1.1 什么是DDoS攻擊

1.1.1 DDoS攻擊的定義

DDoS的前身是DoS（Denial of Service，拒絕服務），最基本的DoS攻擊是指攻擊者利用大量合理的服務請求來占用過多的攻擊目標的服務資源，從而使合法用戶無法得到服務響應的過程。DoS 攻擊一般采用一對一的方式，當攻擊目標各項性能指標不高時（例如 CPU 速度低、內存小或者網絡帶寬小等），它的效果是明顯的，如圖1-1所示。

隨著計算機處理能力的不斷提高，網絡帶寬迅速增長，以往的受攻擊目標對這些惡意請求的“消化能力”增強了很多，這就使得Dos攻擊的困難程度大大增加。一個攻擊者無法使目標“拒絕服務”，那么攻擊者會同時發起多個攻擊，這時 DDoS（Distributed Denial of Service，分布式拒絕服務）攻擊也就應運而生了。DDoS攻擊是指攻擊者控制僵尸網絡中的大量僵尸主機向攻擊目標發送大流量數據，耗盡攻擊目標的系統資源，導致其無法正常地響應服務請求。

1.1.2 DDoS攻擊的特點

1.DDoS攻擊很容易被發起

DDoS攻擊的發起很容易，攻擊者可以很方便地從互聯網獲取各類DDoS攻擊工具，從而發起攻擊。比較出名的發起DDoS的免費工具有盧瓦（LOIC）、HOIC（LOIC升級版）、XOIC、Hulk、DAVOSET、黃金眼等。DDoS攻擊者還可以購買僵尸網絡或者DDoS攻擊服務，有的攻擊者甚至可以借助正常的軟件或網站發起攻擊。

2.DDoS攻擊防御難度大

DDoS 攻擊防御難度大，攻擊會損害受害者的金錢、服務和信譽。報告顯示，65%以上的DDoS攻擊每小時給受害企業造成的損失高達一萬美元。例如2016年10月，針對美國DNS服務提供商Dyn公司的一系列DDoS攻擊導致Twitter、GitHub、BBC、華爾街日報、Xbox官網、CNN、HBO Now、星巴克、紐約時報、The Verge、金融時報等大量站點無法正常訪問，造成的損失不可估量。

1.1.3 DDoS攻擊的分類

DDoS 攻擊根據攻擊方式劃分有以下三種類型：泛洪攻擊（Flood）、畸形報文攻擊（Malformation）和掃描探測類攻擊（Scan&Probe）。

1．泛洪攻擊

泛洪攻擊是一種攻擊者通過僵尸網絡、代理或直接向攻擊目標發送大量偽裝的服務請求報文，最終耗盡攻擊目標的資源的攻擊方式，如圖1-2所示。攻擊者發送的大量報文可以是TCP的SYN和ACK報文、UDP報文、ICMP報文、DNS報文、HTTP/HTTPS報文等。

近年來，泛洪攻擊又發展出了一種高級形式，即反射攻擊。反射攻擊并不是攻擊者直接向攻擊目標發起大量的服務請求，而是攻擊者控制僵尸網絡中的海量僵尸主機，將其偽裝成攻擊目標，然后這些僵尸主機以攻擊目標的身份向網絡中的服務器發起大量服務請求。網絡中的服務器會響應大量的服務請求，并發送大量的應答報文給真正的攻擊目標，從而造成真正的攻擊目標性能耗盡。

反射攻擊大多是由UDP flood變種而來的，它反射的是UDP報文，例如NTP、DNS、SSDP、SMTP、Chargen 等。攻擊者為什么會選中 UDP 報文呢？因為 UDP 的響應（Response）報文大小要大于請求（Request）報文，這樣攻擊者就實現了放大攻擊流量的目的。

以NTP報文為例，NTP的Monlist命令被用來查詢最近所有和服務器通信的記錄，服務器會返回最多600個通信記錄，這樣流量就被放大了數百倍。如果攻擊者控制成千上萬的僵尸主機，并將其偽裝成攻擊目標，并向NTP服務器發送大量此命令，那么反射給攻擊目標的流量數量可想而知！

2．畸形報文攻擊

畸形或特殊報文攻擊通常是指攻擊者發送大量有缺陷或具有特殊控制作用的報文，從而造成主機或服務器在處理這類報文時造成系統崩潰的過程。常見的畸形報文攻擊有Smurf、Land、Fraggle、Teardrop、WinNuke攻擊等。特殊控制報文攻擊包括超大ICMP報文、ICMP重定向報文、ICMP不可達報文和各種帶選項的IP報文攻擊。

3．掃描探測類攻擊

掃描探測類攻擊是一種潛在的攻擊行為，并不具備直接的破壞行為。它通常是指攻擊者發動真正攻擊前的網絡探測行為，例如IP地址掃描和端口掃描等。

DDoS攻擊從網絡層次的劃分見表1-1。

1.1.4 DDoS攻擊分析

1.DDoS攻擊類型

通過以上描述，大家應該對DDoS攻擊有了初步的了解。下面我們再為大家分析一下當前DDoS攻擊的趨勢，讓大家對我們當今所處的網絡環境中的DDoS攻擊有一個初步的認識。

