N0ts Blog

浅谈一下可恨且无奈的DDOS攻击，运维最害怕的攻击

.001     运维师

首先来谈谈-运维。如果你是一名运维工程师，一个运维在公司或者团队需要做的事情可能很多很杂，比如WebServer，KVM，OpenVZ，DNS，负载均衡等等内容，对于运维来说，最怕遇到的也是最棘手的问题肯定属于DDOS攻击了，他们最怕半夜三更接到电话说服务器遭受到了DDOS攻击。 至于为什么这么害怕DDOS，请往下看～ :huaji23:

.002     一个例子

举个例子，15年，一个某直播平台的真实案例，运维人员基本上每天的任务就是看下服务器的硬盘I/O负载，数据库负载，还有是否有错误日志，很平常。 公司融资了2000万，对于直播行业可能不多，都送对于一个公司已经走出了第一步。 正当公司想着未来的发展，上市时，公司受到了重创。 16年中秋节，正当他们享受着月饼时，接到公司电话，要求立刻回公司处理突发状况。 赶到公司时，运维同事说平台的登陆系统服务器和主播打赏系统服务器被大规模DDoS攻击，由于攻击规模较大，CDN服务商直接将域名做了回源处理，大量的攻击流量涌入源服务器，IDC机房直接将被攻击的IP地址做了封堵处理。 询问了IDC接入服务商本次的DDoS攻击规模，得知入向的DDoS攻击流量高达200Gbps+ IDC接入服务商表示机房总接入带宽是200Gbps，这次攻击直接将机房出口打满，为了不影响其他用户，只能将被攻击的IP地址做封堵处理。 由于本次DDoS攻击规模超过了IDC服务商的接入带宽，IDC服务商没有能力防御，于是求助于云服务商。 最后云服务商给出的高防IP报价非常之高，按天计算，300G防御的每天费用为2.5万元，按月费用为37万元，如果攻击超出300G，费用还需要支付额外防御费用。 但是公司业务处于瘫痪状态，为了尽快恢复业务，公司开通了按天的DDoS防御服务，在预存10万的防御费用后，当晚8点，DDoS防御服务开通。 防御开通后，经过云服务商的DDoS清洗服务，攻击流量被拦截，平台暂时恢复了正常，经过一晚上的观察和沟通，最终防御了这次DDoS攻击。

.003     关于DDOS

开始浅谈（瞎几把科普）一下DDOS攻击，DDOS的攻击方式种类太多，我只能根据自己知道的知识浅谈一下，最基本的DOS攻击就是利用合理的服务器请求来占用过的的服务器资源，从而使正常客户访问超时或无法访问，这种攻击方式采用“一对一方”式的，攻击的目标如果CPU运算较低，内存运算过小或者网络较慢，这个效果就是明显的，但是如今计算机发展相当快速，服务器运算能力越来越大，这使得服务器本身消化恶意请求能力越来越大，DOS攻击越来越困难，这时候分布式拒绝攻击手段-DDOS也就诞生了。 DDOS就是在DOS的基础上运用傀儡机（这里指肉鸡，下次科普一下肉鸡是什么）来发起进攻，攻击者如果拥有大量的傀儡机从而发起更大，更广泛的攻击，比以前DOS更大的请求来堵塞目标网络甚至瘫痪。

.004     攻击方式

DDOS攻击方式太多，这里就说下我知道的一些DDOS攻击方式。

• SYN Flood攻击

老生常谈的一种DDoS攻击类型，从早期的利用TCP三次握手原理，伪造的IP源，以小博大，难以追踪，堪称经典的攻击类型。 大量的伪造源的SYN攻击包进入服务器后，系统会产生大量的SYN_RECV状态，最后耗尽系统的SYN Backlog，导致服务器无法处理后续的TCP请求，导致服务器瘫痪。

• UDP Flood攻击

UDP Flood攻击目前来说越来越普遍，得益于各种软件设计缺陷和UDP协议的无连接特性，这让UDP Flood攻击非常容易发起，并且可以得到数十倍数千倍的攻击放大。

• DNS Query攻击

DNS Query攻击是最具备威胁的攻击方式，普遍存在于棋牌游戏，私服，菠菜，AV等暴利，竞争不是你死就是我活的行业。

• HTTP(s) Flood攻击(CC攻击)和防御方式

HTTP(s) Flood攻击和SYN Flood攻击一样非常棘手，但是也非常经典，攻击效果非常显著，而防御难度却比SYN Flood攻击高出几个数量级！ 同时攻击软件也日新月异，各种攻击模式，很大一部分的攻击软件甚至都可以完全模拟用户行为，使用headless浏览器攻击网站，真真假假很难分辨。 针对CC攻击的防御，也是分攻击规模的。 如果攻击规模不大的，可以考虑将被攻击的页面静态化，避开数据库查询，和动态语言。

• 慢请求攻击

慢请求攻击是这几年新兴的攻击方式，通过大量的肉鸡发起大量的请求，每个肉鸡每秒只请求1次，大量肉鸡会导致服务器遭受大量的攻击请求，但每个源IP看着却没有异常行为。

• 脉冲型攻击

这种攻击可以在短时间内发起多次DDoS攻击，并且快速停止，快速打击，这对于很多云安全防御服务商来说就是噩梦，这种攻击的危害非常巨大，基本上所有防御服务商都不愿意防御这种攻击。 慢请求型的CC攻击危害较大，但是发起的难度和成本也会高一些，通常攻击者为了利用有限的肉鸡打出较大的攻击，通常会将单个肉鸡的每秒查询速度设定到较大的值，例如每秒5到10次，这种攻击方式往往可以通过源IP频率限制等方式拦截，而慢请求型的CC攻击反其道而行，攻击者往往有足够多的肉鸡资源。 例如攻击者有10万肉鸡在线量，那么每个肉鸡每秒只发起一次请求，10万个肉鸡也可以发起10万每秒的请求，这对于WEB服务器来说压力是巨大的，尤其是中小型企业，没有那么多预算去做Web集群和数据库集群，以及动态可伸缩的Web和MySQL，一旦面临这种慢连接和慢请求CC攻击，基本上都会直接出现数据库过载瘫痪，Web服务器瘫痪。

.005     如何防御

这里介绍几种方式，可以进行参考一下，如果遇到大流量攻击，最好最直接的方法还是购买专业的清洗流量服务。

• 过滤不必要的服务和端口

可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP

• 异常流量的清洗过滤

通过ddos硬件防火墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包

• 分布式集群防御

这是目前网络安全界防御大规模ddos攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址（负载均衡），并且每个节点能承受不低于10G的ddos攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策

• 流量清洗

ddos.cc平台在全球范围内设置了十几个流量清洗中心，这些清洗中心形成了抗ddos集群，拥有百万兆加的流量清洗能力。一旦发生ddos攻击，能够在最快速度内将ddos攻击的流量清洗掉，并且将有效流量及时返回。既阻止了ddos，又不影响网站正常运营，是防御ddos攻击最有效的方式   本文涉及内容部分来自网络 Nutssss原创的个人知识科普 如有错误欢迎指出 转载请表明出处 :huaji12: