0x0006_DDOS系列节目（1）_20170621

本期博客URL：https://www.cyberwarface.com/index.php/2017/06/330

本期节目URL：https://m.ximalaya.com/22885296/sound/41504277

本期内容：

　　在第四期的《“暗云”来袭》的节目中，我着重介绍了僵尸网络的危害，其中就讲到了DDOS（分布式拒绝服务）攻击的事情。在接下来的几期节目中，我将针对DDOS做一个系列节目，从多个方面为大家分享DDOS相关的故事以及背后的知识点。

1. 618与DDOS

　　今年的618网购狂欢节刚刚过去，各个电商平台各个大显身手，赚了个盆满钵满。相信听众朋友们也抢到了很多宝贝。可是大家是否知道，每年的双11、618，包括各大产品的发布会都成了网络攻击的重灾区。据统计，618前一周，攻击环比就增长了340%，其中薅羊毛和DDoS占比最大，在我们疯狂抢购的同时，一场悄无声息的“DDoS攻坚战”正在进行着。

　　一直关注罗永浩与锤子手机的人一定记得，锤子科技2015年的最新产品坚果手机发布会，开场时间足足晚了半个多小时，发布会上老罗用的PPT也是状况百出，不是翻页混乱就是排版错误。更糟糕的是，在发布会进行的同时，用户无法登录购买。这次的发布会向众多不懂技术的消费者科普了一个互联网术语，那就是“DDoS攻击”。

　　从1996年拒绝服务攻击诞生以来，DDoS攻击越来越呈现出大流量、多手段、IOT化的趋势。据某安全机构发布的DDoS攻击报告指出，仅在去年，拦截的最大攻击流量接近400G，时间最长的攻击超过43天。

　　数据监控机构Neustar发布的2017年第一季全球DDoS攻击研究报告指出，通过对1010个组织调查发现，有84%的组织在今年一季度遭受过DDoS攻击，而其中又有85%遭受到多次攻击;而人口密度大、商业利润高、恶意竞争多发的金融、游戏、电商行业成DDoS攻击的重灾区。

2.    什么是DDOS攻击

　　正是由于网购、网游、网络媒体、互联网金融的高速发展，各大网站对“流量”的竞争越来越激烈，如何在重大活动中保障良好的响应能力成为竞争的主要焦点。那么DDOS攻击时如何进行破坏的呢？什么是DDOS攻击呢？首先，从一个比方来深入理解什么是DDOS：

　　一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业，他们会采取什么手段呢？恶霸们扮作普通客户一直拥挤在对手的商铺，赖着不走，真正的购物者却无法进入；或者总是和营业员有一搭没一搭的东扯西扯，让工作人员不能正常服务客户；也可以为商铺的经营者提供虚假信息，商铺的上上下下忙成一团之后却发现都是一场空，最终跑了真正的大客户，损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成，需要叫上很多人一起。嗯，网络安全领域中DoS和DDoS攻击就遵循着这些思路。

　　在信息安全的三要素——“保密性”、“完整性”和“可用性”中，DoS（Denial of Service），即拒绝服务攻击，针对的目标正是“可用性”。该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源，使得该目标系统无法提供正常的服务。

　　DdoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝服务攻击手段（DDoS）就应运而生了。DDoS就是利用更多的傀儡机（肉鸡）来发起进攻，以比从前更大的规模来进攻受害者

3.     当今DDOS攻击的特点

　　近日，信息安全公司Verisign（威瑞信）发布了2017年第一季度的分布式拒绝攻击（DDos）趋势报告。此份报告介绍了该公司在2017年1月1日—2017年3月31日这一阶段观察到的DDoS攻击频率，大小和类型的变化。

3.1.  不可预测和持久性

　　今年第一季度的DDoS攻击次数比上个季度下降了23%。但是，每次攻击的平均峰值规模却增加了近26%。此外，攻击者还对目标进行了持续和反复的攻击。事实上，Verisign发现，在本季度中，几乎50%经历过DDoS攻击的客户都遭遇过多次有针对性的攻击。并且，从2016年第一季度以来每季度的平均攻击峰值都超过了10Gbps。

【图1：攻击规模及2015年Q2—2017年Q1的攻击峰值】

【图2：2015年Q2—2017年Q1的平均攻击峰值规模】

3.2.  多向量DDoS攻击成常态

　　该报告还显示，在第一季度中，57%的DDoS攻击使用了多个攻击向量，范围从两个到五个以上不等。其中，43%的攻击者只使用一个攻击载体；25%的攻击者使用两个；17%的攻击者使用了三个；8%的攻击者使用了四个；6%的攻击者使用了五个及以上攻击向量。这意味着，攻击本质上变得更为复杂了，他们试图使用几种不同的攻击类型来占用网站资源。

【图3: 2017年第一季度DDoS攻击使用的攻击向量分布】

3.3.  DDoS攻击类型

　　UDP洪水攻击在2017年第一季度中继续保持领先，占本季度总攻击的46%。最常见的UDP洪水攻击是域名系统（DNS）反射攻击，其次是网络时间协议（NTP）和简单服务发现协议（SSDP）反射攻击。

　　虽然基于UDP的攻击类型继续占据主导地位，但是基于TCP的攻击数量却呈增加趋势，占据总攻击的33%。TCP攻击主要由TCP SYN和不同数据包大小的TCP RST组成。

