墨者安全分(fēn)享：DDoS攻擊類型和(hé)緩解手段

随著(zhe)這(zhè)幾年(nián)網絡技(jìΩ )術(shù)的(de)發展，DDoS攻擊規模也(yě)越來(lái)越大(dà)，分(fēn)↓♣γ♥布式拒絕服務(DDoS)攻擊已經進入了(le)1 Tbps的(de)DDoS攻擊時(shí)代。不(bù)斷創新的(de)攻擊方式讓傳統的(de)安≤Ω§全服務商壓力劇(jù)增，也(yě)讓很(hěn)多(duō)年 ¶(nián)輕的(de)互聯網創業(yè)公司被攻擊的(de)毫無還(há→≤ i)手之力，多(duō)少(shǎo)年¥§¥>(nián)輕人(rén)懷著(zhe)創業(≈§♦ yè)夢想，想創造奇迹，想改變行(xíng)¶₽↕業(yè)，可(kě)惜在遭到(dào)DDoS攻擊後，可(k♦≥ε∏ě)能(néng)連生(shēng)存下(xià)去(qù♥©•♣)的(de)機(jī)會(huì)都(dōu)沒有(yǒu)了(le)。因為(♦↑¶γwèi)DDoS防禦成本比較高(gāo)，而且市(shì)場(chǎng)上(shδ¶♠àng)的(de)高(gāo)防服務商魚✔☆÷龍混雜(zá)，如(rú)果對(duì)DDoS不(bù)了(δ•le)解，遇到(dào)那(nà)種垃圾騙子(zǐ)高(gāo)防服務商，活≤↕​‍活把企業(yè)拖死了(le)。今天墨者安全就(jiù)來(lái)說(£♣♥shuō)說(shuō)各種DDoS攻擊類型和(hé)一(yī)些(xiē)緩解手段，以及教大∏♥α₹(dà)家(jiā)如(rú)何分(fēn)辨高(gāo)防服務商的(d☆&e)真假和(hé)水(shuǐ)分(fēn)。

1、SYN Flood攻擊和(hé)防禦方式

這(zhè)裡(lǐ)是(shì)最常見(jiàΩ≈≈n)的(de)一(yī)種DDoS攻擊類型，σφ利用(yòng)TCP三次握手原理(lǐ)，÷≠僞造的(de)IP源，以小(xiǎo)博大(dà)，難以追蹤 ​λ ，堪稱經典的(de)攻擊類型。大(dà)量的♥✘€(de)僞造源的(de)SYN攻擊包進入服務器(qì)後，↓♠'&系統會(huì)産生(shēng)大(dà)量的(de)SYN_RECV®≤> 狀态，最後耗盡系統的(de)SYN Backlog，導緻服÷σ←↔務器(qì)無法處理(lǐ)後續的(de)TCP請(qǐng)÷≈ ✔求，導緻服務器(qì)癱瘓。就(jiù)↓ ↓÷和(hé)下(xià)面的(de)圖片一(yī)γ≤樣，服務器(qì)資源被耗盡，導緻正常用≈‍γ(yòng)戶無法和(hé)服務器(qì)建立連接。

如(rú)何防禦SYN Flood攻擊？

方式1：軟件(jiàn)防火(huǒ)牆和(hé)系統參♣÷∞數(shù)優化(huà) (适用(yòng)于SYN Flood攻€£≤擊流量小(xiǎo)于服務器(qì)接入帶寬，并且服務器(qì)性能(n>Ω♦éng)足夠)

【Windows系統: 可(kě)以修改注冊表來(lái)提高(gāo ¥→<)SYN數(shù)據包的(de)處理(lǐ)能(néng)力】λ≠

進入注冊表的(de)[HKEY_LOCAL_MACHINESYSTEMCurrΩ€€♠entControlSetServicesTcpipParamete>§​rs]項目

1. 啓用(yòng)syn攻擊防護模式 （可(kě)以顯​✘著提高(gāo)Windows的(de)SYN處理₹Ωα↓(lǐ)能(néng)力）

SynAttackProtect=2 [dword]

2. 加大(dà)TCP半開(kāi)連接數(shù)的(de)隊列≤≠↕數(shù)量

TcpMaxHalfOpen=10000 [dword]

3. 啓用(yòng)動态Backlog隊列長(cháng)度

EnableDynamicBacklog=1 [dword]

通(tōng)過修改這(zhè)三處注冊表≥÷<•信息可(kě)以防止一(yī)些(xiē)小(xiǎo)規模并且較為(wèi≤σΩ)簡單的(de)SYN Flood攻擊

