一文摸透DDoS攻击所有概念，值得收藏

　　内容来源华为论坛-华安，
　　前几篇我们从历史上著名DDoS案例出发，谈古论今，学习了各类经典DDoS攻击的攻防原理。
　　可是有的初学者留言给我说：＂华安，华安，DDoS案例很有趣，但是理解原理貌似需要一定的技术基础啊。我刚接触安全，看起来有些吃力呢。＂
　　别急，华安这就为大家奉上一篇讲解DDoS概念的技术普及帖。关于DDoS基本概念，看这一篇就够了~ 到底什么是DDoS攻击
　　DDoS是Distributed Denial of Service的简称，中文是分布式拒绝服务。这有点拗口吧？这样，我们先理解下DDoS的前身DoS（Denial of Service），即拒绝服务。最基本的DoS攻击就是攻击者利用大量合理的服务请求来占用攻击目标过多的服务资源，从而使合法用户无法得到服务的响应。DoS攻击一般是采用一对一方式的，当攻击目标各项性能指标不高时（例如CPU速度低、内存小或者网络带宽小等等），它的效果是明显的。
　　随着计算机与网络技术的发展，计算机的处理能力与网络带宽迅速增长。这使得DoS攻击的困难程度大大增加了，因为攻击目标对这些恶意服务请求的＂消化能力＂加强了很多。既然一个攻击者无法使目标＂拒绝服务＂，那么就需要多个攻击者同时发起分布式攻击了，这时DDoS攻击也就应运而生了。DDoS攻击是指攻击者控制僵尸网络中的大量僵尸主机（肉鸡）向攻击目标发送大流量数据，耗尽攻击目标的系统资源，导致其无法响应正常的服务请求。
　　如果大家觉得以上描述很深奥，那么我来换一种易懂的说法。小时候，我们都听说过餐厅很难开，因为需要＂白道黑道都有关系＂。如果一家餐厅希望他的竞争对手无法正常营业，他们会采取什么手段呢？（纯属虚构，请勿模仿）首先他会雇佣一个恶霸，恶霸会找来一群小混混，让他们扮作普通客户一直占用对手餐厅的座位赖着不走，这样真正的客户就无法就餐了；或者让混混们总是和对手餐厅的服务员闲扯，让服务员不能正常服务客户；也可以为对手餐厅的老板提供虚假信息，让他们上上下下忙成一团之后却发现是一场空，却最终忽略了真正的客户。恩，这里的恶霸就是攻击者，小混混就是傀儡主机，对方餐厅就是攻击目标，采取的种种手段就是DDoS攻击，最终的结果是对方餐厅损失惨重，甚至关门大吉。
　　DDoS攻击两大特点
　　DDoS发起攻击容易，攻击者很容易从互联网获取各类DDoS攻击工具，从而发起攻击。
　　比较出名的免费工具有卢瓦（LOIC）、HOIC（LOIC升级版）、XOIC、Hulk、DAVOSET、黄金眼等。而且更绝妙的是，DDoS攻击者往往可以借助正常的普通软件或网站发起攻击，例如历史上著名的＂暴风影音＂事件和＂搜狐视频＂事件。
　　DDoS攻击受害者防御难度大，攻击会损害受害者的金钱、服务和信誉。报告显示，65%以上的DDoS攻击每小时给受害企业造成的损失高达一万美金。例如最近针对美国DNS服务提供商Dyn公司的一波DDoS攻击导致Twitter、GitHub、BBC、华尔街日报、Xbox官网、CNN、HBO Now、星巴克、纽约时报、The Verge、金融时报等大量站点无法正常访问。如下图所示，这几乎就是半个美国的互联网都瘫痪了啊，那损失可不止每小时数万美金，简直是无法估量！
　　DDoS攻击三大动机
　　一切事物出现都有其动机。欲破解DDoS攻击，必先了解其动机。政治分歧、恶意竞争、敲诈勒索、经济犯罪是DDoS攻击的主要动机。 政治动机型 攻击惯于采用大规模网络攻击，攻击目标一般是银行和政府网站或者DNS服务器，影响范围大，容易引起民众大范围恐慌，堪称网络攻击的＂核武器＂。
　　例如＂土耳其攻击事件＂, 著名黑客组织匿名者发布视频向土耳其宣战谴责其支持某极端组织，由此引发针对土耳其DNS根服务器的大规模网络攻击，导致土耳其400,000个网站离线。 恶意竞争、敲诈勒索 则属于对特定业务系统的精准打击，攻击行为越来越像＂特种部队＂。
　　例如＂网游大战＂事件，电竞选手PhantomL0rd为了保住自己的＂王＂位，采用了恶意竞争手段。他勾结黑客组织DERP Trolling，每当自己游戏即将失败时，便召唤DERP Trolling使用DDoS攻击攻瘫游戏服务器，导致游戏异常终端。英雄联盟、EA官网、暴雪战网、DOTA2官网、企鹅俱乐部等等知名游戏网站都因遭到DDoS攻击而瘫痪。这真是赤裸裸地＂打不过就拔网线啊！＂ 经济犯罪 则大多属于声东击西式的＂烟雾弹＂，以大流量攻击转移安全人员的注意力，掩盖其数据窃取的真实目的。当前比较流行的做法是黑客通过大流量DDoS攻击吸引注意力，掩护潜伏的APT攻击完成最后的数据窃取。
