轉(zhuǎn)載自 http://www.cnblogs.com/forsaken/p/6663810.html

分布式拒絕服務(wù)攻擊的精髓是案淋，利用分布式的客戶端吏廉，向服務(wù)提供者發(fā)起大量看似合法的請求胆萧，消耗或長期占用大量資源协屡，從而達(dá)到拒絕服務(wù)的目的喻频。
從不同的角度看托酸，分布式拒絕服務(wù)攻擊的方法有不同的分類標(biāo)準(zhǔn)。
依據(jù)消耗目標(biāo)資源的不同不跟，可分為攻擊網(wǎng)絡(luò)帶寬資源颓帝、攻擊系統(tǒng)資源和攻擊應(yīng)用資源三類。
依據(jù)攻擊數(shù)據(jù)包發(fā)送的頻率和速度來劃分，又可以分為洪水攻擊和慢速攻擊购城。

1. 攻擊網(wǎng)絡(luò)帶寬資源

無論是服務(wù)器的網(wǎng)絡(luò)接口帶寬吕座，還是路由器、交換機(jī)等互聯(lián)網(wǎng)基礎(chǔ)設(shè)施瘪板，其數(shù)據(jù)包處理能力都是存在著事實(shí)上的上限的吴趴，當(dāng)?shù)竭_(dá)或通過的網(wǎng)絡(luò)數(shù)據(jù)包數(shù)量超過了這個(gè)上限時(shí)，就會出現(xiàn)網(wǎng)絡(luò)擁堵侮攀、響應(yīng)緩慢的情況锣枝。
消耗網(wǎng)絡(luò)帶寬資源的DDos攻擊就是根據(jù)這個(gè)原理，利用受控主機(jī)發(fā)送大量的網(wǎng)絡(luò)數(shù)據(jù)包魏身，占滿被攻擊目標(biāo)的全部帶寬惊橱，從而使正常的請求無法得到及時(shí)有效的響應(yīng)蚪腐，造成拒絕服務(wù)箭昵。

1.1 直接攻擊

1.1.1 ICMP/IGMP洪水攻擊

網(wǎng)絡(luò)控制消息協(xié)議ICMP用于在TCP/IP網(wǎng)絡(luò)中發(fā)送控制信息，因特網(wǎng)組管理協(xié)議IGMP用于管理因特網(wǎng)協(xié)議多播組成員回季。
攻擊者使用受控主機(jī)向被攻擊目標(biāo)發(fā)送大量的ICMP/IGMP報(bào)文家制，進(jìn)行洪水攻擊以消耗目標(biāo)的帶寬資源。
這種類型的攻擊出現(xiàn)得很早泡一，但現(xiàn)在已不多見颤殴，被攻擊目標(biāo)可以在其網(wǎng)絡(luò)邊界直接過濾并丟棄ICMP/IGMP數(shù)據(jù)包使攻擊無效。

1.1.2 UDP洪水攻擊

用戶數(shù)據(jù)報(bào)協(xié)議UDP是一種面向無連接的傳輸層協(xié)議鼻忠，主要用于不要求分組順序到達(dá)的傳輸目的涵但。
利用UDP數(shù)據(jù)報(bào)文，攻擊者可以發(fā)動洪水攻擊帖蔓，通常會分為小包和大包兩種攻擊方式矮瘟。
小包是指64字節(jié)大小的數(shù)據(jù)包，這是以太網(wǎng)上傳輸數(shù)據(jù)幀的最小值塑娇。
在相同流量下澈侠，單包體積越小，包數(shù)量就越多埋酬。
由于交換機(jī)哨啃、路由器等網(wǎng)絡(luò)設(shè)備需要對每一個(gè)數(shù)據(jù)包進(jìn)行檢查和校驗(yàn)，因此使用UDP小包攻擊能夠最有效地增大網(wǎng)絡(luò)設(shè)備處理數(shù)據(jù)包的壓力写妥，造成處理速度的緩慢和傳輸延遲等拒絕服務(wù)效果拳球。
大包是指1500字節(jié)以上的數(shù)據(jù)包，其大小超過了以太網(wǎng)的MTU最大傳輸單元珍特，使用UDP大包攻擊祝峻，能夠有效地占用網(wǎng)絡(luò)接口的傳輸帶寬，并迫使被攻擊目標(biāo)在接收到UDP數(shù)據(jù)時(shí)進(jìn)行分片重組，造成網(wǎng)絡(luò)擁堵呼猪，服務(wù)響應(yīng)緩慢画畅。
UDP洪水攻擊出現(xiàn)得很早，它完全依靠受控主機(jī)本身的網(wǎng)絡(luò)性能宋距，通常對攻擊目標(biāo)帶寬資源的消耗并不太大轴踱。

