技术分享 | 常见的DDoS攻击类型及防御措施

据权威数据显示，2021年上半年，全球发生DDoS攻击约 540 万次，同比增长11%，据估计，2021年整年DDoS攻击次数将创纪录地达到1100万次。其中超百G的大流量攻击次数在上半年就达到了2544次，同比增长50%以上，大幅高于整体攻击次数的增长幅度。

从这些数据中可以看出，随着网络技术的快速发展，DDoS攻击将呈现高频次、高增长、大流量等特点，对网络安全的威胁也会与日俱增，因此做好DDoS攻击的防护工作已是刻不容缓。

 

一、什么是DDoS攻击

分布式拒绝服务攻击(Distributed Denial of Service，简称“DDoS”)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点分布在不同地方，因此称这类攻击为分布式拒绝服务攻击。

二、DDoS攻击原理

单一的DoS攻击一般采用一对一方式，利用网络协议和操作系统的一些缺陷，采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。

与DoS攻击由单台主机发起攻击相比较，分布式拒绝服务攻击（DDoS）是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起集团行为，从而快速达到消耗网络资源，造成网络或系统瘫痪的攻击效果。

三、DDoS攻击常见类型

1.流量型攻击

攻击原理：通过多个随机源“肉鸡”向攻击目标发送大量的数据包，占用攻击目标网络资源和处理单元，造成攻击目标的网络堵塞或宕机。

流量型DDoS攻击根据攻击方式的不同可以分为IP lood、SYN Flood以及UDP反射Flood等。

（1）IP lood

以多个随机的源主机地址向目的主机发送超大量的随机或特定的IP包，造成目标主机不能处理其他正常的IP报文。

（2）SYN Flood

以多个随机的源主机地址向目的主机发送syn包，而在收到目的主机的syn+ ack包后并不回应，目的主机为这些源主机建立大量的连接队列，由于没有收到ack一直维护这些连接队列，造成资源的大量消耗而不能向正常的请求提供服务。

（3）UDP 反射Flood

在短时间内冒充被攻击地址向外部公用的服务器发送大量的UDP请求包，外部服务器收到虛假的UDP请求就会回复大量的回应包给被攻击服务器地址，造成目标主机被保护，服务器不能处理其他正常的交互流量。

2.连接型攻击

攻击原理：利用目标用户获取服务器资源时需要交换DNS数据包的特性，发送大量的伪装DNS数据包导致目标用户网络拥塞，不能访问目标服务器。

连接型DDoS攻击根据攻击方式的不同可以分为DNS Query Flood和DNS Reply Flood等。

DNS Query Flood通过发起大量的DNS请求，导致DNS服务器无法响应正常用户的请求，正常用户不能解析DNS，从而不能获取服务。

DNS Reply Flood通过发起大量伪造的DNS回应包，导致DNS服务器带宽拥塞无法响应正常用户的请求，正常用户不能解析DNS，从而不能获取服务。

3.特殊协议缺陷攻击

攻击原理：利用目标用户平时使用服务所需要的协议漏洞，通过协议漏洞向目标用户递送大量的数据交换包，导致目标用户无法正常使用主机。特殊协议缺陷攻击常见的方式有Https Flood、Sip Invite Flood、Sip Register Flood、Ntp Request Flood、Connection Flood等。

（1）Https Flood

攻击者向被攻击服务器大量高频地发送请求服务，使服务器忙于向攻击者提供https响应资源，从而导致不能向正常的合法用户提供请求响应服务。

（2）Sip invite Flood

通过发起大量的Sip invite请求，导致网络视频电话会议Sip服务器无法响应正常用户的请求报文，占用服务器带宽使其阻塞，达到Sip报文洪水攻击的目的。

（3）Ntp Request Flood

攻击者向NTP服务器发送大量的请求报文，占用服务器带宽使其阻塞达到NTP攻击的目的。

（4）Connection Flood

利用真实IP地址(代理服务器、广告页面)在服务器上建立大量连接，造成服务器上残余连接过多，效率降低，甚至资源耗尽，无法响应。

四、DDoS攻击防护

1、网络设施

（1）保证足够带宽

网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYN Flood攻击。当前至少要选择100M的共享带宽，最好是挂在1000M的主干上，才能应对当前大流量的攻击。

（2）硬件防火墙

针对DDoS攻击和黑客入侵而设计的专业级防火墙通过对异常流量的清洗过滤，可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等流量型DDoS攻击。

（3）选用高性能设备

除了防火墙，服务器、路由器、交换机等网络设备的性能也需要跟上，如果设备性能成为瓶颈，即使带宽充足也无能为力。在有网络带宽保证的前提下，应尽量提升硬件配置。

2、防御方案

（1）负载均衡

普通级别服务器处理数据的能力最多只能答复每秒数十万个链接请求，网络处理能力很受限制。负载均衡建立在现有网络结构之上，提供了一种廉价、有效、透明的方法来扩展网络设备和服务器的带宽，增加吞吐量，加强网络数据处理能力，对DDoS流量攻击和cc攻击都有明显的防御效果。

（2）CDN流量清洗

CDN是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。

（3）分布式集群防御

分布式集群防御的特点是在每个节点服务器配置多个IP地址，如果一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态。

（4）高防智能云解析

云解析颠覆了传统一个域名对应一个镜像的做法，智能根据用户的上网路线将DNS解析请求匹配到用户所属网络的服务器。同时云解析还具备宕机检测功能，随时可将瘫痪的服务器IP智能更换成正常服务器IP，为企业的网络保持一个永不宕机的服务状态。

3、预防手段

（1）筛查系统漏洞

及早发现系统存在的攻击漏洞，及时安装系统补丁，对重要信息建立和完善备份机制，对一些特权账号的密码谨慎设置，通过一系列的举措可以把攻击者的可乘之机降低到最小。

（2）系统资源优化

合理优化系统，避免系统资源的浪费，尽可能减少计算机执行进程，减少不必要的系统加载项及自启动项，提高web服务器的负载能力。

（3）限制特定流量

检查访问来源并做适当的限制，以防止异常、恶意的流量来袭，限制特定的流量，主动保护网站安全。

随着互联网业务的日益增长以及网络技术的不断更新和发展，可以预见未来DDoS攻击还会大幅度增长，攻击手段也会越来越复杂多样，其所带来的威胁和破坏也会越来越难以估量。因此，企业需时刻保持警惕，提前做好应急方案，才能有效防御和应对包括DDoS攻击在内的各种网络安全问题。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

• 2023届全国高校毕业生预计达到1158万人，就业形势严峻；
• 国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

 “没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

 2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

 行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

 

 （都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。 

  因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取