DDOS攻击行为_ddos攻击历史事件

那些年，DDoS的那些反击渗透的事情。

DDoS攻击与对策

DDo（Distributed Denial of Service），即分布式拒绝服务攻击，是指黑客通过控制由多个肉鸡或服务器组成的僵尸网络，向目标发送大量看似合法的请求，从而占用大量网络资源使网络瘫痪，阻止用户对网络资源的正常访问。

从各安全厂商的DDoS分析报告不难看出，DDoS攻击的规模及趋势正在成倍增长。由于攻击的成本不断降低，技术门槛要求越来越低，攻击工具的肆意传播，互联网上随处可见成群的肉鸡，使发动一起DDoS攻击变得轻而易举。

DDoS攻击技术包括：常见的流量直接攻击（如SYN/ACK/ICMP/UDP FLOOD），利用特定应用或协议进行反射型的流量攻击（如，NTP/DNS/SSDP反射攻击，2018年2月28日GitHub所遭受的Memcached反射攻击），基于应用的CC、慢速HTTP等。关于这些攻击技术的原理及利用工具网上有大量的资源，不再赘述。

1.1　DDoS防御常规套路

防御DDoS的常规套路包括：本地设备清洗，运营商清洗，云清洗。

1.本地设备清洗

抗DDoS设备（业内习惯称ADS设备）一般以盒子的形式部署在网络出口处，可串联也可旁路部署。旁路部署需要在发生攻击时进行流量牵引，其基本部署方案如图18-1所示。

图18-1　ADS 设备部署方式

图18-1中的检测设备对镜像过来的流量进行分析，检测到DDoS攻击后通知清洗设备，清洗设备通过BGP或OSPF协议将发往被攻击目标主机的流量牵引到清洗设备，然后将清洗后的干净流量通过策略路由或者MPLS LSP等方式回注到网络中；当检测设备检测到DDoS攻击停止后，会通知清洗设备停止流量牵引。

将ADS设备部署在本地，企业用户可依靠设备内置的一些防御算法和模型有效抵挡一些小规模的常见流量攻击，同时结合盒子提供的可定制化策略和服务，方便有一定经验的企业用户对攻击报文进行分析，定制针对性的防御策略。目前国内市场上，主要以绿盟的黑洞为代表，具体可以访问其官网进一步了解。

本地清洗最大的问题是当DDoS攻击流量超出企业出口带宽时，即使ADS设备处理性能够，也无法解决这个问题。一般金融证券等企业用户的出口带宽可能在几百兆到几G，如果遇到十G以上甚至上百G的流量，就真的麻烦了，更别谈T级别的DDoS攻击了。

 2.运营商清洗

当本地设备清洗解决不了流量超过出口带宽的问题时，往往需要借助运营商的能力了，紧急扩容或者开启清洗服务是一般做法，前提是要采购相应的清洗服务，而且一般需要通过电话或邮件确认，有的可能还要求传真。

运营商的清洗服务基本是根据netflow抽样检测网络是否存在DDoS攻击，而且策略的颗粒度较粗，因此针对低流量特征的DDoS攻击类型检测效果往往不够理想。再加上一些流程上的操作如电话、邮件、传真等，真正攻击到来时处理可能会更慢，需要重点关注。

值得一提的是中国电信的云堤服务，提供了“流量压制”和“近源清洗”服务，而且还提供了自助平台供用户操作，查看流量、开启清洗也非常方便。

 3.云清洗

内容分发网络（Content Delivery Network，CDN）是指，通过在网络各处放置节点服务器，让用户能够在离自己最近的地方访问服务，以此来提高访问速度和服务质量。CDN主要利用了四大关键技术：内容路由，内容分发，内存存储，内容管理。更详细的技术原理可以参考中国电信研究院出版的《CDN技术详解》。

CDN技术的初衷是为了提高互联网用户对静态网站的访问速度，但是由于分布式、就近访问的特点，能对攻击流量进行稀释，因此，一些传统CDN厂商除了提供云加速功能外，也开始推出云清洗的服务，当然还有一些安全公司基于其自身优势进入云清洗市场。基本原理都一样，需要先在云端配置好相应的记录，当企业遭受大规模攻击时，通过修改其DNS记录将要保护的域名CNAME到云端事先配好的记录上，等待DNS生效即可。

使用云清洗需要注意以下几个问题：

1. -·云清洗厂商需要提前配置好相应记录。 ·DNS修改记录后，需要等待TTL超时才生效。 

2.  ·直接针对源IP的攻击，无法使用云清洗防护，还要依靠本地和运营商清冼。 

3. ·针对HTTPS网站的防御，还涉及HTTPS证书，由此带来的数据安全风险需要考虑，市面上也有相应的Keyless方案{n1}。

由于国内环境不支持Anycast技术，所以不再赘述，如果有海外分支机构的网站需要防护，可以关注。

{nt1|其细节可以参考cloudflare公司博客上的文章，链接：[]()。

一些经验

结合笔者的一些经验，对DDoS防护落地做一些补充，仅供参考。

1.自动化平台

金融企业由于高可用要求，往往会有多个数据中心，一个数据中心还会接入多家运营商线路，通过广域网负载均衡系统对用户的访问进行调度，使之访问到最近最优的资源。当任何一条接入线路存在DDoS攻击时，能通过广域网负载均衡系统将该线路上的访问需求转移至其他互联网线路。在针对IP地址开展的DDoS攻击中，此方案能够有效保障正常客户的访问不受影响，为了实现快速切换，需要通过自动化运维平台来实现，如图18-2所示。

图18-2

线路调整一键应急配合必要的应知应会学习和应急演练，使团队成员都能快速掌握方法，在事件发生第一时间进行切换，将影响降到最小。接下来才是通知运营商进行清洗处理，等待流量恢复正常后再进行回切。

当某一个业务的IP受到攻击时，可以针对性地处置，比如一键停用，让正常用户访问其他IP；也可以一键开启清洗服务。

 2.设备抗D能力

除了ADS设备外，还有一些设备也需要关注抗DDoS能力，包括防火墙、负载均衡设备等。

出于安全可控需求，金融企业往往会采用异构模式部署防火墙，比如最外层用产品A，里面可能会用产品B。假如产品A的抗DDoS能力差，在发生攻击时，可能还没等到ADS设备清洗，产品A已经出问题了，比如发生了HA切换或者无法再处理新的连接等。

在产品选型测试时，需要关注这方面的能力，结合笔者所在团队经验，有以下几点供参考：

1. ·某些产品在开启日志记录模块后会存在极严重的性能消耗，在可能存在攻击的环境内建议关闭。

2. ·尽管理论和实际会有偏差，但根据实际测试情况，还是建议当存在大量TCP、UDP新建连接时，防火墙的最大连接数越大越好

3. 多测试多对比，从对比中可以发现更优的方案，通过适当的调整优化引入更优方案。

4. ·监控防火墙CPU和连接数，当超过一定值时开始着手优化规则，将访问量多的规则前移、减少规则数目等都是手段。

负载均衡设备也需要关注以上问题，此外，负载均衡由于承接了应用访问请求分发调度，可以一定程度上针对性地防护基于IP速率、基于URL速率的DDoS攻击以及慢速攻击等。图18-3所示为F5的ASM的DDoS防护策略。

图18-3

负载均衡设备ASM防DDoS功能

请求经过防火墙和负载均衡，最后到了目标机器上处理的时候，也需要关注。系统的性能调优设置、Nginx的性能参数调整以及限制连接模块配置等，都是在实际工作中会涉及的。

3.应急演练

部署好产品，开发好自动化运维平台，还要配合必要的应知应会、应急演练才行。因为金融行业的特殊性，DDoS攻击发生的次数相比互联网行业还是少很多的，有的企业可能几年也碰不到一次。时间久了技能就生疏了，真正需要用到时，可能连登录设备的账号口令都忘了，又或者需要现场接线的连设备都找不到，那就太糟糕了。

此外，采购的外围的监控服务、运营商和云清洗产品的服务能力也需要通过演练来检验有效性。签订合同时承诺的秒级发现、分钟级响应是否经得起考验，要先在心里打上一个问号。建议在不事先通知的情况下进行演练，观察这中间的问题并做好记录，待演练完成后一并提交给服务商要求整改。这样的演练每年要不定期组织几次。

