DDoS攻擊素來以成本低廉（相比防御）、效果顯著、影響深遠為攻擊者所青睞，經(jīng)過長時間的發(fā)展，DDoS攻擊方式有很多種，最基本的DoS攻擊利用單個合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。DoS攻擊通常采用一對一的方式，在目標系統(tǒng)帶寬、內(nèi)存、CPU等各項性能指標都不高時，具有明顯的效果。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，千兆級別的網(wǎng)絡(luò)出現(xiàn)，目標系統(tǒng)的“消化能力”倍增，這時候，分布式的拒絕服務(wù)攻擊手段——DDoS就出現(xiàn)了。

利用網(wǎng)絡(luò)上已被攻陷的電腦作為“肉雞”，通過一定方式組合形成數(shù)量龐大的“僵尸網(wǎng)絡(luò)”，采用一對多的方式進行控制，向目標系統(tǒng)同時提出服務(wù)請求，殺傷力大幅度增加。DDoS攻、防對抗多年，從DoS到DDoS，從以流量取勝到以技巧取勝，從單一攻擊到混合攻擊，攻擊手段正不斷進化，本文將一一介紹最常見、最具代表性的攻擊方式，企業(yè)運營者做到知己知彼，才能有備無患。

一、攻擊帶寬：以力取勝

如同城市堵車一樣，當(dāng)數(shù)據(jù)包超過帶寬上限，就會出現(xiàn)網(wǎng)絡(luò)擁堵、響應(yīng)緩慢的情況。流量型DDoS攻擊就是如此，發(fā)送海量數(shù)據(jù)包，頃刻占滿目標系統(tǒng)的全部帶寬，正常請求被堵在門外，拒絕服務(wù)的目的達成。

ICMPFlood

ICMP（Internet控制報文協(xié)議）用于在IP主機、路由器之間傳遞控制消息，控制消息是指網(wǎng)絡(luò)通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò)本身的消息，雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。通過對目標系統(tǒng)發(fā)送海量數(shù)據(jù)包，就可以令目標主機癱瘓，如果大量發(fā)送就成了洪水攻擊。

UDPFlood

UDP協(xié)議是一種無連接的服務(wù)，在UDPFlood中，攻擊者通常發(fā)送大量偽造源IP地址的小UDP包沖擊DNS服務(wù)器或Radius認證服務(wù)器、流媒體視頻服務(wù)器。100kbps的UDPFlood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個網(wǎng)段的癱瘓。

上述傳統(tǒng)的流量型攻擊方式技術(shù)含量較低，傷人一千自損八百，攻擊效果通常依賴受控主機本身的網(wǎng)絡(luò)性能，而且容易被查到攻擊源頭，單獨使用的情況已不常見。于是，具有四兩拔千斤效果的反射型放大攻擊就出現(xiàn)了。

NTPFlood

NTP是標準的基于UDP協(xié)議傳輸?shù)木W(wǎng)絡(luò)時間同步協(xié)議，由于UDP協(xié)議的無連接性，方便偽造源地址。攻擊者使用特殊的數(shù)據(jù)包，也就是IP地址指向作為反射器的服務(wù)器，源IP地址被偽造成攻擊目標的IP，反射器接收到數(shù)據(jù)包時就被騙了，會將響應(yīng)數(shù)據(jù)發(fā)送給被攻擊目標，耗盡目標網(wǎng)絡(luò)的帶寬資源。一般的NTP服務(wù)器都有很大的帶寬，攻擊者可能只需要1Mbps的上傳帶寬欺騙NTP服務(wù)器，就可給目標服務(wù)器帶來幾百上千Mbps的攻擊流量。

因此，“問-答”方式的協(xié)議都可以被反射型攻擊利用，將質(zhì)詢數(shù)據(jù)包的地址偽造為攻擊目標地址，應(yīng)答的數(shù)據(jù)包就會都被發(fā)送至目標，一旦協(xié)議具有遞歸效果，流量就被顯著放大了，堪稱一種“借刀殺人”的流量型攻擊。

面對洪水般的流量，花高價進行抗D帶寬擴容和多運營商鏈路冗余，雖一定程度可提升抗D能力，但面對大量攻擊仍舊于事無補，而且浪費資源。知道創(chuàng)宇旗下抗DDoS云防御平臺——抗D保，橫跨全國的分布式數(shù)據(jù)中心，600G以上帶寬抗DDoS，并可隨時應(yīng)急調(diào)用騰訊自有帶寬1.5Tb，這使得抗D保擁有超過2個Tb的防御能力。 

