DDoS,分布式拒绝服务攻击,Distributed Denial of Service的缩写,亦称洪水攻击。DDoS最早可追溯到1996年,2002年在国内频繁出现,并在2013年迈向成熟。DDoS攻击具体可分成两种 形式——带宽和资源消耗,通过大量合法或伪造请求占用大量网络以及服务器资源,下面我们简单看一下 维基百科上的信息:
1. 带宽消耗型攻击
带宽消耗攻击可以分为两个不同的层次,洪泛攻击或放大攻击。洪泛攻击的特点是利用僵尸程序发送大量流量至受损的受害者系统,目的在于堵塞其带宽。放大攻击也与之类似,通过恶意放大流量限制受害者系统的带宽;其特点是利用僵尸程序发送信息,但是信息却是发送至广播 IP 地址,导致系统子网被广播 IP 地址连接上之后再发送信息至受害系统。
带宽消耗的攻击方式主要包括User Datagram Protocol(UDP)floods、ICMP floods、ping of death以及泪滴攻击。
2. 资源消耗型攻击
资源消耗型攻击主要包括协议分析攻击( SYN flood ,SYN洪水)、LAND attack、CC攻击、僵尸网络攻击和Application level floods(应用程序级洪水攻击),其中骇客们惯用及最爱的无疑就是SYN flood。
SYN Flood是一种非常典型和常见的系统资源消耗型DDoS攻击,是在TCP连接创建的握手阶段,利用客户端与服务器三次交互对服务器侧的TCP资源进行攻击。攻击者通过向被攻击目标服务器发出大量TCP SYN报文,使服务器打开并维持大量的半开连接,进而占满服务器的连接表,影响正常用户与服务器建立会话,造成拒绝服务。
在对DDoS有了大致的了解后,我们看一下DDoS攻击在近年内的发展:
从300到400不到1年
Spamhaus,致力于反垃圾邮件的非盈利组织,维护着一个巨大的垃圾邮件黑名单,这个名单被很多大学/研究机构、互联网提供商、军事机构和商业 公司广泛使用。在2013年3月,Spamhaus赫然把Cyberbunker公司加入了黑名单之内,从而遭到了那个时候史上最大的DDoS攻击——流 量一度超过300Gbps!
然而,这个史上最大攻击记录仅仅保持了不到1年的时间:CloudFlare CEO Matthew Prince在2月10日的Twitter上指出,他们受到了NTP(Network Time Protocol)类型的DDoS攻击,规模大于Spamhaus,约为400Gbps,影响最大的地区在欧洲。比较有意思的是,Spamhaus正是 CloudFlare的客户之一。而在2月13日,CloudFlare公布了这次大规模DDoS攻击背后的技术,详情访问 该公司博客。(ps:更多的NTP原理可访问 NTP反射型DDoS攻击)
孩子们只是为了娱乐
通过 KrebsOnSecurity了 解到,在DDoS服务租赁者中存在大量的年轻人,他们期望通过破坏别人的网站或服务以炫耀自己,而KrebsOnSecurity在这周也受到一位15岁 男孩的攻击,他称自己为“Mr. Booter Master”。而通过KrebsOnSecurity网站选择的安全公司Prolexic Technologies得知,就是这个15岁的孩子发起了一个接近200Gbps的攻击。通过该安全公司还得知,这次攻击仅仅持续了10分钟左右,与其 说是破坏不如说是演习和验证。通过知情人士还得知,攻击者的目的在于通过这种方式向Darkode论坛管理员证明他可以为社区贡献更多:
类似“Mr. Booter Master”这个年龄段的攻击者还有很多,他们通过各种各样的方式证明自己的实力,但是无可否认的是他们的目的只有一个——为了娱乐!
新时代的攻击即服务
云服务的发展为企业减少了基础设施领域的建设成本,同时这也给很多黑客带来了机会。现在已经出现了Attacks-as-a- Service(攻击即服务),这是一种特殊的云服务模式。然而即使表面上看起来很合法,而且具有完整的服务水平协议,不过这些技术支持都是在暗中完成。
去年我们有报到过, 来自中国的一个黑客小组新开了一个叫“IM DDODS”的网站,它就允许任何客户进行注册,并且可以对任何他们希望的目标发起DDoS攻击。同时,根据圈内人士提供的消息,雇佣一名黑客的价格其实 非常便宜,远不及在一家高档餐厅享受一顿丰盛晚餐的价格。一些黑客可以在48小时之内破解电子邮件的密码,收费也只是在150美金到400美金之间。而 IM DDOS则更为慷慨,他们同时还提供了很多“买就送”的免费服务。
200-400Gbps的时代
从 Arbor Networks得知,2013年NTP攻击得到了长足的发展,DDoS攻击已经步入200-400Gbps时代。需要注意的是,这点并不仅限于欧美等国家——2014春节期间,阿里云曾遭遇一场160Gbit/s DDoS攻击,虽然官方公布了这场博弈的结果,但是如果下方回帖网友使用的也是阿里云服务的话,情况似乎并不乐观。同时,不可否认的是,在200-400Gbps DDoS攻击数量级下,国内的防范之路还有很长一段要走。