2015 ddos有哪些重大的攻击事件

重大事件这块，网络上公布数据并不多，公布的就是BBC，和阿里多一些

谁知道历史上有哪些重大的计算机病毒事件？是什么时间？有多大的损失？

2.梅利莎 (Melissa,1999年) Melissa病毒是一种迅速传播的宏病毒, 它作为电子邮件的附件进行传播, 尽管Melissa病毒不会毁坏文件或其它资源, 但是它可能会使企业或其它邮件服务端程序停止运行, 因为它发出大量的邮件形成了极大的电子邮件信息流。1999年3月26日爆发, 感染了 15%-20% 的商业电脑, 带来了三千万到六千万美元的损失。

3. 爱虫 (I love you, 2000年) 和 Melissa 一样通过电子邮件传播, 而其破坏性要比 Melissa 强的多, 可以删除本地部分图片和文本, 大约造成了一千万到一千五百万美元的损失。

4. 红色代码 (Code Red, 2001年) Code Red 是一种蠕虫病毒, 本质上是利用了缓存区溢出攻击方式, 使用服务器的端口80进行传播, 而这个端口正是Web服务器与浏览器进行信息交流的渠道。与其它病毒不同的是, Code Red 并不将病毒信息写入被攻击服务器的硬盘, 它只是驻留在被攻击服务器的内存中。 大约在世界范围内造成了二百八十万美元的损失。

5. SQL Slammer (2003年) Slammer 是一款DDOS恶意程序, 透过一种全新的传染途径, 采取分布式阻断服务攻击感染服务器, 它利用 SQL Server 弱点采取阻断服务攻击1434端口并在内存中感染 SQL Server, 通过被感染的 SQL Server 再大量的散播阻断服务攻击与感染, 造成 SQL Server 无法正常作业或宕机, 使内部网络拥塞。和 Code Red 一样, 它只是驻留在被攻击服务器的内存中. 大约在世界范围内造成了五十万台服务器当机, 让韩国整个网络瘫痪了12个小时。

6. 冲击波 (Blaster, 2003年) 冲击波病毒是利用微软公司在当年7月21日公布的 RPC 漏洞进行传播的, 只要是计算机上有 RPC 服务并且没有打安全补丁的计算机都存在有 RPC 漏洞, 该病毒感染系统后, 会使计算机产生下列现象: 系统资源被大量占用, 有时会弹出 RPC 服务终止的对话框, 并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页, 复制粘贴等操作受到严重影响, DNS 和 IIS 服务遭到非法拒绝等. 这个病毒该是近期国内比较熟悉一个大范围影响的病毒了。大约造成了二百万到一千万美元的损失, 而事实上受影响的电脑则是成千上万, 不计其数。

7. 大无极.F (Sobig.F, 2003年) 这是 Sobig 蠕虫的第5个变种, 具有非常强的感染能力, 因此将会发生庞大的电子邮件传输, 使全球各地的电子邮件服务器当机, 由于其特性, 还将会极其危险的泄漏本地数据。大约造成了五百万到一千万美元的损失, 有超过一百万台电脑受感染。

8. 贝革热 (Bagle, 2004年) Bagle 也被称为 Beagle, 是一种透过电子邮件散布的蠕虫病毒, 它通过远程访问网站利用电子邮件系统进行散布, 并在 Windows 系统建立 backdoor, 至今为止, 这个蠕虫可能是程度最严重, 传播范围最广泛的蠕虫病毒, 其影响仍然处于上升趋势。目前已经造成了上千万美元的损失, 而且仍然在继续。

9. MyDoom (2004年) 该病毒采用的是病毒和垃圾邮件相结合的战术, 可以迅速在企业电子邮件系统中传播开来, 导致邮件数量暴增, 从而阻塞网络。不管是病毒还是垃圾邮件, 无论哪一样在去年都给用户造成了足够多的烦恼, 而如今这两者的结合更是来势凶猛, 再加上大多数用户对此并不知情, 使得这种病毒的传播速度突破了原来的各种病毒的传播速度。根据 MessageLabs 调查公司的数据显示, 在MyDoom病毒发作的高峰时刻, 每10封邮件中就有一封被此种病毒感染, 而对于前一年肆虐的Sobig病毒, 每17封邮件中才会有一封邮件被感染。在其爆发最严重的时候, 让全球的网络速度大幅度价低。

10. 震荡波 (Sasser, 2004年) 震荡波病毒会在网络上自动搜索系统有漏洞的电脑, 并直接引导这些电脑下载病毒文件并执行, 因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网, 就有可能被感染。这样子的发作特点很像当年的冲击波, 会让系统文件崩溃, 造成电脑反复重启。目前已经造成了上千万美元的损失。