DDoS攻击及防御

这里写自定义目录标题

• DDoS攻击的定义是什么？

  • DDoS的主要手段有哪些？
  • ICMP Flooding行为：通过超时超时消息向目标发送大量数据包导致目标服务器长时间无法响应请求。
  • UDP Flooding行为：向目标发送大量无序的UDP数据包。
  • NTP Flooding行为：向目标发送大量同步协议（NTP）的数据包。
  • SYN Flooding攻击：向目标发送大量SYN扩展包。
  • CC flooding（CC型DDoS攻击）：通过控制平面交换机接口向网络内发送大量控制平面数据包。
  • DNS Query flooding（DNS查询型DDoS攻击）：通过发送大量的DNS查询请求干扰DNS服务器正常运行。
  • 混合型DDoS攻击：多种DDoS手段结合使用以达到更大的破坏效果。
  • 如何应对 DDoS 攻击
  • • 高防服务器
    • 黑名单
    • DDoS 清洗
    • CDN 加速

什么是DDoS攻击

DDoS 事件别称为 Distributed Denial of Service（缩写DDoS），其中文名称为分布式拒绝服务。通常指攻击者通过‘肉鸡’身份向目标网站短时间内发送大量请求数量。这种行为会导致目标服务器系统遭受严重损害，并广泛应用于相关产业领域中在线游戏和互联网金融等领域的分布较为广泛。

比如说，在某个地方开设了一家 seating capacity为50的重庆火锅店，并且因为食材优质且公平对待顾客。通常顾客络绎不绝地到来使得餐厅生意十分兴隆；相比之下，在对面 opening a similar restaurant, 却很少有人光顾。为了反击 二狗 想出了一种策略邀请了50人坐在店内未点餐从而阻碍其他顾客用餐。

DDoS攻击手段有哪些

ICMP Flood

ICMP（互联网控制报文协议）负责在IP主机和路由器间传输控制信息。这些控制信息包括判断网络连通性、主机可达性和路由可达性等基础信息。尽管ICMP本身并不直接传输用户数据文件或应用程序内容 但通过提供关键的基础通信功能 它间接支持了用户的通信过程。此外 当向目标系统发送大量数据包时 就能导致目标主机出现服务中断 如果数量庞大 则可能引发DDoS（分布式拒绝服务）攻击

UDP Flood

在UDP Flooding事件中（即UDP floods事件中），攻击者往往通过向DNS服务器、Radius认证服务器以及流媒体视频服务器发送数量庞大的伪造源IP地址的小UDP包来发起攻击。当网络传输速率达到100k bps时（即以100千比特每秒的速度），这样的流量常常会导致网络中的关键设备（如防火墙）遭受毁灭性打击而无法正常运行。（传统意义上的流量式攻击手段）技术门槛不高（其效果往往受限于受控主机自身的网络性能水平），而且容易暴露来源（如今这类手法的应用已较为少见）。随后出现了一种更具破坏力且难以察觉的新类型——反射型放大攻击

NTP Flood

NTP是一种通过UDP协议传输实现网络时间同步的技术。由于UDP协议的独特特性是无连接性，在实际应用中便于伪造源地址信息。攻击者通常会利用特定的数据包作为中间节点，在这些数据包上设置错误的目标IP地址信息，并将这些数据包转发给其他节点进行处理。当 attacked node 收到这些数据包时，则会被欺骗并转发响应数据到被攻击的目标位置上。值得注意的是大多数NTP服务器都拥有较大的带宽能力

由此可见，在"问-答"机制下运行的协议都存在反射式攻击的可能性。具体而言，在"问-答"协议中执行质询操作时（即向系统中某个节点提出问题），系统会根据查询内容返回响应数据包。然而，在实际应用中若系统未严格遵守规范且具备自主决策能力，则可能会采取异常行为：将询问数据包的目的地址设置为攻击目标节点；相应地, 系统返回的数据包都会被发送至该目标节点。若协议具备递归特性，则流量会显著增加, 可被视为一种基于流量放大进行的"借刀杀人"式攻击.

SYN Flood

以下是对原文的改写

当客户端向服务端发送报文后出现瞬间中断或断开连接时

CC 攻击

目前应用层中最具危害性的攻击手段莫过于CC攻击。该技术通过代理服务器发送至目标系统的大量合法请求序列，从而达到伪装目的并引发DDoS攻击。每位网络用户都曾有这样的经历：浏览一个静态网页即便用户数量较多也不会产生明显的性能负担。然而当在线人数激增时由于服务器必须先验证用户的读写权限才能处理相关操作因此处理任务的频率也随之提升。

CC攻击巧妙地利用了这一特性，在模拟众多常规用户的同时持续访问论坛等需大量数据处理的页面；这导致服务器资源过度消耗、CPU始终运行在满负荷状态并积累未处理完毕的任务；同时引发网络出现拥堵现象、正常的网络连接被阻断；这种攻击手段虽然难以获取真实源IP信息也无法产生显著的大流量冲击却给服务器带来持续的压力负担

采用代理服务器的原因主要包括三个方面：一方面是可以巧妙地掩盖身份信息；另一方面则是能够有效规避网络过滤机制。防火墙通常会监控同时发起的TCP/IP连接数量，在达到设定阈值时可能会误判为异常流量而予以拦截或报警。此外还可以通过大量模拟请求的方式干扰正常的网络服务运行。这些模拟请求看似合法的数据包难以被传统防护措施轻易识别和拦截。

CC攻击是以第七层协议为基础对Web服务发起的一类网络_attack_技术。随着upper layer protocol的功能增强 corresponding to 增加了防御难度，并且这些upper layer protocol与business之间的关联日益紧密 corresponding to 更加深入地影响着整个系统的稳定性。相应的_defense system_facing increasingly complex situations.举例来说，在CC attack中最为关键的方式之一是HTTP Flooding——这种类型不仅会导致被attack对象（即Web frontend）页面加载迟缓进而影响相关business，并且可能导致一系列后续影响（chain reaction），从而可能波及到后端（如Java application）以及更底层的数据库_service.