【图4: DDoS攻击类型分布】

3.4.  最大容量的攻击和最高强度的洪水

　　Verisign的报告还谈到公司在第一季度发现的最大规模DDoS攻击。这是一个峰值达到120Gbps的多向量攻击，吞吐量约为90 Mpps，其目标受到60 Gbps攻击的时间超过15个小时。

　　此外，攻击者非常坚持试图通过在超过两个星期的时间内，每天发送攻击流量来破坏受害者的网络。攻击主要由TCPSYN和不同数据包大小的TCP RST组成，并采用与未来IoT僵尸网络相关的攻击。该次攻击还包括UDP洪水和IP片段，增加了攻击的数量。

3.5.  不同行业的DDoS攻击现状和平均攻击规模

　　报告指出，遭遇DDoS攻击最频繁的是IT/云/SaaS行业，占据所有恶意活动的58%，平均攻击规模为22.5Gbps；金融部门排在第二，占据28%（比上一季度增加了7%），平均攻击规模为1.7Gbps。具体分布如下所示：

【图5:不同行业攻击现状】

【图6:2016年Q2—2017年Q1不同行业DDoS峰值攻击规模】

　　大规模的DDoS攻击越来越司空见惯，虽然如今网络技术发展迅速，但是面对日益复杂多变的DDoS攻击，企业往往还是不堪一击，目前针对金融行业的DDoS攻击正呈不断上升趋势，相关行业还需提早做好准备，迎接更为严峻的挑战。

4.   近期事件

　　从2017年6月15日起，“无敌舰队”组织向国内多家证券金融公司、互联网金融公司发起DDoS比特币勒索，现已有超过6家金融证券类企业遭受DDoS攻击勒索，且其中4家已经遭受了大规模的DDoS攻击，攻击流量从2G到20G不等，对企业网络产生了非常严重的影响。而“无敌舰队”组织声称如果企业不按邮件要求按时支付比特币，将进行持续的大规模流量攻击（该组织声称攻击流量可超过1T），并逐步提高勒索比特币数额。

5.   如何防范DDOS攻击

　　常规的DDoS防护应急方式因其选择的技术不同，而在实现上有不同的差异性，主要分成以下三种：

【图7:三种主要的抗DDoS攻击手段】

5.1.  本地DDoS防护设备

　　通过采购抗DDOS攻击设备，串行或旁路引流的方式进行流量清洗。本地化防护设备，可以让用户监控DDoS攻击的发生情况，并可通过定制化的策略和服务为业务提供保障。通过分析攻击报文而定制的策略，可以应对多样化的、针对性的DDoS攻击类型。但当流量型攻击的攻击流量超出互联网链路带宽时，就没有办法了。这种方式一般适用于性能消耗型的DDOS攻击。

5.2.  运营商清洗服务

　　运营商也会采购安全厂家的DDoS防护设备并部署在IDC机房、城域网等环境。通过路由方式引流，帮助用户解决带宽消耗性的拒绝服务攻击；但是运营商清洗服务多是基于Flow方式检测DDoS攻击，且策略的颗粒度较粗，因此针对低流量特征的DDoS攻击类型检测效果往往不够理想。此外部分攻击类型受限于防护算法往往会有透传的攻击报文，此时对于用户还需要借助本地DDoS防护设备，实现二级清洗。

5.3.  云清洗服务

　　也有一些厂商提供了云清洗的服务，其主要方式是将用户的访问流量引流到其云清洗机房，清洗后再将数据发回给用户的网络。但云清洗的使用场景较窄，当使用云清洗服务做DDoS应急时，为了解决攻击者直接向站点真实IP地址发起攻击而绕过了云清洗中心的问题，通常情况下还需要企业用户配合做业务地址更换、Cname引流等操作配置，尤其是业务地址更换导致的实际变更过程可能会出现不能落地的情况。另一方面对于HTTPSFlood防御，当前云清洗服务需要用户上传HTTPS业务私钥证书，可操作性不强。此外业务流量导入到云平台，对业务数据安全性也提出了挑战。

5.4.  对比

　　对比了三种方式的不同和适用场景，我们会发现单一解决方案不能完成所有DDoS攻击清洗，用户在实际情况下需要组合本地DDoS防护设备+运营商清洗服务或者本地DDoS防护设备+云清洗服务，实现分层清洗的效果。

　　针对金融行业，更推荐的组合方案是本地DDoS防护设备+运营商清洗服务。对于选择云清洗服务的用户，如果只是在DDoS攻击发生时才选择将流量导入到云清洗平台，需要做好备用业务地址的更换预配置（新业务地址不可泄露，否则一旦被攻击者获悉将会失去其意义）。

6.   总结

　　DDOS系列节目的第一期就到这里了，本期节目为大家介绍了DDOS的现状，发展特点，也简要介绍了常见的DDOS防御措施，希望对大家有所帮助。

　　由于前几期经验不足，节目时间都将近40-50分钟，大家收听比较耗时间，内容太多也不容易消化。从本期节目开始，我将每期的节目时间尽量压缩在20分钟左右，每期节目尽量以一个话题、一个知识点为主。这样也方便我组织材料，节目的更新也有保障。节目初期、经验不足，希望各位听众多多评论，多提宝贵意见。