二、攻擊系統(tǒng)/應(yīng)用：以巧取勝

這類型的DDoS攻擊走的是巧勁，利用各種協(xié)議的行為特性、系統(tǒng)的缺陷、服務(wù)的脆弱性、軟件的漏洞等等發(fā)起攻擊，不斷占用目標系統(tǒng)的資源以阻止它們處理正常事務(wù)和請求。

SYNFlood

這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內(nèi)存不足）的攻擊方式。建立TCP連接，需要三次握手——客戶端發(fā)送SYN報文，服務(wù)端收到請求并返回報文表示接受，客戶端也返回確認，完成連接。

SYNFlood就是用戶向服務(wù)器發(fā)送報文后突然死機或掉線，那么服務(wù)器在發(fā)出應(yīng)答報文后就無法收到客戶端的確認報文（第三次握手無法完成），這時服務(wù)器端一般會重試并等待一段時間后再丟棄這個未完成的連接。一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待一會兒并不是大問題，但惡意攻擊者大量模擬這種情況，服務(wù)器端為了維護數(shù)以萬計的半連接而消耗非常多的資源，結(jié)果往往是無暇理睬客戶的正常請求，甚至崩潰。從正常客戶的角度看來，網(wǎng)站失去了響應(yīng)，無法訪問。

CC 攻擊

CC攻擊是目前應(yīng)用層攻擊的主要手段之一，借助代理服務(wù)器生成指向目標系統(tǒng)的合法請求，實現(xiàn)偽裝和DDoS。我們都有這樣的體驗，訪問一個靜態(tài)頁面，即使人多也不需要太長時間，但如果在高峰期訪問論壇、貼吧等，那就很慢了，因為服務(wù)器系統(tǒng)需要到數(shù)據(jù)庫中判斷訪問者否有讀帖、發(fā)言等權(quán)限。訪問的人越多，論壇的頁面越多，數(shù)據(jù)庫壓力就越大，被訪問的頻率也越高，占用的系統(tǒng)資源也就相當(dāng)可觀。

CC攻擊就充分利用了這個特點，模擬多個正常用戶不停地訪問如論壇這些需要大量數(shù)據(jù)操作的頁面，造成服務(wù)器資源的浪費，CPU長時間處于100%，永遠都有處理不完的請求，網(wǎng)絡(luò)擁塞，正常訪問被中止。這種攻擊技術(shù)性含量高，見不到真實源IP，見不到特別大的異常流量，但服務(wù)器就是無法進行正常連接。

之所以選擇代理服務(wù)器是因為代理可以有效地隱藏自己的身份，也可以繞開防火墻，因為基本上所有的防火墻都會檢測并發(fā)的TCP/IP連接數(shù)目，超過一定數(shù)目一定頻率就會被認為是Connection-Flood。當(dāng)然也可以使用肉雞來發(fā)動CC攻擊，攻擊者使用CC攻擊軟件控制大量肉雞發(fā)動攻擊，肉雞可以模擬正常用戶訪問網(wǎng)站的請求偽造成合法數(shù)據(jù)包，相比前者來說更難防御。

CC攻擊是針對Web服務(wù)在第七層協(xié)議發(fā)起的攻擊，在越上層協(xié)議上發(fā)動DDoS攻擊越難以防御，上層協(xié)議與業(yè)務(wù)關(guān)聯(lián)愈加緊密，防御系統(tǒng)面臨的情況也會更復(fù)雜。比如CC攻擊中最重要的方式之一HTTPFlood，不僅會直接導(dǎo)致被攻擊的Web前端響應(yīng)緩慢，對承載的業(yè)務(wù)造成致命的影響，還可能會引起連鎖反應(yīng)，間接攻擊到后端的Java等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫服務(wù)。

由于CC攻擊成本低、威力大，知道創(chuàng)宇安全專家組發(fā)現(xiàn)80%的DDoS攻擊都是CC攻擊。帶寬資源嚴重被消耗，網(wǎng)站癱瘓；CPU、內(nèi)存利用率飆升，主機癱瘓；瞬間快速打擊，無法快速響應(yīng)。知道創(chuàng)宇頂級安全研究團隊為抗D保自主研發(fā)的Anti-CC防護引擎可以根據(jù)訪問者的URL、頻率、行為等訪問特征，智能識別CC攻擊，迅速識別CC攻擊并進行攔截，在大規(guī)模CC攻擊時可以避免源站資源耗盡，保證企業(yè)網(wǎng)站的正常訪問。