因为CC攻击成本低廉且危害性大，并因此引起了创宇安全专家组的关注，在他们的研究中发现了80%的DDoS攻击是由CC发起的。在分析中指出，在这些事件中出现频率较高的类型是基于网络协议的DDoS（即DDoS）。

DNS Query Flood

DNS扮演着互联网核心角色，在面对DDoS攻击时亦是最主要的目标之一。基于DQF（Domain Query Flooding）的技术则主要利用了成千上万的僵尸网络节点来进行大规模的请求数量收集工作。在各个网络节点负责处理来自不同域的请求数量收集工作时系统会先进行本地资源库中的查询以获取可能已知的结果如果当前请求对应的目标IP地址尝试解析却未找到结果随后系统会立即转而向其上级DNS服务器发起查询以获取最终的结果信息

一般情况下, 攻击者请求解析的域名通常是随机生成或者是网络中根本不存在的域名. 因为本地无法查到相应的结果, DNS服务系统必须向更高层次的DNS服务器发起递归查询请求, 形成一个连锁反应. 解析过程导致DNS服务系统承受巨大的压力, 当每秒内的DNS解析请求数超过一定阈值时就会导致DNS服务系统出现响应超时的情况.

微软数据显示，在面对网络流量高峰期时，在线服务提供商需要确保其网络基础设施能够处理数千甚至上万次同时进行的域名解析请求。例如，在一台配置为P3级的个人计算机上很容易构建每秒数万次的域名解析请求——这足以使一台运行着高配置硬件设备（如最高端商业DNS服务器）的工作状态陷入瘫痪状态

混合攻击

在现实情况下, 攻击者的首要目标是破坏对方系统, 随着时代的发展, 高级攻击者已不再是单纯依赖单一技术手段进行战斗, 而是根据目标系统的具体情况灵活运用多种技术手段实施攻击, 不仅拥有庞大的流量能力, 还善于利用协议漏洞和系统缺陷, 最大限度地发起进攻行动。

在面对被攻击的目标时，需要应对多样化的协议与资源的分布式攻击，在这种情况下，分析、应对与处理这些挑战所需的成本将显著提升

如何应对 DDoS 攻击

高防服务器

还是以我在重庆火锅店开设的业务为例，在线教育机构通常会采用哪些技术手段来提升运营效率？例如，在我的重庆火锅店中引入安全防护服务器，则是为保障店铺安全所采取的重要措施之一。安全防护服务器则是为了保障店铺安全而为我的重庆火锅店增添了两名专业保安人员。这两名专业的保安人员能够有效保障店铺免受无理打扰，并定期在店铺周边进行巡逻维护。

该服务器主要用于提供独立的高速网络防护能力，在保障网络安全方面表现突出，并具备对核心业务系统进行定期监控的能力。这个服务确实不错，在功能方面非常出色；不过在价格方面稍有偏高。

黑名单

面对火锅店内的无理顾客，在愤怒之举下我拍摄记录了他们的行为，并采取措施阻止他们进入店内。有时我会遇到长得像这些人的顾客也被阻止。这正是我们设置黑名单的目的：为了维护店铺秩序，在愤怒之举下我拍摄记录了他们的行为，并采取措施阻止他们进入店内。有时我会遇到长得像这些人的顾客也被阻止。此方法的根本原则是以牺牲正常顾客为准则，在愤怒之举下我拍摄记录了他们的行为，并采取措施阻止他们进入店内。有时我会遇到长得像这些人的顾客也被阻止。此方法的根本原则是以牺牲正常顾客为准则，在愤怒之举下我拍摄记录了他们的行为，并采取措施阻止他们进入店内。

DDoS 清洗

DDos 清洗, 即指我观察到顾客进入店铺后不久, 却始终未下单, 因此我会将他驱逐出店内。

DDoS 清洗会对用户的请求数据实施实时监控，并有效识别多种类型的攻击行为；同时，在不中断正常服务运行的前提下去除这些异常流量

CDN 加速

CDN 优化这一策略能够帮助我们实现更好的网络体验。通过以下方式理解：为了降低潜在的扰乱因素（比如顾客在实体店可能感到不安或不便），我们将火锅店转移到线上平台，并提供外卖服务。这样一来，在线店铺的位置就不再依赖于实体店铺的位置信息；顾客无法在实体店找到我们的位置（因为我们的服务仅限于线上），因此他们不再有此等行为。

在实际场景下, CDN服务通过将网站访问流量分配到各个节点上实现了资源的均衡分布.这种安排一方面实现了网站真实IP的隐藏;同时,在遭受DOS或DDoS攻击的情况下能够有效地将流量分散至各节点上,并避免单点故障.