一、什么是DDoS攻擊？

DDoS是Distributed Denial of Service的縮寫，翻譯成中文就是“分布式拒絕服務”。DDoS攻擊將處于不同位置的多個計算機聯(lián)合起來作為攻擊平臺，對一個和多個目標發(fā)動DDoS攻擊，從而成倍提高攻擊威力。由于攻擊的發(fā)出點分布在不同地方，因此稱這類攻擊為分布式拒絕服務攻擊。

二、攻擊的方式

DDoS攻擊通過大量的無用請求占用網(wǎng)絡資源，從而造成網(wǎng)絡堵塞、服務器癱瘓等目的。DDoS攻擊的方式有很多種，大致上可以分為一下幾種類型：

（1）通過使網(wǎng)絡過載來干擾甚至阻斷正常的網(wǎng)絡通信；

（2）通過向服務器提交大量請求，使服務器超負荷；

（3）阻斷某一用戶訪問服務器；

（4）阻斷某服務與特定系統(tǒng)或個人的通訊。

DDoS攻擊能夠利用反射器對攻擊性流量進行放大攻擊，而且還具DDoS反射攻擊的特點，能夠?qū)�攻擊來源更加難以追溯，如果在沒有依靠高防服務下，DDoS放大攻擊更加難防御。通常 DDoS 放大攻擊想要實施其實需要一定的條件，下面我們就詳細介紹一下實現(xiàn) DDoS 放大攻擊的常見方式。

DNS 放大攻擊

DNS 稱為域名系統(tǒng)(Domain Name System)，其作用為可以將域名和 IP 地址相互映射的一個分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，DNS 使用的 TCP 與 UDP 端口號都是 53，主要使用 UDP 協(xié)議。通常，DNS 響應數(shù)據(jù)包會比查詢數(shù)據(jù)包大，攻擊者利用普通的 DNS 查詢請求就能夠?qū)⒐�擊流量放�?2 到 10 倍。但更有效的方法是使用 RFC 2671 中定義的 DNS 擴展機制 EDNS0。在 EDNS0 中，擴展了 DNS 數(shù)據(jù)包的結(jié)構(gòu)，增加了 OPT RR 字段。在 OPT RR 字段中，包含了客戶端能夠處理的最大 UDP 報文大小的信息。服務端在響應 DNS 請求時，解析并記錄下客戶端能夠處理的最大 UDP 報文的大小，并根據(jù)該大小生成響應的報文。

攻擊者發(fā)送的 DNS 查詢請求數(shù)據(jù)包大小一般為 60 字節(jié)左右，而查詢返回結(jié)果的數(shù)據(jù)包大小通常為 3000 字節(jié)以上，因此，使用該方式進行放大攻擊能夠達到 50 倍以上的放大效果。極端情況下，36 字節(jié)的查詢請求能夠產(chǎn)生 3k～4k 字節(jié)的應答，也就是說，能夠?qū)�攻擊流量進行一百倍放大

SNMP 放大攻擊

SNMP 是簡單網(wǎng)絡管理協(xié)議(Simple Network Management Protocol)的縮寫，該協(xié)議是目前 UDP/IP 網(wǎng)絡中應用最為廣泛的網(wǎng)絡管理協(xié)議，如今，各種網(wǎng)絡設(shè)備上都可以看到默認啟用的 SNMP 服務，從交換機到路由器，從防火墻到網(wǎng)絡打印機，無一例外。

在 SNMPv1 中定義的 Get 請求可以嘗試一次獲取多個 MIB 對象，但響應消息的大小受到設(shè)備處理能力的限制。如果設(shè)備不能返回全部請求的響應，則會返回一條錯誤信息。在SNMPv2 中，添加了 GetBulk 請求，該請求會通知設(shè)備返回盡可能多的數(shù)據(jù)，這使得管理程序能夠通過發(fā)送一次請求就獲得大段的檢索信息。利用默認通信字符串和 GetBulk 請求，攻擊者能夠開展有效的 SNMP 放大攻擊。

攻擊者向廣泛存在并開啟了 SNMP 服務的網(wǎng)絡設(shè)備發(fā)送 GetBulk 請求，使用默認通信字符串作為認證憑據(jù)，并將源 IP 地址偽造成被攻擊目標的 IP 地址。設(shè)備收到 GetBulk 請求后，會將響應結(jié)果發(fā)送給被攻擊目標。當大量的響應結(jié)果涌向目標時，就會導致目標網(wǎng)絡擁堵和緩慢，造成拒絕服務攻擊。攻擊者發(fā)送的 GetBulk 請求數(shù)據(jù)包約為 60 字節(jié)左右，而請求的響應數(shù)據(jù)能夠達到 1500字節(jié)以上，因此，使用該方式進行放大攻擊能夠達到 20 倍以上的放大效果。

其他形式的放大攻擊

在 NTP 協(xié)議中，monlist 請求可以獲取與目標 NTP 服務器進行過同步的最后 600 個客戶端的 IP 地址。發(fā)送一個很小的請求包，就能獲取到大量的活動 IP 地址組成的連續(xù) UDP 包。通過偽造 IP 地址并發(fā)送 monlist 請求，可以將攻擊流量放大 500 倍以上。

在 CHARGEN 協(xié)議中，每當服務器收到客戶端的一個 UDP 數(shù)據(jù)包，這個數(shù)據(jù)包中的內(nèi)容將被丟棄，而服務器將發(fā)送一個數(shù)據(jù)包到客戶端，其中包含長度為 0～512 字節(jié)之間隨機值的任意字符。利用該協(xié)議可以將攻擊流量放大 2～10 倍。需要說明的是，由于這些協(xié)議在互聯(lián)網(wǎng)上部署的范圍不夠廣泛，因此他們不能作為DDoS 放大攻擊的主要手段和產(chǎn)生攻擊流量的主要部分，只能作為輔助手段增大攻擊流量。

三、攻擊的現(xiàn)象

DDoS攻擊是最常見也是危害極大的一種網(wǎng)絡攻擊方式，當出現(xiàn)DDoS攻擊時，往往會出現(xiàn)以下幾種特征：

1、帶寬被大量占用

占用帶寬資源是DDoS攻擊的主要手段，如果發(fā)現(xiàn)網(wǎng)絡帶寬被大量無用數(shù)據(jù)所占據(jù)，正常請求難以被處理，那么網(wǎng)站可能出現(xiàn)被DDOS攻擊的可能。

2、服務器CPU被大量占用

DDoS攻擊利用肉雞或攻擊軟件對目標服務器發(fā)送大量無效請求，導致服務器資源被大量占用，因此如果服務器某段時間出現(xiàn)CPU占用率過高那么就可能是網(wǎng)站受到DDoS攻擊影響。

3、域名ping不出

當攻擊者所針對的攻擊目標是網(wǎng)站的DNS域名服務器時，ping服務器的IP是正常聯(lián)通的，但是網(wǎng)站就是不能正常打開，并且在ping域名時會出現(xiàn)無法正常ping通的情況。

4、服務器連接不到

如果網(wǎng)站服務器被大量DDoS攻擊，有可能造成服務器藍屏或死機，這時就意味著服務器已經(jīng)連接不上了，網(wǎng)站出現(xiàn)連接錯誤的情況。四、攻擊的危害

四、DDoS攻擊的危害

DDoS攻擊可以造成網(wǎng)絡的嚴重堵塞和服務器的癱瘓，會對政府和企業(yè)造成非常大的負面影響。

（1）業(yè)務受損

如果服務器因DDoS攻擊造成無法訪問，會導致客流量的嚴重流失，進而對整個平臺和企業(yè)的業(yè)務造成嚴重影響。如游戲平臺，在線教育，電商平臺，金融行業(yè)，直播平臺等需要業(yè)務驅(qū)動的網(wǎng)站，受DDoS攻擊影響最大。

（2）形象受損

服務器無法訪問會導致用戶體驗下降、用戶投訴增多等問題，不但會影響潛在客戶的轉(zhuǎn)化率和成交率，現(xiàn)有用戶也會對企業(yè)的安全性和穩(wěn)定性進行重新評估，企業(yè)的品牌形象和市場聲譽將受到嚴重影響。

（3）數(shù)據(jù)泄露

如今使用DDoS作為其他網(wǎng)絡犯罪活動掩護的情況越來越多，當網(wǎng)站被打到快癱瘓時，維護人員的全部精力都在抗DDoS上面，攻擊者竊取數(shù)據(jù)、感染病毒、惡意欺騙等犯罪活動更容易得手。