1.2 反射和放大攻擊

1.2.1 ACK反射攻擊

在傳輸控制協(xié)議TCP建立連接時(shí)，首先會進(jìn)行TCP三次握手谚赎。
在此過程中淫僻，當(dāng)服務(wù)器端接收到客戶端發(fā)來的SYN連接請求時(shí)，會對該請求進(jìn)行ACK應(yīng)答壶唤。
利用TCP握手的ACK應(yīng)答雳灵，即可進(jìn)行ACK反射攻擊。
如果攻擊者將SYN的源IP地址偽造成被攻擊目標(biāo)的IP地址闸盔，服務(wù)器的應(yīng)答也就會發(fā)送給被攻擊目標(biāo)悯辙。
由于使用TCP協(xié)議的服務(wù)在互聯(lián)網(wǎng)上廣泛存在，攻擊者可以通過受控主機(jī)向大量不同的服務(wù)器發(fā)送偽造源IP地址的SYN請求迎吵，從而使服務(wù)器響應(yīng)的大量ACK應(yīng)答數(shù)據(jù)涌向被攻擊目標(biāo)躲撰，占用目標(biāo)的網(wǎng)絡(luò)帶寬資源并造成拒絕服務(wù)。
在發(fā)動ACK反射攻擊時(shí)击费，首先需要進(jìn)行掃描拢蛋，獲得大量的反射器地址，并分別向這些反射器發(fā)送偽造源地址的SYN請求數(shù)據(jù)蔫巩。
ACK反射攻擊的優(yōu)點(diǎn)主要在于能夠比較有效地隱藏攻擊的來源谆棱。

1.2.2 DNS放大攻擊

域名系統(tǒng)DNS是因特網(wǎng)的一項(xiàng)核心服務(wù)，它將域名和IP地址相互映射圆仔。DNS使用TCP/UDP 53端口通信垃瞧，主要使用UDP協(xié)議。
通常荧缘，DNS響應(yīng)數(shù)據(jù)包會比查詢數(shù)據(jù)包大皆警，因此攻擊者利用普通的DNS查詢請求就能夠發(fā)動放大攻擊。
在以前截粗，對DNS查詢的響應(yīng)數(shù)據(jù)包被限制在512字節(jié)以內(nèi)信姓，多余的字節(jié)根據(jù)實(shí)現(xiàn)的不同可能會被丟棄或使用TCP協(xié)議建立連接并重傳。
后來出現(xiàn)了DNS擴(kuò)展機(jī)制EDNS0擴(kuò)展了DNS數(shù)據(jù)包的結(jié)構(gòu)绸罗，增加了OPT RR字段意推。
該字段包含了客戶端能夠處理的最大UDP報(bào)文大小的信息，服務(wù)端在響應(yīng)DNS請求時(shí)珊蟀，根據(jù)該字段的大小生成響應(yīng)報(bào)文菊值。
攻擊者發(fā)送的DNS查詢請求數(shù)據(jù)包大小一般為60字節(jié)左右外驱，而查詢返回結(jié)果的數(shù)據(jù)包大小通常在3000字節(jié)以上。使用該方式進(jìn)行放大攻擊能夠達(dá)到50倍以上的放大效果腻窒。
發(fā)動DNS放大攻擊需要先進(jìn)行掃描昵宇，獲得大量的開放DNS解析器地址，并向這些地址發(fā)送偽造源IP的查詢命令來放大攻擊流量儿子。

1.2.3 NTP放大攻擊

網(wǎng)絡(luò)時(shí)間協(xié)議NTP用于使計(jì)算機(jī)與時(shí)鐘源進(jìn)行同步和校正瓦哎，它使用UDP 123端口通信。
NTP協(xié)議的monlist請求能夠獲取與目標(biāo)NTP服務(wù)器進(jìn)行同步的最近600個(gè)客戶端的IP地址等信息柔逼。
這意味著蒋譬，只需要發(fā)送一個(gè)很小的請求包，就能夠觸發(fā)大量連續(xù)的UDP響應(yīng)數(shù)據(jù)包愉适。
使用該方式進(jìn)行放大攻擊能夠達(dá)到700倍以上的放大效果犯助。
發(fā)動NTP放大攻擊需要先進(jìn)行掃描，獲得大量的NTP服務(wù)器维咸，并向這些NTP服務(wù)器發(fā)送偽造源地址的請求來放大攻擊流量剂买。

1.2.4 SNMP放大攻擊

簡單網(wǎng)絡(luò)管理協(xié)議SNMP是目前網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議，它使用UDP 161端口通信腰湾。
攻擊者向廣泛存在并開啟了SNMP服務(wù)的網(wǎng)絡(luò)設(shè)備發(fā)送GetBulk請求雷恃，使用默認(rèn)通信字符串作為認(rèn)證憑據(jù)疆股，并將源IP地址偽造成攻擊目標(biāo)的IP地址费坊。
設(shè)備收到GetBulk請求后，會將響應(yīng)結(jié)果發(fā)送給攻擊目標(biāo)旬痹。當(dāng)大量的響應(yīng)結(jié)果涌向攻擊目標(biāo)時(shí)附井，就會導(dǎo)致攻擊目標(biāo)網(wǎng)絡(luò)擁堵和緩慢，造成拒絕服務(wù)两残。
使用該方式進(jìn)行放大攻擊能夠達(dá)到25倍以上的放大效果永毅。
在發(fā)動SNMP放大攻擊時(shí)，需要先進(jìn)行掃描人弓，獲得開放SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備沼死，雖然開放SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備很多，但是還需要猜測它們使用的默認(rèn)通信字符串崔赌，因此該方式更復(fù)雜一些意蛀。

2.攻擊系統(tǒng)資源

終端設(shè)備在與服務(wù)器進(jìn)行通信時(shí)，經(jīng)常需要?jiǎng)?chuàng)建會話連接健芭，在此過程中通常會使用TCP和SSL等協(xié)議县钥。
會話連接一旦被占滿，新進(jìn)入的會話請求就必須等待前面的會話完成慈迈。
消耗系統(tǒng)資源的DDoS攻擊的主要目的就是對系統(tǒng)維護(hù)的連接資源進(jìn)行消耗和占用若贮，阻止正常連接的建立，從而達(dá)到拒絕服務(wù)的目的。

2.1 攻擊TCP連接

2.1.1 TCP連接洪水攻擊

在TCP三次握手的過程中谴麦，服務(wù)器會創(chuàng)建并保存TCP連接的信息到連接表中蠢沿。連接表的大小是有限的，一旦服務(wù)器接收到的連接數(shù)量超過了連接表能存儲的數(shù)量匾效，服務(wù)器就無法創(chuàng)建新的TCP連接了搏予。
攻擊者可以利用大量受控主機(jī)，通過快速建立大量惡意的TCP連接占滿被攻擊目標(biāo)的連接表弧轧，使目標(biāo)無法接受新的TCP連接請求雪侥，從而達(dá)到拒絕服務(wù)攻擊的目的。

2.1.2 SYN洪水攻擊

在建立TCP連接的過程中精绎，如果在服務(wù)器返回SYN+ACK報(bào)文后速缨，客戶端沒有對其進(jìn)行確認(rèn)，服務(wù)器就需要重傳SYN+ACK報(bào)文代乃，并等待客戶端的確認(rèn)報(bào)文直到TCP連接超時(shí)旬牲。
這種等待客戶端確認(rèn)的連接狀態(tài)通常被稱為半開連接。在連接超時(shí)之前搁吓，半開連接會一直保存在服務(wù)器的連接表中原茅。
由于連接表的大小是有限的，如果在短時(shí)間內(nèi)產(chǎn)生大量的半開連接堕仔，而這些連接又無法很快地結(jié)束擂橘，連接表就會迅速被占滿，導(dǎo)致新的TCP連接無法建立摩骨。
SYN洪水攻擊就是攻擊者利用受控主機(jī)發(fā)送大量的SYN報(bào)文通贞，使服務(wù)器打開大量的半開連接，占滿服務(wù)器的連接表恼五，從而影響正常用戶與服務(wù)器建立會話昌罩，造成拒絕服務(wù)。
這種攻擊方式會很明顯地暴露出攻擊者的IP地址灾馒，同時(shí)響應(yīng)報(bào)文會作為反射流量占用攻擊者的帶寬資源茎用。
更好的方式是將SYN報(bào)文的源IP地址隨機(jī)偽造成其他地址，這樣攻擊目標(biāo)會將應(yīng)答發(fā)送給偽造地址睬罗，從而占用連接資源并隱藏攻擊來源轨功。