　　DDoS攻击分类
　　知己知彼，百战不殆。在前几篇技术帖中，我们已经学习了几种经典DDoS攻击。在这里我们再来系统总结下DDoS攻击的种类。
　　DDoS攻击按攻击方式划分有：泛洪攻击(Flood)、畸形报文攻击(Malformation)、扫描探测类攻击(Scan&Probe)。 泛洪攻击 ，也叫Flood攻击，是指攻击者通过僵尸网络、代理或直接向攻击目标发送大量的伪装的请求服务报文，最终耗尽攻击目标的资源。发送的大量报文可以是TCP的SYN和ACK报文、UDP报文、ICMP报文、DNS报文、HTTP/HTTPS报文等。
　　近年来，泛洪攻击又发展出了一种高级形式，我们称之为反射攻击。顾名思义，反射攻击并不是直接向攻击目标发起大量服务请求，而是攻击者控制僵尸网络中的海量僵尸主机伪装成攻击目标，都以攻击目标的身份向网络中的服务器发起大量服务请求。网络中的服务器会响应这些大量的服务请求，并发送大量的应答报文给攻击目标，从而造成攻击目标性能耗尽。反射攻击大多是由UDP Flood变种而来，反射的是UDP报文，例如NTP、DNS、SSDP、SMTP、Chargen等。为什么选中UDP呢？因为UDP的响应（Reponse）报文大小要大于请求（request）报文，这样攻击者就实现了对攻击流量的放大。
　　以NTP报文为例，NTP的Monlist命令用来查询主机最近所有和服务器通信的记录，服务器会返回最多600个通信记录，这样流量就被放大了数百倍。如果攻击者控制成千上万的傀儡机伪装成攻击目标大量发送此命令给NTP服务器，那么反射给攻击目标的流量可想而知！畸形或特殊报文攻击 通常指攻击者发送大量有缺陷或特殊控制作用的报文，从而造成主机或服务器在处理这类报文时系统崩溃。畸形报文攻击例如Smurf、Land、Fraggle、Teardrop、WinNuke攻击等。特殊控制报文攻击包括超大ICMP报文、ICMP重定向报文、ICMP不可达报文和各种带选项的IP报文攻击。扫描探测类攻击 是一种潜在的攻击行为，并不具备直接的破坏行为，通常是攻击者发动真正攻击前的网络探测行为，例如IP地址扫描和端口扫描等。
　　DDoS攻击按TCP/IP协议分层划分有：网络层攻击、传输层攻击、应用层攻击。具体如下：
　　分层DDoS攻击 网络层IP地址扫描攻击、大部分特殊控制报文攻击、Teardrop攻击、Smurf攻击、IP分片报文攻击、ICMP Flood攻击传输层SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood、TCP连接耗尽攻击、UDP Flood（包括各种反射攻击）、TCP/UDP分片报文攻击、DNS Flood、DNS缓存投毒、其余各种与TCP、UDP报文和端口相关的攻击 应用层HTTP Flood、HTTP慢速攻击、HTTPS Flood、SSL DDoS攻击、SIP FloodDDoS攻击天下大势
　　通过以上描述，大家应该对DDoS攻击有了初步的了解。下面华安再为大家分析下当前DDoS攻击的＂天下大势＂，让大家对我们当今所处网络环境的DDoS攻击有一个初步的认识。
　　根据华为未然实验室现网攻击事件统计数据显示，SYN Flood、UDP Flood（包括UDP类反射放大攻击）、HTTP Get Flood、DNS Query Flood依然是DDoS攻击的惯用手段。
　　下面我就来一一点评下榜单上这些＂大佬＂们的上榜原因。 SYN Flood：SYN Flood是DDoS攻击经典中的经典，是最古老和原始的DDoS攻击。在网络发展初期，SYN Flood攻击简直就是DDoS攻击的代名词。SYN Flood之所以经久不衰，是因为他完全秉承了DDoS攻击的攻击简单、防御难的特质。SYN Flood攻击使用的是最简单和常用的用于TCP三次握手的SYN报文，所以他发起攻击十分简单；而且由于SYN报文是正常报文，所以对于单个报文来看防御设备是不会采取任何措施的。 UDP Flood：UDP Flood已经取代SYN Flood攻击，成为DDoS攻击中的＂一哥＂。其＂成功＂的原因主要有三点，一是UDP协议都是无连接的协议，不提供可靠性和完整性校验，这就成为了攻击者理想的利用对象；二是UDP协议种类繁多，五花八门，防御起来难度更大；三也是彻底改变格局的是反射攻击的流行。