方式2: 購(gòu)買專業(yè)的(de)DDoS雲©γ清洗和(hé)雲防禦服務 (适用(yòng)于SYN Flood攻擊★♠ε$流量較大(dà)，強度較高(gāo)的(de)場(chǎng)景)

購(gòu)買專業(yè)的(de)DDoS雲清洗服務之前可(kě)以咨詢一♣₽​(yī)下(xià)服務商采用(yòng)的(de)SYN Flood防±∏γ禦算(suàn)法和(hé)模式，這(zhè)個(gè)γ₽‍非常重要(yào)，SYN Flood防禦算(suàn)法和(hé)模  φ式對(duì)于不(bù)同業(yè)務産生(€♣₩shēng)的(de)影(yǐng)響是(shì)完全↓&εγ不(bù)同的(de)。錯(cuò)誤的(de)S↕∞₩YN Flood防禦算(suàn)法和(hé)模₩↔•式雖然可(kě)以防禦SYN Flood攻擊，但(dàn↓&δ£)是(shì)也(yě)會(huì)導緻業(yè)務☆×δ無法正常訪問(wèn)。常見(jiàn)的(de)SYN Fl↕¥‌ood防禦算(suàn)法有(yǒu):✔✔

• SYN Cookies

• SYN Proxy

• SYN Reset

• SYN SafeGuard☆"

如(rú)果您咨詢的(de)高(gāo)防服務商無法回答(dá)或者不(b∞♣λ≤ù)專業(yè)的(de)話(huà)，基本都(dōu)是(shìδ↔♠↓)代理(lǐ)商和(hé)一(yī)些( ©$xiē)騙子(zǐ)。

2、(ACK RST PSH FIN) Flood攻擊和(hé)防禦方式

ACK Flood / RST Flood / PSH Flood / FIN©  Flood 這(zhè)類攻擊本質上(shàng)不(bπ ♦ù)如(rú)SYN Flood危害那(nà)麽大(dà)，但(dàn)是(s✘φ$hì)也(yě)足夠輕松的(de)導緻服務器(qì)癱瘓₹≈♣。如(rú)下(xià)圖，這(zhè)類☆←↑"攻擊雖然不(bù)會(huì)導緻服務器(qì)系統中 λ€≤出現(xiàn)大(dà)量的(de)S♠"↔YN_RECV，但(dàn)是(shì)會(huì)出現(xiàn)服≠​β務器(qì)向僞造源IP發送大(dà)量的(de)RST報λ<"σ(bào)文(wén)。

如(rú)何防禦(ACK RST PSH FINβπ<) Flood攻擊？

針對(duì)這(zhè)種攻擊，我建議(yì←÷)直接上(shàng)DDoS雲清洗和(hé↕∏)雲防禦服務，沒必要(yào)調整系統，因為(wèi)沒÷↑÷什(shén)麽意義。

3、UDP Flood攻擊和(hé)防禦方式

UDP Flood攻擊目前來(lái)說(shuō)越來(lái)越普&α遍，得(de)益于各種軟件(jiàn)設計(jì)缺•σ←陷和(hé)UDP協議(yì)的(de)™&•無連接特性，這(zhè)讓UDP Flood攻擊非常容易發起，并&λλ♦且可(kě)以得(de)到(dào)數(s ₹hù)十倍數(shù)千倍的(de)攻擊放(fàng)大(dà"©)，下(xià)圖可(kě)以讓大(dà)家(jiā∏♠÷)了(le)解到(dào)UDP放(fàng)大(dà)↕π$‌攻擊的(de)原理(lǐ)。由于網站(zhàn)業(yè)務是(shì)λΩ§∞用(yòng)不(bù)到(dào)UDP協議(yì)的(de "δ)，所以UDP Flood攻擊主要(yào)是(shì)針對(d©​β÷uì)遊戲或者視(shì)頻(pín)直播業(yè)務的(de)。

如(rú)何防禦UDP Flood攻擊？

如(rú)果遇到(dào)UDP攻擊，隻能(‍'néng)找一(yī)家(jiā)非常專業(yè)的(de₽→)DDoS雲清洗服務商給你(nǐ)做(zuò)保護了(le)，大£☆✘(dà)部分(fēn)DDoS雲清洗和(hé)雲防禦服務商都(dō♦®​u)是(shì)買的(de)硬件(jiàn)防火(huǒ)φ&牆，沒有(yǒu)實質性的(de)研發能(néng)力和(hé>∑ε★)技(jì)術(shù)實力來(lái)驅動這(zhè)種端雲聯動的(dα¥e)防禦算(suàn)法。隻有(yǒu)真正擁有(yǒu)完全自(zì)•'研DDoS防禦算(suàn)法能(néng)力的(de)服務商才β♠☆可(kě)以做(zuò)到(dào)這(zhè)點。