2.1.3 PSH+ACK洪水攻擊

由于帶有PSH標(biāo)志位的TCP數(shù)據(jù)包會強(qiáng)制要求接收端將接收緩沖區(qū)清空并將數(shù)據(jù)提交給應(yīng)用服務(wù)進(jìn)行處理，因此當(dāng)攻擊者利用受控主機(jī)向攻擊目標(biāo)發(fā)送大量的PSH+ACK數(shù)據(jù)包時(shí)傅物，被攻擊目標(biāo)就會消耗大量的系統(tǒng)資源不斷地進(jìn)行接收緩沖區(qū)的清空處理夯辖，導(dǎo)致無法正常處理數(shù)據(jù)，從而造成拒絕服務(wù)董饰。
單獨(dú)使用PSH+ACK洪水攻擊對服務(wù)器產(chǎn)生的影響并不十分明顯蒿褂，更有效的方式是SYN洪水攻擊與ACK洪水攻擊相結(jié)合圆米，這樣能夠繞過一部分防護(hù)設(shè)備，增強(qiáng)攻擊效果啄栓。

2.1.4 Sockstress慢速攻擊

在TCP傳輸數(shù)據(jù)時(shí)娄帖，會將數(shù)據(jù)臨時(shí)存儲在接收緩沖區(qū)中，該接收緩沖區(qū)的大小是由TCP窗口表示的昙楚。
如果TCP窗口大小為0則表示接收緩沖區(qū)已滿近速，發(fā)送端應(yīng)該停止發(fā)送數(shù)據(jù)，直到接收端窗口更新削葱。
Sockstress慢速攻擊就是利用該原理長時(shí)間地維持TCP連接，以達(dá)到拒絕服務(wù)的目的淳梦。
Sockstress慢速攻擊首先會完成TCP三次握手以建立TCP連接首繁，在最后的ACK應(yīng)答中蜘醋，攻擊者將其TCP窗口設(shè)置為0后再進(jìn)行一次數(shù)據(jù)請求堂湖。
攻擊目標(biāo)在傳輸數(shù)據(jù)時(shí)闲先，發(fā)現(xiàn)接收端的TCP窗口大小為0就會停止傳輸數(shù)據(jù)，并發(fā)出TCP窗口探測包无蜂，詢問攻擊者其TCP窗口是否更新。
由于攻擊者沒有更新TCP窗口大小蒙谓，攻擊目標(biāo)會一直維持TCP連接等待數(shù)據(jù)發(fā)送斥季，并不斷進(jìn)行窗口更新探測。
攻擊目標(biāo)的TCP連接表將逐漸耗盡累驮，無法接受新的連接而導(dǎo)致拒絕服務(wù)酣倾。
Sockstress慢速攻擊的另一種方式是將TCP窗口設(shè)置為一個(gè)非常小的值，這樣攻擊目標(biāo)將不得不把需要發(fā)送的數(shù)據(jù)切分成大量很小的分片谤专，這會極大地消耗目標(biāo)的內(nèi)存和處理器資源躁锡，造成系統(tǒng)響應(yīng)緩慢和拒絕服務(wù)。

2.2 攻擊SSL連接

2.2.1 THC SSL DoS攻擊

在進(jìn)行SSL數(shù)據(jù)傳輸之前置侍，通信雙方首先要進(jìn)行SSL握手映之，以協(xié)商加密算法交換加密密鑰拦焚，進(jìn)行身份認(rèn)證笼才。
通常情況下葛闷，這樣的SSL握手過程只需要進(jìn)行一次即可，但是在SSL協(xié)議中有一個(gè)Renegotiation選項(xiàng)迁央，通過它可以進(jìn)行密鑰的重新協(xié)商以建立新的密鑰蠢甲。
THC SSL DoS攻擊就是這樣反復(fù)不斷地進(jìn)行密鑰重新協(xié)商過程僵刮，該過程需要服務(wù)器投入比客戶端多15倍的CPU計(jì)算資源。
攻擊者只需要一臺普通PC就能夠拖慢一臺高性能服務(wù)器鹦牛，如果有大量主機(jī)同時(shí)進(jìn)行攻擊搞糕，就會使服務(wù)器忙于協(xié)商密鑰而完全停止響應(yīng)。