抗D保-抗CC攻擊數(shù)據(jù)（監(jiān)控）

DNSQueryFlood

DNS作為互聯(lián)網(wǎng)的核心服務(wù)之一，自然也是DDoS攻擊的一大主要目標。DNSQueryFlood采用的方法是操縱大量傀儡機器，向目標服務(wù)器發(fā)送大量的域名解析請求。服務(wù)器在接收到域名解析請求時，首先會在服務(wù)器上查找是否有對應(yīng)的緩存，若查找不到且該域名無法直接解析時，便向其上層DNS服務(wù)器遞歸查詢域名信息。

通常，攻擊者請求解析的域名是隨機生成或者是網(wǎng)絡(luò)上根本不存在的域名，由于在本地?zé)o法查到對應(yīng)的結(jié)果，服務(wù)器必須使用遞歸查詢向上層域名服務(wù)器提交解析請求，引起連鎖反應(yīng)。解析過程給服務(wù)器帶來很大的負載，每秒鐘域名解析請求超過一定的數(shù)量就會造成DNS服務(wù)器解析域名超時。

根據(jù)微軟的統(tǒng)計數(shù)據(jù)，一臺DNS服務(wù)器所能承受的動態(tài)域名查詢的上限是每秒鐘9000個請求。而一臺P3的PC機上可以輕易地構(gòu)造出每秒鐘幾萬個域名解析請求，足以使一臺硬件配置極高的DNS服務(wù)器癱瘓，由此可見DNS服務(wù)器的脆弱性。

抗D保在全國多個城市采用分布式集群方式部署了上千臺高效DNS服務(wù)器，從而保證各個地區(qū)的查詢響應(yīng)速度。抗D保的高防DNS服務(wù)，可有效解決突發(fā)的上億級別的隨機HOSTA記錄查詢攻擊、遞歸DNS穿透攻擊、DNS流量攻擊等多種針對域名解析的攻擊請求。

抗D保防御DNS攻擊效果示意

三、混合攻擊：流量與技巧并用

在實際情況中，攻擊者只求達到打垮對方的目的，發(fā)展到現(xiàn)在，高級攻擊者已經(jīng)不傾向使用單一的攻擊手段作戰(zhàn)了，而是根據(jù)目標系統(tǒng)的具體環(huán)境靈動組合，發(fā)動多種攻擊手段，既具備了海量的流量，又利用了協(xié)議、系統(tǒng)的缺陷，盡其所能地展開攻勢。

對于被攻擊目標來說，需要面對不同協(xié)議、不同資源的分布式的攻擊，分析、響應(yīng)和處理的成本就會大大增加。

抗D保擁有國內(nèi)最大的抗D集群，使用騰訊宙斯盾流量清洗設(shè)備并結(jié)合由知道創(chuàng)宇研發(fā)的Anti-DDoS引擎，5秒發(fā)現(xiàn)惡意攻擊，10秒快速阻斷，2T帶寬儲備，通過多種防御手段，防御各種類型、形態(tài)的DDoS攻擊，包括基于網(wǎng)絡(luò)層的攻擊，如TCPFlood、UDPFlood、ICMPFlood，以及應(yīng)用層攻擊，類似HTTPFlood這種試圖耗盡服務(wù)器資源的攻擊，同時可以有效防御各種反射攻擊和僵尸網(wǎng)絡(luò)攻擊。

面對一次次攻擊，即使是去年10月讓美國半個互聯(lián)網(wǎng)癱瘓的DDoS攻擊事件，也只是讓很多人小心臟稍微顫抖了幾下，在大家的印象中，DDoS只是一陣海嘯，很快就能恢復(fù)了往日的平靜。但是，DDoS在互聯(lián)網(wǎng)發(fā)展進程中已經(jīng)留下了太多不可磨滅的破壞，許多企業(yè)就此一蹶不振。而且隨著互聯(lián)網(wǎng)+的不斷推進，商業(yè)競爭的愈演愈烈，它的危害越來越大，任何企業(yè)組織都應(yīng)該考慮自己的DDoS防護方案，而不是成為攻擊的炮灰，也盡量避免遭受攻擊后再亡羊補牢。

相關(guān)新聞

2016-12-20

2017-03-06

2017-07-28

2017-08-17

2017-09-04

事件概述

美國時間3月7日，維基解密（WikiLeaks）網(wǎng)站公布了大量據(jù)稱是美國中央情報局（CIA）的內(nèi)部文件，其中包括了CIA內(nèi)部的組織資料，對電腦、手機等設(shè)備進行攻擊的方法技術(shù)，以及進行網(wǎng)絡(luò)攻擊時使用的代碼和真實樣本。利用這些技術(shù)，不僅可以在電腦、手機平臺上的Windows、iOS、Android等各類操作系統(tǒng)下發(fā)起入侵攻擊，還可以操作智能電視等終端設(shè)備，甚至可以遙控智能汽車發(fā)起暗殺行動。