传统UDP攻击是攻防者带宽的比拼，谁的带宽大谁赢得胜利，而反射型的UDP攻击让攻防者不再对等，因为反射出来的攻击流量要远远大于攻击者投入的流量。 HTTP Flood：除了两大传统巨头SYN Flood和UDP Flood外，DDoS攻击榜探花的位置一直是竞争激烈的。HTTP Flood之所以能够脱颖而出，一是因为HTTP协议应用实在是太广泛了，他在我们的工作生活中无处不在。二是网页和应用中的漏洞比较容易被攻击者利用来构造HTTP反射类的攻击。例如在海量访问的网页嵌入指向攻击目标网站的恶意javaScript代码，当互联网用户访问该网页时，则流量被反射到攻击目标网站。 DNS Flood：攻击DNS服务器的代价小，影响范围广，能够造成恐慌，因此DNS Flood攻击类型仍占有较大比例，是政治动机型DDoS攻击的首选。
　　再从DDoS攻击目标来看，攻击目标主要为游戏、电子商务、互联网金融、博彩等。大家可以看出这些都是暴利行业啊，游戏直播，电商购物，P2P理财，足彩体彩都是当今利润最高，竞争最激烈的行业。因此恶意竞争是目前DDoS攻击的主要动机，利润越高、竞争越激烈的行业，遭受攻击的频率越高。
　　游戏行业作为近几年兴起的新兴行业，已经成为了DDoS攻击的重灾区。游戏竞争行业也是竞争最激烈的行业之一，在线游戏和直播网站，一旦被攻击，将直接造成玩家掉线，这个损失巨大到可能让游戏企业直接面临死亡。而且游戏行业用户基数大、用户类型多、在线维护难度大的特点，也使得游戏行业成为极易受到攻击的目标行业。另外，由于很多游戏基于私有协议开发，传统DDoS防御手段在没有贴合业务特性的情况下，防御DDoS攻击常常面临较大困难。
　　最后，华安再来预测下DDoS攻击的趋势。总结起来主要有4点，如下图所示。当然，每个人心中都有一个哈姆雷特，欢迎大家来共同探讨DDoS攻击的趋势。
　　攻击流量越来越大
　　当人们还在津津乐道2014年12月份阿里云遭受的史上最强DDoS攻击流量达到453Gb/s时，DDoS的攻击流量已经悄然进入500G时代。据报告显示，2016年上半年，规模最大的DDoS攻击流量已经达到579Gb/s。流量超过100Gb/s的DDoS攻击274起，流量超过200Gb/s的DDoS攻击46起。
　　另外，根据预测，2016年底DDoS平均攻击流量将会达到1.15Gb/s。不要小看这个数据，其实，11 Gb/s的DDoS攻击足以使大多数网络组织完全离线。 移动攻击越来越多
　　随着智能终端和4G移动网络的普及，来自移动端的攻击越来越多。移动终端的安全防护能力和用户安全意识较弱，容易成为DDoS攻击利用的对象。值得一提的是随着物联网的兴起，基于物联网协议SSDP（Simple Service Discovery Protocol）的反射攻击频率越来越多，明显超越NTP、DNS等传统反射攻击，成为反射攻击新宠。SSDP协议广泛应用于网络摄像头和智能家电，因此SSDP反射攻击源数量非常庞大，而且网络资源更加丰富。 应用型攻击越来越普遍
　　应用层的攻击将会越来越普遍。据报告显示，2015与2014相比，应用型攻击增长了42%。其中HTTP Flood攻击高达26%，混合型攻击高达40%。
　　混合型攻击是指攻击者同时采取多种类型的攻击报文来进行DDoS攻击，例如传输层与应用层相结合的DDoS攻击，应用层的HTTP Flood大流量攻击与HTTP慢速小流量渗透攻击相结合。混合型DDoS攻击刚柔相继，长短结合，让普通的DDoS防御设备难以防范，将成为今后主流的DDoS攻击。 更多从数据中心发起的攻击
　　据报告显示，由数据中心向外发起的DDoS攻击呈增长趋势；数据中心服务器被黑客控制沦为僵尸网络的趋势也与日剧增；超大流量的DDoS攻击多数由数据中心发起。由此可见数据中心已经成为DDoS攻击的温床。
　　同时随着云计算的快速发展，互联网业务越来越集中化，云数据中心将面临比传统数据中心更加严峻的DDoS攻击考验。主要原因在于云数据中心虚拟机的租户身份难以有效识别、安全意识薄弱；虚拟机数量庞大，业务种类多，流量模型差别大，难以做到针对性的防护。
　　相信大家在看完这篇帖子后会对DDoS攻击的概念和大势有了详细的认识，那么下篇我们就来重点分析下华为Anti-DDoS方案如何应对当今汹涌的DDoS攻击。敬请期待~
　　PS：抛出一个小问题，谈谈你对DDoS攻击现状和趋势的认识？