2.2.2 SSL洪水攻擊

在SSL握手的過程中曼追，服務(wù)器會消耗較多的CPU計(jì)算資源對數(shù)據(jù)先進(jìn)行解密再進(jìn)行有效性檢驗(yàn)寞宫。
攻擊者可以利用這個(gè)特性進(jìn)行SSL洪水攻擊。

3.攻擊應(yīng)用資源

網(wǎng)絡(luò)應(yīng)用和服務(wù)在處理數(shù)據(jù)時(shí)拉鹃，通常需要消耗一定的網(wǎng)絡(luò)連接辈赋、計(jì)算和存儲資源，這些資源是由應(yīng)用程序向系統(tǒng)進(jìn)行申請并自行管理和維護(hù)的膏燕。
消耗應(yīng)用資源的DDoS攻擊就是通過向應(yīng)用提交大量消耗資源的請求钥屈，從而達(dá)到拒絕服務(wù)的目的。

3.1 攻擊DNS服務(wù)

3.1.1 DNS QUERY洪水攻擊

DNS QUERY洪水攻擊是指向DNS服務(wù)器發(fā)送大量查詢請求以達(dá)到拒絕服務(wù)效果的一種攻擊方法坝辫。
在DNS解析的過程中篷就，客戶端發(fā)起一次查詢請求，DNS服務(wù)器可能需要進(jìn)行額外的多次查詢才能完成解析的過程并給出應(yīng)答近忙，在這個(gè)過程中會消耗一定的計(jì)算和網(wǎng)絡(luò)資源竭业。
如果攻擊者利用大量受控主機(jī)不斷發(fā)送不同域名的解析請求，那么DNS服務(wù)器的緩存會被不斷刷新及舍，而大量解析請求不能命中緩存又導(dǎo)致DNS服務(wù)器必須消耗額外的資源進(jìn)行迭代查詢未辆，這會極大地增加DNS服務(wù)器的資源消耗，導(dǎo)致DNS響應(yīng)緩慢甚至完全拒絕服務(wù)锯玛。
進(jìn)行DNS QUERY洪水攻擊的要點(diǎn)在于每一個(gè)DNS解析請求所查詢的域名應(yīng)是不同的咐柜，這樣可以比較有效地避開DNS服務(wù)器緩存中的解析記錄，達(dá)到更好的資源消耗效果攘残。

3.1.2 DNS NXDOMAIN洪水攻擊

DNS NXDOMAIN洪水攻擊是DNS QUERY洪水攻擊的一個(gè)變種拙友，它向DNS服務(wù)器查詢不存在的域名。
在進(jìn)行DNS NXDOMAIN洪水攻擊時(shí)歼郭，DNS服務(wù)器會進(jìn)行多次域名查詢遗契，其緩存會被大量NXDOMAIN記錄所填滿，導(dǎo)致響應(yīng)正常用戶的DNS解析請求的速度變慢病曾。
與DNS QUERY洪水攻擊所達(dá)到的效果類似牍蜂。

3.2 攻擊Web服務(wù)

3.2.1 HTTP洪水攻擊

在處理HTTP請求的過程中漾根，Web服務(wù)器通常需要解析請求、處理和執(zhí)行服務(wù)端腳本捷兰、驗(yàn)證用戶權(quán)限并多次訪問數(shù)據(jù)庫立叛，這會消耗大量的計(jì)算資源和I/O訪問資源。
如果攻擊者利用大量受控主機(jī)不斷地向Web服務(wù)器惡意發(fā)送大量HTTP請求贡茅，要求Web服務(wù)器處理秘蛇，就會完全占用服務(wù)器的資源，造成其他正常用戶的Web訪問請求處理緩慢甚至得不到處理顶考，造成拒絕服務(wù)赁还。
由于HTTP協(xié)議是基于TCP協(xié)議的，需要完成三次握手建立TCP連接才能開始HTTP通信驹沿，因此進(jìn)行HTTP洪水攻擊時(shí)無法使用偽造源IP地址的方式發(fā)動攻擊艘策。
這時(shí)，攻擊者通常會使用HTTP代理服務(wù)器渊季，這樣不僅可以隱藏來源以避免被追查朋蔫，還能夠提高攻擊的效率，攻擊者連接代理服務(wù)器并發(fā)送完請求后却汉，可以直接切斷與該代理服務(wù)器的連接并開始連接下一個(gè)代理服務(wù)器驯妄。
這時(shí)代理服務(wù)器與目標(biāo)Web服務(wù)器的HTTP連接依然保持，Web服務(wù)器需要繼續(xù)接收數(shù)據(jù)并處理HTTP請求合砂。
Web服務(wù)也存在緩存機(jī)制青扔，如果攻擊者的大量請求都命中了服務(wù)器緩存，那么這種攻擊的主要作用僅體現(xiàn)在消耗網(wǎng)絡(luò)帶寬資源上翩伪，對于計(jì)算和I/O資源的消耗是非常有限的微猖。
因此，高效的HTTP洪水攻擊應(yīng)不斷發(fā)出針對不同資源和頁面的HTTP請求缘屹，并盡可能請求無法被緩存的資源凛剥，從而加重服務(wù)器的負(fù)擔(dān)，增強(qiáng)攻擊效果囊颅。