如圖1-3所示，華為未然實驗室現網絡攻擊事件統計數據顯示，SYN flood、UDP flood（包括UDP類反射放大攻擊）、HTTP get flood、DNS query flood等依然是DDoS攻擊的慣用手段。

（1）SYN flood

SYN flood攻擊是DDoS攻擊中的經典方式，也是最古老和原始的DDoS攻擊方式。在網絡發展初期，SYN flood攻擊就是DDoS攻擊的代名詞。SYN flood攻擊具有攻擊簡單、防御難的特質。SYN flood攻擊使用的是最簡單、最常用的、被用于TCP三次握手的SYN報文，所以其發起攻擊十分簡單；而且，SYN報文是TCP連接建立的第一個報文。單獨來看，每一個SYN報文都是正常的，防御設備不會對其采取任何措施。

（2）UDP flood

UDP flood攻擊目前已經取代SYN flood攻擊，成為DDoS攻擊中的主要方式。具體原因如下：第一，UDP 都是無連接的協議，不提供可靠性和完整性校驗，因此其成為攻擊者理想的利用對象；第二，UDP 種類繁多，防御起來難度更大；第三，傳統 UDP 攻擊是攻防者之間關于帶寬的比拼，而反射型的 UDP 攻擊讓攻防者不再對等，因為反射出來的攻擊流量要遠遠大于攻擊者投入的流量。

（3）HTTP flood

HTTP flood攻擊迅速發展的原因如下：第一，HTTP的應用十分廣泛；第二，網頁和應用中的漏洞比較容易被攻擊者利用構造HTTP反射類的攻擊。例如，攻擊者在海量訪問的網頁中嵌入指向攻擊目標網站的惡意 JavaScript 代碼，當互聯網用戶訪問該網頁時，流量會被反射到攻擊目標網站。

（4）DNS flood

DNS flood攻擊DNS服務器的代價小，影響范圍廣，能夠造成恐慌，因此此類攻擊仍占有較大比例。

2.DDoS攻擊目標

DDoS 的攻擊目標主要為游戲、電子商務、互聯網金融等，如圖1-4所示。這些都是利潤較高的行業，且是競爭最激烈的行業。因此惡意競爭是目前DDoS攻擊的主要動機。利潤越高、競爭越激烈的行業，遭受攻擊的頻率越高。

游戲行業作為近幾年興起的新興行業，已經成為 DDoS 攻擊的“重災區”。游戲行業也是競爭最激烈的行業之一，在線游戲和直播網站一旦被攻擊，玩家將直接掉線，由此帶來的損失非常大。游戲行業用戶基數大、用戶類型多、在線維護難度大的特點，也使其極易受到DDoS攻擊。另外，由于很多游戲是基于私有協議開發的，傳統的DDoS防御手段在沒有貼合業務特性的情況下，防御DDoS攻擊較難。

3.DDoS攻擊的趨勢

DDoS攻擊的趨勢總結起來主要有4點，如圖1-5所示。

（1）攻擊流量越來越大

DDoS的攻擊流量已達500Gbit/s。2016年全球有記錄的DDoS峰值已近60Gbit/s，而到了2017年上半年，規模最大的DDoS攻擊流量則已達到650Gbit/s。其中，游戲行業大于30Gbit/s以上的攻擊就超過了1800次。

（2）移動攻擊越來越多

隨著智能終端和4G 移動網絡的普及，來自移動端的攻擊越來越多。移動終端的安全防護能力和用戶安全意識較弱，容易成為DDoS攻擊利用的對象。值得一提的是，隨著物聯網的興起，基于物聯網協議的SSDP（Simple Service Discovery Protocol）的反射攻擊頻率越來越高，明顯超越NTP、DNS等傳統反射攻擊。SSDP被廣泛應用于網絡攝像頭和智能家電，因此SSDP反射攻擊源數量非常龐大，而且網絡資源更加豐富。

（3）應用型攻擊越來越普遍

應用層的攻擊將會越來越普遍。報告顯示，2017年與2016年相比，應用型攻擊增長了42%。其中HTTP flood攻擊增長高達26%，混合型攻擊增長高達40%。

混合型攻擊是指攻擊者同時采取多種類型的攻擊報文來進行DDoS攻擊，例如，傳輸層與應用層相結合的DDoS攻擊，應用層的HTTP flood大流量攻擊與HTTP慢速小流量滲透攻擊相結合的攻擊。混合型DDoS攻擊讓普通的DDoS防御設備難以防范，或將成為今后主流的DDoS攻擊方式。

（4）攻擊更多是從數據中心發起的

報告顯示，由數據中心向外發起的DDoS攻擊呈增長趨勢；數據中心服務器被黑客控制淪為僵尸網絡的趨勢也與日劇增；超大流量的DDoS攻擊多數由被控制的數據中心發起。由此可見，數據中心已經成為DDoS攻擊的控制目標。

隨著云計算的快速發展，互聯網業務越來越集中，云數據中心將面臨比傳統數據中心更加嚴峻的DDoS攻擊考驗。主要原因在于：云數據中心虛擬機的租戶身份難以被有效識別，且其安全意識薄弱；虛擬機數量龐大、業務種類多、流量模型差別大，難以得到完全的、具有針對性的防護。