DoS/DDoS的现状分析和典型案例

本文是我在学习计算机网络安全课程的一次作业，要求是调研一种计算机网络攻击，调研过程中查阅了一些资料，有一些知识尚未了解，很多解释存在不足请多多指教。

1 概述

近年来，随着计算机和网络技术的飞速发展，网络的普及率越来越高，网络已然走进普通百姓的生活。生活智能化，货币数字化趋势愈加明显，加之移动互联网的迅速普及，人们对网络的依赖越来越高。针对网络的攻击也愈加频繁，非传统安全威胁越来越大，国家对网络空间安全的重视程度越来越高，网络空间安全已经成为继陆、海、空、天之外第五大安全空间。
网络技术的飞速发展也带来了网络安全威胁的日益扩张，信息的保密性、完整性、可用性、可靠性需求日益强烈，而网络攻击手段也层出不穷。如，以窃取信息为代表的木马，注入攻击，钓鱼网站，DNS欺骗，以数据勒索为代表的蠕虫，以破坏计算机系统为代表的病毒，以内网攻击常见的ARP欺骗，以及本文重点介绍的拒绝服务攻击/分布式拒绝服务攻击。

2 DoS/DDoS现状分析

下图是来自Kaspersky的网页截图，从图中可知，一个DDoS风暴已经来临，在长时间的减少之后迎来了大量增长的攻击。在2019年的第一季度，DDoS攻击的数量相较上一季度增长了84%，可见防治DDoS已刻不容缓。

图2.1 Kaspersky网页截图
以下是Kaspersky 2019年第三季度DDoS的统计。从图2.2可知2018年第三季度到2019年第三季度一年以来，DDoS的数量呈持续上升趋势。其中2019年第二季度比2013年第三季度竟增长了50%之多。

图2.2 DDoS相较上一次统计增长的情况
根据Kaspersky的报告，从图2.3可知，DDoS攻击的时长普遍较短，绝大多数小于4小时，可见DDoS攻击主要是短期的攻击。

图2.3 DDoS攻击时长统计（纵轴单位：小时）
以下援引Webopedia的报告，从图2.4可知，过去发生的最大一次DDoS攻击事件是Memcached反射攻击，峰值达到了每秒1.3T bit的数据，潜在扩张了50000倍。最常见的攻击向量是UDP分片攻击，其攻击类型应该是DDoS反射攻击。流行的反射攻击有DNS、NTP、CHANGEN和SSDP等。中间攻击的大小在600Mbps到1200Mbps之间。每个被攻击者每个季度会受到41次攻击。被感染的因特网设备高达650000。DDoS攻击的源头国家前两名是美国和中国。在一个WireX僵尸网络中的结点数达到100000个。由webstresser.org发起的DDoS租借达到400万到600万Mbps。
图2.4 Webopedia的报告
此后笔者从Digital Map上查询到了实时的DDoS攻击状况，调查时间是2020年2月25日，网站的数据是2020年2月24日的，仅以此数据简要说明最近发生的全球DDoS攻击的情况：
图2.5是2月24日全球DDoS攻击类型的统计，可见绝大多数的DDoS攻击都是分片攻击，主要应该是UDP分片攻击，与上文援引的Webopedia报告相符，应用攻击，和TCP连接的攻击等占比很少，由此可知UDP分片攻击是DDoS攻击中威胁最大的一类，由于UDP协议没有流量控制、拥塞控制等机制，在网络中很容易造成UDP报文泛滥，占据大量的网络带宽，致使网络服务无法正常进行，服务器响应缓慢，甚至导致服务器宕机。虚线的粗细代表数据包的大小，可见数据包都在1Gbps左右，由此可知DDoS攻击是大量的小数据包的攻击。

图2.5 DDoS攻击类型统计
图2.6是2月24日全球DDoS攻击的源端口统计，可见绝大多数DDoS攻击的源端口都是DNS的53端口，与上图所示绝大多数攻击类型是UDP分片攻击相符，这种攻击方式称为DDoS反射攻击，将在下文介绍；Chargen服务放大DDoS攻击的19端口其次，Misc反射和其他端口的攻击很少。由此可知DDoS反射攻击是当前最常见的攻击类型，与上文Webopedia的报告相符。
图2.6 DDoS攻击源端口统计
图2.7是2月24日全球DDoS攻击的时长统计，可见绝大多数DDoS攻击的时长单位都是小时，虚线的粗细代表时长大小，发现绝大多数的DDoS攻击时长都是1小时到5小时之间，与上文援引的Kaspersky的报告相符，印证了DDoS攻击大多是短时的攻击。
图2.7 DDoS攻击时长统计
图2.8是2月24日全球DDoS攻击的目的端口统计，可见绝大多数的目的端口是其他端口，少部分是web的80端口和443端口以及DNS的53端口，由此可知被攻击的对象有很多类型，可能是客户机的某些进程；同时还要少量针对web服务器和DNS服务器的攻击。
图2.8 DDoS攻击目的端口统计
此外，从以上4幅图中还可以得到，DDoS攻击的参与国主要有美国、加拿大、英国、波兰、中国和澳大利亚，秘鲁、巴拉圭、南非等国也有DDoS攻击的记录，与上文提到DDoS的前两名国家为美国和中国相符。由此可见，美国、中国等是全球DDoS攻击主要的参与国，DDoS攻击的方式主要是反射攻击，时长较短，数据包较小但数量很大，故数据流量很大。