3.2.2 Slowloris慢速攻擊

HTTP首部以連續(xù)的"\r\n\r\n"作為結(jié)束標(biāo)志当悔。許多Web服務(wù)器在處理HTTP請求的首部信息時(shí)，會等待首部傳輸結(jié)束后再進(jìn)行處理踢代。
如果Web服務(wù)器沒有接收到連續(xù)的"\r\n\r\n"標(biāo)志，就會一直接收數(shù)據(jù)并保持與客戶端的連接嗅骄。
利用這個(gè)特性胳挎，攻擊者能夠長時(shí)間與Web服務(wù)器保持連接，并逐漸耗盡Web服務(wù)器的連接資源溺森，導(dǎo)致其他用戶的HTTP請求無法被處理慕爬，造成拒絕服務(wù)窑眯。

3.2.3 POST慢速攻擊

在HTTP首部信息中，可以使用Content-Length字段來指定HTTP消息實(shí)體的傳輸長度医窿。
當(dāng)Web服務(wù)器接收到的請求首部中含有Content-Length字段時(shí)磅甩，服務(wù)器會將該字段的值作為POST實(shí)體的長度，持續(xù)接收數(shù)據(jù)并在到達(dá)Content-Length值時(shí)對POST實(shí)體的數(shù)據(jù)內(nèi)容進(jìn)行處理姥卢。
攻擊者在發(fā)送HTTP POST請求時(shí)卷要，在請求首部中將Content-Length設(shè)置為一個(gè)很大的值，并將POST實(shí)體以非常緩慢的速度一個(gè)字節(jié)一個(gè)字節(jié)的向Web服務(wù)器發(fā)送独榴。
通過間隔性地發(fā)送單字節(jié)的POST實(shí)體內(nèi)容僧叉，攻擊者能夠確保連接不因超時(shí)而中斷。
利用這個(gè)特性棺榔，攻擊者能夠長時(shí)間與Web服務(wù)器保持連接瓶堕，并逐漸耗盡Web服務(wù)器的連接資源，導(dǎo)致其他用戶的HTTP請求無法被處理症歇，造成拒絕服務(wù)郎笆。

4.防御

在發(fā)生DDoS攻擊的情況下，可以通過一些緩解技術(shù)來減少攻擊對自身業(yè)務(wù)和服務(wù)的影響忘晤，從而在一定程度上保障業(yè)務(wù)正常運(yùn)行宛蚓。
緩解DDoS攻擊的主要方法是對網(wǎng)絡(luò)流量先進(jìn)行稀釋再進(jìn)行清洗。