維基解密將這些數(shù)據(jù)命名為“7號軍火庫”（Vault7），一共有8761份文件，包括7818份網(wǎng)頁以及943個附件。在公布時，維基解密對文件內(nèi)容進行了一些刪節(jié)處理，包括個人真實信息（姓名、郵件地址等），數(shù)以萬計的IP地址，以及真實的二進制文件。維基解密表示在對文件進行進一步的分析之后，會逐步公開這些被刪節(jié)的信息。同時，維基解密稱此次公布的數(shù)據(jù)只是一系列CIA機密材料的第一部分，被稱為“元年”（YearZero），后續(xù)還會有更多資料陸續(xù)公布。

泄漏內(nèi)容

此次公布的數(shù)據(jù)都是從CIA的內(nèi)網(wǎng)保存下來的，時間跨度為2013到2016年。這批文檔的組織方式類似于知識庫，使用Atlassian公司的團隊工作共享系統(tǒng)Confluence創(chuàng)建。數(shù)據(jù)之間有明顯的組織索引關(guān)系，可以使用模板對多個資料進行管理。很多資料有歷史改動的存檔，7818份資料中除去存檔共有1136個最新數(shù)據(jù)。943個附件基本上都可以在資料中找到對應(yīng)的鏈接，屬于其內(nèi)容的一部分。具體而言，這些資料可以分為如下幾類：

1.CIA部門資料，包括部門的介紹，部門相關(guān)的黑客項目，以及部門內(nèi)部的信息分享。

2.黑客項目資料，包括一些不屬于特定部門的黑客工具、輔助項目等，其中有項目的介紹，使用說明以及一些技術(shù)細節(jié)。

3.操作系統(tǒng)資料，包括iOS、MacOS、Android、Linux、虛擬機等系統(tǒng)的信息和知識。

4.工具和開發(fā)資料，包括CIA內(nèi)部用到的Git等開發(fā)工具。

5.員工資料，包括員工的個人信息，以及員工自己創(chuàng)建的一些內(nèi)容。

6.知識庫，這里面分門別類地存放了大量技術(shù)知識以及攻擊手段。其中比較重要的是關(guān)于Windows操作系統(tǒng)的技術(shù)細節(jié)和各種漏洞，以及對于常見的個人安全產(chǎn)品（PersonalSecurityProducts）的繞過手段，包括諾頓、卡巴斯基、賽門鐵克、微軟殺毒以及瑞星等安全產(chǎn)品。

總的來看，這些數(shù)據(jù)雖然有組織關(guān)系，但是作為工作平臺而言，并沒有形成嚴格的規(guī)范，很多文件都是隨意放置的，甚至還包括asdf這樣的測試文件，更像是一個內(nèi)部的知識共享平臺。

典型兵器

在這次公布的數(shù)據(jù)中，一些比較值得注意的兵器項目如下：

WeepingAngel

WeepingAngel(哭泣的天使)是一款由CIAEmbeddedDevicesBranch(嵌入式設(shè)備組)和英國MI5共同開發(fā)的針對三星智能電視的竊聽軟件。三星智能電視使用的是Android操作系統(tǒng)，該竊聽軟件感染智能電視后，會劫持電視的關(guān)機操作，保持程序的后臺運行，讓用戶誤以為已經(jīng)關(guān)機了。它會啟動麥克風(fēng)，開啟錄音功能，然后將錄音內(nèi)容回傳到CIA的后臺服務(wù)器中。考慮到三星智能電視使用的是Android操作系統(tǒng)，推測該惡意軟件具備感染Android手機的能力。韓國和美國是三星智能電視的最主要消費國家。

HIVE

HIVE(蜂巢)是CIA開發(fā)的遠程控制后臺項目，該項目負責(zé)多個平臺的后臺控制工作。從泄漏的文件來看，HIVE系統(tǒng)在2010年10月26日發(fā)布了第一版，直到2014年1月13日一共更新到2.6.2版本。作為間諜軟件最重要的部分，Command&ControlServer就由該項目負責(zé)。整體上，植入目標機器中的間諜軟件，通過HTTPS協(xié)議同后臺C&C服務(wù)器進行交互，整個通信過程使用了，數(shù)據(jù)加密，身份鑒權(quán)等諸多信息安全高級技術(shù)。同時在異常處理和服務(wù)器隱藏等關(guān)鍵模塊的設(shè)計上，也體現(xiàn)出國家隊的技術(shù)水平。

