現(xiàn)其在一定范圍內(nèi)波動，此時設(shè)置服務(wù)器低壓閥值，當(dāng)服務(wù)器訪問流量高于低壓閥值時開始記錄并跟蹤訪問源。此外還要設(shè)置一個服務(wù)器高壓閥值，此高壓閥值代表服務(wù)器能夠承受的最大負荷，當(dāng)監(jiān)測到服務(wù)器訪問流量達到或超過高壓閥值時，說明有DOS 或者DDOS 攻擊事件發(fā)生，需要實時阻斷攻擊流量，此時系統(tǒng)將逐一查找受攻擊服務(wù)器的攻擊源列表，檢查每個攻擊源的訪問流量，將突發(fā)大流量的源IP 地址判斷為正在進行DOS 攻擊的攻擊源，將這些攻擊源流量及其連接進行實時阻斷。中沖劍大開大闔，氣勢雄邁， 溯本追源技術(shù)也是在承受攻擊之中，尋找著破綻，一招御敵，氣勢十足。

七種武器各自為戰(zhàn)，六脈神劍集于一身，當(dāng)七種武器遇到六脈神劍，孰勝孰敗已見分曉。

本文轉(zhuǎn)自：紅客聯(lián)盟