4.1 攻擊流量的稀釋

4.1.1 內(nèi)容分發(fā)網(wǎng)絡(luò) CDN

CDN技術(shù)的初衷是提高互聯(lián)網(wǎng)用戶對網(wǎng)站靜態(tài)資源的訪問速度德频，由于分布式多節(jié)點(diǎn)的特點(diǎn)苍息，它也能夠?qū)DoS攻擊的流量產(chǎn)生稀釋的效果。
CDN在互聯(lián)網(wǎng)范圍內(nèi)廣泛設(shè)置多個(gè)節(jié)點(diǎn)作為代理緩存壹置，并將用戶的訪問請求導(dǎo)向最近的緩存節(jié)點(diǎn)竞思，以加快訪問速度。
CDN使用智能DNS系統(tǒng)钞护，一個(gè)域名對應(yīng)一張IP地址表盖喷，當(dāng)收到域名解析請求時(shí)，智能DNS會查看解析請求的來源难咕，并給出地址表中距離請求來源最近的IP地址课梳。
用戶收到域名解析應(yīng)答時(shí)，認(rèn)為該CDN節(jié)點(diǎn)就是他請求的域名所對應(yīng)的IP地址余佃，并向該節(jié)點(diǎn)發(fā)起服務(wù)或資源請求暮刃。
CDN節(jié)點(diǎn)在收到用戶的請求時(shí)，會在其存儲的緩存內(nèi)容中尋找用戶請求的資源爆土，如果找到椭懊，就直接將資源響應(yīng)給用戶，如果找不到步势，則作為代理服務(wù)器向源站請求資源并將結(jié)果緩存并返回給用戶氧猬。
對于有大量靜態(tài)資源的網(wǎng)站背犯，使用CDN進(jìn)行代理緩存能夠大大減少源站的訪問流量。
在發(fā)生DDoS攻擊時(shí)盅抚，智能DNS會將來自不同位置的攻擊流量分散到對應(yīng)位置的CDN節(jié)點(diǎn)上漠魏，從而達(dá)到流量稀釋的效果。
利用CDN技術(shù)只能稀釋通過域名發(fā)起的DDoS攻擊的流量妄均，如果攻擊者直接通過IP地址進(jìn)行攻擊柱锹，就不會經(jīng)過智能DNS解析，也就無法稀釋流量了丛晦。

4.1.2 任播 Anycast

Anycast技術(shù)是一種網(wǎng)絡(luò)尋址和路由方法奕纫。通過使用它，多臺提供特定服務(wù)的服務(wù)器可以使用相同的IP地址烫沙，客戶端訪問請求報(bào)文將會被IP網(wǎng)絡(luò)路由到這一組服務(wù)器中最近的一臺之上匹层。
Anycast技術(shù)通常是通過在不同的節(jié)點(diǎn)處同時(shí)使用BGP協(xié)議向外聲明同樣的目的IP地址的方式實(shí)現(xiàn)的。
使用Anycast技術(shù)能夠稀釋DDoS攻擊流量锌蓄，在Anycast尋址過程中升筏，流量會被導(dǎo)向最近的節(jié)點(diǎn)，攻擊者不能對流量路徑進(jìn)行操控瘸爽。
由于Anycast技術(shù)的高度可靠性您访，即使少數(shù)節(jié)點(diǎn)被DDoS攻擊打垮，其周圍客戶端的請求也能夠被快速地引導(dǎo)向其他可用的服務(wù)器剪决，從而保證服務(wù)的高可用性灵汪。

4.2.攻擊流量的清洗

4.2.1 IP信譽(yù)檢查

IP信譽(yù)機(jī)制是指為互聯(lián)網(wǎng)上的IP地址賦予一定的信譽(yù)值，那些過去或現(xiàn)在經(jīng)常被作為僵尸主機(jī)發(fā)動DDoS攻擊的IP地址會被賦予較低的信譽(yù)值柑潦。
當(dāng)發(fā)生DDoS攻擊時(shí)享言，流量清洗設(shè)備會對通過的網(wǎng)絡(luò)流量進(jìn)行IP信譽(yù)檢查，優(yōu)先丟棄信譽(yù)值低的IP地址所發(fā)來的數(shù)據(jù)包或建立的會話連接渗鬼。
IP信譽(yù)檢查的極端情況就是IP黑名單機(jī)制览露，如果數(shù)據(jù)包的來源存在于黑名單之中，則直接丟棄譬胎。
這種方式一般會造成較多的誤報(bào)差牛。

4.2.2 攻擊特征匹配

多數(shù)情況下，發(fā)動DDoS攻擊需要借助工具堰乔，為了提高發(fā)送請求的效率偏化，攻擊工具發(fā)出的數(shù)據(jù)包通常是由編寫者偽造并固化到工具中的，因此一種攻擊工具所發(fā)出的數(shù)據(jù)包載荷會具有一定的特征镐侯。
流量清洗設(shè)備可以將這些數(shù)據(jù)包載荷中的特征作為指紋夹孔，來識別工具所發(fā)出的攻擊流量。
命中指紋特征的數(shù)據(jù)包會被丟棄析孽。