4、DNS Query攻擊和(hé)防禦方式♠ ©¶

DNS Query攻擊是(shì)小(xiǎo)編從(cóλλ™↑ng)業(yè)10多(duō)年(nián)來(lái☆±)，最具備威脅的(de)攻擊方式，普遍存在于棋牌遊戲，私服，±✔<©菠菜，AV等暴利，競争不(bù)是(shì)你(nǐ)死就(jiù)₽÷‌是(shì)我活的(de)行(xíng)業(yè)。這(zhè)種攻擊最大(d€✘'∑à)的(de)威脅便是(shì)，通(tōng)過随機(jī)構造并查詢被攻擊βσβδ域名的(de)二級域名，繞過遞歸DNS服務¥"器(qì)的(de)解析記錄緩存，各地(dì)區(qū)ש地(dì)市(shì)的(de)遞歸DNS服務器(qì)向權威DNS服  ¶務器(qì)發起大(dà)量的(de)DNS查詢請(qǐnσ<g)求，如(rú)果被攻擊域名所在的(de)ε↑Ω權威DNS服務器(qì)性能(néng)和(hé)帶寬無法×✘支撐查詢所需要(yào)的(de)帶寬，×™那(nà)麽就(jiù)會(huì)直接癱瘓，并λ<£影(yǐng)響這(zhè)個(gè)權威DNS服務器(qì)上<‌×♥(shàng)的(de)其他(tā)域名。攻擊的(de←→™)原理(lǐ)示意圖如(rú)下(xià)：

如(rú)何防禦DNS Query攻擊？

防禦這(zhè)種DNS Query攻擊，不(bù)但(✘∑dàn)難度極大(dà)，而且成本極高(gāo)，并且® ε¶還(hái)不(bù)一(yī)定是(shì)100%防禦。尤其&£↑是(shì)遞歸DNS服務器(qì)壓力過大(dà)的(de)時←₽(shí)候，運營商可(kě)以直接封禁被攻≈§擊的(de)域名，所以隻能(néng)找&π​€專業(yè)的(de)DNS服務商和(hé)運營商配合來(lái)做(zu$¶×ò)，否則都(dōu)是(shì)無效的(de)，費(fèi)用 ↑(yòng)也(yě)是(shì)非常貴的(de★¶φ≤)。

5、HTTP Flood攻擊(CC攻擊)和(hé)防禦方γ✔×式

HTTP Flood攻擊和(hé)SYN Flood攻擊一(yī)樣≠♠<非常棘手，但(dàn)是(shì)也(yě)非常經典，攻擊效果非常顯著，而₹™Ω✔防禦難度卻比SYN Flood攻擊高(gāo)出幾個(gè)數(shù)量級$£∞！同時(shí)攻擊軟件(jiàn)也(yě)日(rì)新月(yuè₽≤£)異，各種攻擊模式，很(hěn)大(dà)一(yī)部分(fē♠↓n)的(de)攻擊軟件(jiàn)甚至都(dōu)可(kě)以完"∑ 全模拟用(yòng)戶行(xíng)為(wèi)，真真假假很₽≥←(hěn)難分(fēn)辨。

如(rú)何防禦HTTP Flood攻擊(CC攻擊)？

如(rú)果攻擊規模不(bù)大(dà)的(de)，可(kě)以考¥☆慮将被攻擊的(de)頁面靜(jìng)态化(huà)，避開(kāi)數("‌♠★shù)據庫查詢，和(hé)動态語言。

如(rú)果攻擊規模巨大(dà)，每秒(miǎo)QPSΩ£÷☆高(gāo)達數(shù)萬以上(shàng)的(de)CC攻擊，£≥有(yǒu)兩種辦法。

方法1: 購(gòu)買大(dà)量的(de)服務器(q↔σì)和(hé)帶寬，以及專業(yè)的(de)硬件(jiàn)負載均衡設備做₽≠(zuò)負載均衡，将WEB服務器(qì)λ∏"®和(hé)數(shù)據庫服務器(qì)做≥φ•(zuò)成集群和(hé)高(gāo)可(kě)用(yòng)架構β≤→↕，這(zhè)樣可(kě)以極大(dà)的(de)提高♦≈(gāo)CC攻擊的(de)防禦能(néng)力。但(dàn)是(shì) ±₩這(zhè)個(gè)成本可(kě)能(néng)會(huì)很(hěn <)高(gāo)。