3 典型案例

以下是我搜集的一些典型的DDoS攻击事件，信息来源于Kaspersky，WIKI百科，CSDN博客等，部分英文资料是个人翻译的。有存在谬误请多多指正

3.1 GitHub: 1.35 Tbps

2018年2月28日，知名开发者平台GitHub突然被攻击，数据流量高达1.35Tbps。根据GitHub的报告，这些通信量被追溯到超过一千个不同的自治系统，数以万计的独立终端。在图3.1中，可见正常流量水平和DDoS攻击时流量的差异。
图3.1 GitHub受到攻击的流量统计
更坏的是，GitHub并不是对此次DDoS攻击完全无准备的，他们仅仅是没有办法知道会发生这种规模的攻击。GitHub在事后的报告中解释道，近些年他们一直在为他们的网络设施部署额外的通路，在此期间他们已经将通路的规模翻倍，以允许他们能抵挡一定的攻击。即使这样，像此次的攻击仍要求他们建设更大规模的网络通路以应付阻塞和过滤。

3.2 CloudFlare: 400 Gbps

2014年，安全提供商和网络加速器提供商CloudFlare遭受了大约400Gbps的DDoS攻击。此次DDoS借助网络时间协议(NTP)的漏洞发起，定向攻击了单一的CloudFlare欧洲客户。即使遭受此次攻击的仅是CloudFlare的一家客户，但在CloudFlare的网络内部仍然遭受了很大影响。这次攻击的攻击者使用僵尸网络，伪装了受害者的源地址，向NTP服务器发送了大量的请求报文，服务器返回了大量的回应报文给受害者，致使受害者瘫痪甚至宕机。此次攻击让人们知道了反射攻击，能够反射并放大网络流量。
在这次DDoS攻击发生不久后，美国计算机应急处置小组解释了NTP放大攻击是特别困难被阻止的，因为响应报文是来自合法服务器的合法数据，难以被拦截。

3.3 Spamhaus: 300 Gbps

在2013年，发生了一次对国际反垃圾邮件组织的DDoS攻击。即使该组织作为一个反对滥发垃圾邮件的组织，经常遭受威胁或攻击，但此次DDoS攻击还是大到致使他们网站和一些邮件服务下线的程度。类似上文提到的2014年针对CloudFlare的攻击，这次攻击采用了反射攻击的方式，使得该组织的服务器遭受了300Gbps的网络流量。这次攻击被追溯到了一个荷兰公司Cyberbunker的公司职员，随后被该公司解雇并列入黑名单。

3.4 U.S. Banks: 60 Gbps

2012年，Bank of America, JP Morgan Chase, U.S. Bancorp, Citigroup and PNC Bank 等银行被基于字符串的DDoS攻击锁定，此次攻击由数百个被劫持的服务器开展，每一台服务器可产生超过60Gbps的数据流量。在当时，这些攻击的持续时间是前所未有的，攻击者没有试图进行一次攻击，然后停止，而是采用多种方法攻击目标，以便找到一个有效的方法。因此即使银行有能力应对几种类型的DDoS攻击，他们也无法抵御其他类型的攻击。

3.5 运营商DNS网络DDoS攻击事件

2014年12月10日，爆发了运营商DNS网络DDoS攻击事件。从12月10日凌晨开始，现网监控到攻击流量突增的情况，到上午11点开始，攻击开始活跃，多个省份不断出现网页访问缓慢，甚至无法打开等故障现象。某省运营商遭遇的攻击，高峰时竟然出现了高达6G的攻击混合流量，对DNS网络的冲击可想而知。
经过分析样本发现，12月10日的攻击主要是针对多个域名（包括arkhamnetwork.org、arkhamnetwork.com、getfastinstagramfollowers.net）的随机查询攻击；11日凌晨攻击出现变种，出现针对其他域名的攻击，攻击源主要来自各省内。攻击者不仅在短暂的时间内发起了峰值大于6G bps的查询请求（全国范围内大于100G的攻击），而且连续的变换二级域名，造成各省的DNS递归服务器延迟增大，核心解析业务受到严重影响。

4 总结与感想

此次网络攻击方式调研我选择了当下威胁最大的攻击方式之一，DoS/DDoS攻击。由于之前对该类攻击只是听说，了解其原理，并未有深入的研究，所以在调研过程中我查找了大量的资料，更加全面深入的了解了拒绝服务攻击的原理，类型，防范措施，典型案例和危害。
在调研过程中，我发现黑客的攻击已不再是以炫耀技术为目的，而转为非法牟利，DDoS攻击也趋于商业化，随着僵尸网络的兴起，DDoS攻击的增长势头越来越明显，攻击的强度也越来越强，影响范围越来越大。在课堂上介绍的诸如SYN Flood，Ping of Death之类的攻击已比较罕见，因为当前的服务器具有了防范此类攻击的机制。DDoS攻击变得越来越隐蔽，越来越难以识别，就像时下泛滥的反射攻击和放大攻击，黑客的僵尸网络已不再是控制个人计算机，而转为劫持DNS等服务器，利用放大效应产生大量的数据流量，而这些数据流量往往被认为是合法的，难以识别和防范。
在调研中我还发现，DDoS攻击和不良的商业竞争以及博弈也有着千丝万缕的联系，针对某些公司或单位发起的DDoS攻击源头极有可能是其竞争对手，同时DDoS攻击也成了博弈的一种体现，在多方势力存在主张差异时，往往会发起DDoS攻击。
通过此次调研，我深刻的认识到科学技术是一把双刃剑，我们在享受技术发展带来的便利的同时，也遭受着网络攻击带来的威胁。我们要谨慎利用网络技术，积极为人民造福，警惕和防范恶意的网络攻击，同时要加紧研究防范这些攻击的技术，保障经济社会平稳健康发展。