4.2.3 速度檢查與限制

一些攻擊方法在數(shù)據(jù)包載荷上可能并不存在明顯的特征搭伤，沒有辦法進(jìn)行攻擊特征匹配，但卻在請求數(shù)據(jù)包發(fā)送的頻率和速度上有著明顯的異常袜瞬。
這些攻擊方法可以通過速度與限制來進(jìn)行清洗怜俐。
例如在受到THC SSL DoS攻擊時(shí)，會在同一個(gè)SSL會話中多次進(jìn)行密鑰協(xié)商邓尤，而正常情況下是不會這樣的拍鲤，因此當(dāng)流量清洗設(shè)備發(fā)現(xiàn)SSL會話中密鑰協(xié)商的次數(shù)超過了特定的值，就可以中斷這個(gè)會話并將來源IP加入黑名單中汞扎。
再如受到Slowloris和POST慢速攻擊時(shí)季稳，客戶端和服務(wù)器之間會以非常低的速率進(jìn)行交互和數(shù)據(jù)傳輸，流量清洗設(shè)備在發(fā)現(xiàn)HTTP請求長時(shí)間沒有完成傳輸時(shí)澈魄，就可以將會話中斷景鼠。

4.2.4 TCP代理和驗(yàn)證

在一個(gè)TCP SYN請求到達(dá)流量清洗設(shè)備后，設(shè)備并不將它交給服務(wù)器痹扇，而是回復(fù)一個(gè)SYN+ACK響應(yīng)铛漓，并等待客戶端回復(fù)。
如果SYN請求來自合法用戶鲫构，那么它會對SYN+ACK進(jìn)行響應(yīng)浓恶，這時(shí)流量清洗設(shè)備會代替用戶與服務(wù)器建立TCP連接，之后合法用戶和服務(wù)器之間就通過流量清洗設(shè)備進(jìn)行通信结笨。
而如果SYN請求來自攻擊者包晰，它通常不會對SYN+ACK進(jìn)行響應(yīng)，從而形成半開連接炕吸。流量清洗設(shè)備會暫時(shí)保留半開連接伐憾，在經(jīng)過短暫超時(shí)后丟棄它。
相比于服務(wù)器算途，流量清洗設(shè)備對連接表進(jìn)行了優(yōu)化塞耕，能夠處理極其龐大的連接請求，因此即使有非常多的SYN請求同時(shí)涌向清洗設(shè)備嘴瓤，它也能夠處理扫外。
在此過程中，服務(wù)器并沒有消耗任何連接資源廓脆，因此保證了服務(wù)器的性能不受影響筛谚。

4.2.5 協(xié)議完整性驗(yàn)證

為了提高發(fā)送攻擊請求的效率，大多數(shù)的攻擊方法都只會發(fā)送攻擊請求停忿，而不接收和處理服務(wù)器的響應(yīng)數(shù)據(jù)驾讲。
因此，如果能夠?qū)φ埱髞碓催M(jìn)行交互式驗(yàn)證，就可以檢查請求來源協(xié)議實(shí)現(xiàn)的完整性吮铭。對于協(xié)議實(shí)現(xiàn)不完整的請求來源时迫，通常可以丟棄其數(shù)據(jù)包谓晌。
例如對于提供HTTP服務(wù)的Web服務(wù)器掠拳，可以使用302重定向來驗(yàn)證請求來源是否完整實(shí)現(xiàn)了HTTP協(xié)議。
HTTP狀態(tài)碼302表示請求的資源被臨時(shí)轉(zhuǎn)移纸肉，并會給出一個(gè)轉(zhuǎn)移后的地址溺欧。合法用戶在接收到302重定向響應(yīng)碼后會順著跳轉(zhuǎn)地址尋找對應(yīng)的資源，而攻擊工具則不會進(jìn)行跳轉(zhuǎn)柏肪。
因此姐刁，攻擊請求將會被流量清洗設(shè)備攔截并丟棄，Web服務(wù)器不會受到影響烦味。

2.6 客戶端真實(shí)性驗(yàn)證
一些攻擊工具在開發(fā)過程中使用了第三方庫聂使，完整實(shí)現(xiàn)了協(xié)議交互功能。對于這些攻擊工具拐叉，需要使用客戶端真實(shí)性驗(yàn)證技術(shù)進(jìn)行攻擊流量清洗岩遗。
例如對于Web服務(wù)，可以通過檢查客戶端是否支持JavaScript來驗(yàn)證請求是否來自合法用戶凤瘦。
對于加入了JavaScript解析和執(zhí)行功能的攻擊工具宿礁，則需要使用驗(yàn)證碼來進(jìn)行識別。
對于無法解析JavaScript或無法識別驗(yàn)證碼的請求蔬芥，流量清洗設(shè)備可以丟棄它梆靖，從而保護(hù)Web服務(wù)器不受影響。