DDoS攻防学习总结

一.简介

全称Distributed Denial of Service，中文意思为“分布式拒绝服务”，就是利用大量合法的分布式服务器对目标发送请求，从而导致正常合法用户无法获得服务。黑客控制僵尸网络向目标服务器发送大流量数据，导致服务器无法响应正常请求。

通俗点讲就是利用网络节点资源如：IDC服务器、个人PC、手机、智能设备、打印机、摄像头等对目标发起大量攻击请求，从而导致服务器拥塞而无法对外提供正常服务。

 

二.DDoS攻击分类

DDoS攻击按攻击方式划分有：泛洪攻击(Flood)、畸形报文攻击(Malformation)、扫描探测类攻击(Scan&Probe)

2.1泛洪攻击

泛洪攻击也叫Flood攻击，是指攻击者通过僵尸网络、代理或直接向攻击目标发送大量的伪装的请求服务报文，最终耗尽攻击目标的资源。发送的大量报文可以是TCP的SYN和ACK报文、UDP报文、ICMP报文、DNS报文、HTTP/HTTPS报文等。

近年来，泛洪攻击又发展出了一种高级形式，我们称之为反射攻击。顾名思义，反射攻击并不是直接向攻击目标发起大量服务请求，而是攻击者控制僵尸网络中的海量僵尸主机伪装成攻击目标，都以攻击目标的身份向网络中的服务器发起大量服务请求。网络中的服务器会响应这些大量的服务请求，并发送大量的应答报文给攻击目标，从而造成攻击目标性能耗尽。

 

反射攻击大多是由UDP Flood变种而来，反射的是UDP报文，例如NTP、DNS、SSDP、SMTP、Chargen等。为什么选中UDP呢？因为UDP的响应（Reponse）报文大小要大于请求（request）报文，这样攻击者就实现了对攻击流量的放大。

以NTP报文为例，NTP的Monlist命令用来查询主机最近所有和服务器通信的记录，服务器会返回最多600个通信记录，这样流量就被放大了数百倍。 如果攻击者控制成千上万的傀儡机伪装成攻击目标大量发送此命令给NTP服务器，那么反射给攻击目标的流量可想而知。

 

2.2畸形报文攻击

常指攻击者发送大量有缺陷或特殊控制作用的报文，从而造成主机或服务器在处理这类报文时系统崩溃。畸形报文攻击例如Smurf、Land、Fraggle、Teardrop、WinNuke攻击等。特殊控制报文攻击包括超大ICMP报文、ICMP重定向报文、ICMP不可达报文和各种带选项的IP报文攻击。

2.3扫描探测类攻击

一种潜在的攻击行为，并不具备直接的破坏行为，通常是攻击者发动真正攻击前的网络探测行为，例如IP地址扫描和端口扫描等。

2.4 按协议分层

DDoS攻击按TCP/IP协议分层划分有：网络层攻击、传输层攻击、应用层攻击。

 

网络层：IP地址扫描攻击、大部分特殊控制报文攻击、Teardrop攻击、Smurf攻击、IP分片报文攻击、ICMP Flood攻击

 

传输层：SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood、TCP连接耗尽攻击、UDP Flood（包括各种反射攻击）、TCP/UDP分片报文攻击、DNS Flood、DNS缓存投毒、其余各种与TCP、UDP报文和端口相关的攻击

 

应用层：HTTP Flood、HTTP慢速攻击、HTTPS Flood、SSL DDoS攻击、SIP Flood

 

三.DDoS防护手段

3.1 高防IP

高防IP是通过把域名解析到高防IP上，并配置源站IP。所有公网流量都经过高防IP机房，通过端口协议转发的方式将访问流量通过高防IP转发到源站IP，同时将恶意攻击流量在高防IP上进行清洗过滤后，将正常流量返回给源站IP，从而确保源站IP稳定访问。这种防御方式防御能力够强且成本低，是大部分企业选择的ddos防御措施。

 

3.2软件防火墙

DDoS防御的最简单(虽然并非最有效)方法是在服务器上使用软件防火墙，或者通过设置相关脚本，过滤掉这些异常流量。企业可以使用简单的命令和专用服务器的软件防火墙，来获取攻击者的IP地址、与服务器的连接数，并将其屏蔽。

这种方法适用于流量较小的骚扰型DDoS攻击，很多服务器供应商也会在数据中心部署这样的软件防火墙以保护网络，不过防御流量比较小，一旦超过服务商就会触发黑洞策略。当遭受到更大规模更复杂的攻击时，应该选择更专业更具针对性的ddos防护方案。

 

可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略

3.3高防服务器

除了软件防火墙和高防ip段，常见的防御手段还有使用硬防–高防服务器。高防服务器是指独立单个防御50G以上的服务器类型，硬件成本相对高一些。适用于易遭受攻击的行业，如游戏、金融、银行等对安全要求高的行业。

 

3.4分布式集群防御

目前网络安全界防御大规模DDOS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址（负载均衡），并且每个节点能承受不低于10G的DDOS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。

 

3.5高防智能DNS解析

根据用户的上网路线将DNS解析请求解析到用户所属网络的服务器。同时智能DNS解析系统有宕机检测功能，随时可将瘫痪的服务器IP智能更换成正常服务器IP，为企业的网络保持一个永不宕机的服务状态。

 

四.针对DDoS的防护建议

1、采用高性能的网络设备

首先需要保证路由器、交换机、硬件防火墙等网络设备的性能，当发生DDoS攻击的时候，用足够性能的机器、容量去承受攻击，充分利用网络设备保护网络资源是十分有效的应对策略。

2、保证服务器系统的安全

首先要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。

3、充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。

4、把网站做成静态页面或者伪静态

大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现。如果非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的。

5、增强操作系统的TCP/IP栈

Windows操作系统本身就具备一定的抵抗DDoS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，还需自行去微软官网了解。

6、HTTP 请求的拦截

HTTP 请求的特征一般有两种：IP 地址和 User Agent 字段。比如，恶意请求都是从某个 IP 段发出的，那么把这个 IP 段封掉就行。或者，它们的 User Agent 字段有特征(包含某个特定的词语)，那就把带有这个词语的请求拦截。

7、部署CDN

CDN 指的是网站的静态内容分发到多个服务器，用户就近访问，提高速度。因此，CDN 也是带宽扩容的一种方法，可以用来防御 DDOS 攻击。

8、隐藏服务器的真实IP地址

服务器前端加CDN中转，如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。

9、定期检查

企业网骨干需要定期检查主要的网络节点，清查可能会出现的问题，对于新出现的漏洞及时处理。主要因为是骨干节点本身就具有很高的带宽，这是黑客们可以利用的好位置，所以说要加强这些主机是十分必要的。

10、利用专业的安全防护产品

购买专业网络安全设备，购买专业解决方案等。