方法2: 購(gòu)買專業(yè)的(de)DDoS雲清洗和(hé÷σ₹↑)雲防禦服務商的(de)服務，專業(yè)的(de​₩€™)事(shì)情交給專業(yè)的(de)人(rén✔∑)去(qù)做(zuò)。友(yǒu)情提示一(yī)下(xià)>§∑•，CC攻擊防禦難度很(hěn)高(gāo)，建議(yì) ​←§讓防禦服務商免費(fèi)提供1-3天的(de)防禦試用(yòng♦¥)（墨者安全就(jiù)有(yǒu)提供免費(fèi)試用(×λyòng)哦），如(rú)果三天期間(jiān)防§♦₩∑禦效果不(bù)滿意可(kě)以換一(yī)家(jiā)，而不(bù)至于¶δ™被騙。

6、慢(màn)請(qǐng)求攻擊和(hé)防禦方式

慢(màn)請(qǐng)求攻擊是(shì)這 ✘(zhè)幾年(nián)新興的(de)攻擊方式±÷→，通(tōng)過大(dà)量的(de)肉雞§®發起大(dà)量的(de)請(qǐng)求，每個(gè)肉雞每秒(miǎo)隻♥→​請(qǐng)求1次，大(dà)量肉雞會(huì)導緻服務器(qì)€λ遭受大(dà)量的(de)攻擊請(qǐng)求，但(dàn)每個γ&(gè)源IP看(kàn)著(zhe)卻沒有(yǒσ×™∏u)異常行(xíng)為(wèi)。慢(màn)請(qǐng)©↔§→求攻擊示意圖:

如(rú)何防禦慢(màn)請(qǐng)求攻擊？

方案1：主要(yào)是(shì)擴展後端業(yè)‍<♣ 務服務器(qì)規模來(lái)死扛這(zhè)種攻擊， •§✔成本極高(gāo)，但(dàn)是(shì)能(n≈₹αéng)解決。

方案2：尋找專業(yè)的(de)雲安全服務​←提供商，解決這(zhè)種攻擊。

7、脈沖型DDoS攻擊和(hé)防禦方式

脈沖型的(de)攻擊可(kě)以在短(duǎn)時(shí​✘β)間(jiān)內(nèi)發起多(duō)次DDoS攻擊，并且快(ku×φδ∞ài)速停止，快(kuài)速打擊，這(zhè)對(duì)®≈∑于很(hěn)多(duō)雲安全防禦服務商來(lái)↑‌​說(shuō)就(jiù)是(shì)噩夢。脈沖波¥β型DDoS相(xiàng)對(duì)難以防禦，因為(wèi)其攻擊方式避開(≠←↑δkāi)了(le)觸發自(zì)動化(huà>≈)的(de)防禦機(jī)制(zhì)。在“脈沖波&rd&÷quo;持續過程中，被攻擊者的(de)網絡陷入了(l₽×e)癱瘓，而當網絡恢複時(shí)，又(yòu)發起新一(yī)波脈✔®>↓沖攻擊，甚至能(néng)發起更多(duō)同步攻擊，讓被攻擊者♠&✔α防不(bù)勝防。

如(rú)何防禦脈沖型DDoS攻擊？

脈沖型DDoS攻擊防禦難度極高(gāo)，隻需要(yào)100G-200Gδφ的(de)攻擊流量即可(kě)癱瘓T級别的(de)防禦，對( &₽₽duì)于DDoS清洗設備的(de)壓力和(hé)可(kě)λ₩£靠性要(yào)求巨大(dà)。沒辦法自(zì¶Ω)己解決，隻能(néng)依靠專業(yè)的(de)雲安全服務商解決，并₩φΩ且是(shì)有(yǒu)足夠強大(dà)的(de)研發能(néng)力和(♣γπ™hé)技(jì)術(shù)支撐能(néng)力€‌​的(de)。

8、混合矢量(Multi-Vector)攻擊和(hé)防禦方∑ ↕式

也(yě)叫做(zuò)混合DDoS攻擊，這(zhè)種D±Ω DoS攻擊通(tōng)常隻存在于利潤巨大(dà)，競争巨大αβΩ$(dà)，并且有(yǒu)著(zhe)血海(hǎi)深仇對(duì)手的(de¥★✘)攻擊。這(zhè)種攻擊通(tōng)常會(huì)利用(yòn÷ ‍ g)所有(yǒu)可(kě)利用(yòng)的≠™(de)攻擊方式來(lái)攻擊目标，初期的(de)目的(dλ∞‍e)是(shì)讓DDoS硬件(jiàn)防火(huǒ)牆處理Ω₹‍≈(lǐ)不(bù)過來(lái)，當你(nǐ)的(de)防禦算(suàn)法無 >₽≈法精細的(de)過濾掉這(zhè)些(xiē)惡意流量時(€δshí)，但(dàn)凡漏了(le)一(yī)點點攻擊流量←☆αλ進入後端服務器(qì)，那(nà)就(jiù)是(shì)​₹災難性的(de)。