從架構(gòu)設(shè)計上分析，HIVE分為兩層，第一層直接與間諜軟件連接，部署在商用的VPS(VritualPrivateServer)上。第一層將所有流量通過VPN加密轉(zhuǎn)發(fā)到第二層。轉(zhuǎn)發(fā)策略是如果流量經(jīng)過身份鑒權(quán)，確認是目標機器，就會向代號為”Honeycomb”的服務(wù)器集群轉(zhuǎn)發(fā)，這里會對收集到的信息進行存貯和分析，如果鑒權(quán)失敗，就會向一個無害的網(wǎng)站轉(zhuǎn)發(fā)，達到重要服務(wù)器不被暴露的目的。

UMBRAGE

UMBRAGE(朦朧的外表)取自英語古語，有朦朧虛無的意思。該項目主要目的是隱藏攻擊手段，對抗調(diào)查取證?，F(xiàn)實世界中，每一個案件，背后無論多么撲溯迷離，在現(xiàn)場一定會留下線索，如果是慣犯，兇手會有一定的作案模式。在網(wǎng)絡(luò)世界中也是一樣的，每一次發(fā)動的網(wǎng)絡(luò)攻擊，都會和之前的攻擊有著千絲萬縷的聯(lián)系，都能提取出一定的攻擊模式。

CIA的RemoteDevicesBranch(遠程設(shè)備組)，收集維護了一個網(wǎng)絡(luò)攻擊模式庫，該模式庫總結(jié)了之前使用過的攻擊方式和技術(shù)，例如包含HackingTeam泄漏出的代碼和俄羅斯使用的技術(shù)。擁有了龐大數(shù)量的模式庫之后，對于新發(fā)起的網(wǎng)絡(luò)攻擊，可以采取模仿，混淆等多種戰(zhàn)術(shù)，達到迷惑敵人，隱藏自己的目的。UMBRAGE項目包含了惡意軟件大部分功能模塊，例如：鍵盤記錄器，密碼收集器，攝像頭控制，數(shù)據(jù)銷毀，提權(quán)，反殺毒軟件等等。

FineDining和Improvise(JQJIMPROVISE)

"FineDining"（美食大餐）提供了標準化的調(diào)查問卷，CIA的OSB(OperationalSupportBranch)部門會使用該調(diào)查問卷，用于將辦案人員的請求轉(zhuǎn)換為針對特定操作的黑客攻擊的技術(shù)要求。問卷可以幫助OSB在現(xiàn)有的攻擊工具集中選擇合適的攻擊工具，并將選好的攻擊工具清單傳遞給CIA的負責(zé)配置攻擊工具的運營人員。OSB在這里充當(dāng)了CIA運營運營人員和相關(guān)技術(shù)支持人員的接口人的角色。

調(diào)查問卷會讓填寫者填寫諸如目標計算機使用的操作系統(tǒng)、網(wǎng)絡(luò)連接情況、安裝的殺毒軟件等信息，隨后會由"Improvise"（即興演出）處理。"Improvise"是一個用于配置、后處理、payload設(shè)置和executionvector選擇的工具集，可支持所有主流操作系統(tǒng)。"Improvise"的配置工具如Margarita允許NOC（NetworkOperationCenter）根據(jù)"FineDining"問卷的要求來定制工具。

"FineDnining"用于收集攻擊需求，而"Improvise"用于將攻擊需求轉(zhuǎn)化為攻擊工具，這兩個工具相互配合使用，可以準備、快速的對任何特定目標實施攻擊。可見，CIA已經(jīng)實現(xiàn)了對指定目標的攻擊實現(xiàn)了高度的定制和高效的配置。

后續(xù)

此次公開的數(shù)據(jù)龐大，并且還有部分數(shù)據(jù)未公布。騰訊電腦管家反病毒實驗室會持續(xù)關(guān)注該事件，跟進最新進展；同時繼續(xù)深入分析現(xiàn)有內(nèi)容，挖掘其中涉及的安全漏洞、入侵手法和攻擊工具，第一時間披露更加具體的細節(jié)信息。

同時也在這里提醒廣大用戶，此次公布的數(shù)據(jù)中包含大量漏洞信息和攻擊工具，可能被不懷好意的人利用，成為他們手中新的武器。希望廣大用戶最近提高警惕，留心關(guān)注最新的安全新聞，注意及時更新電腦、手機上的安全防范措施，避免遭受此次事件的負面影響。

相關(guān)新聞

2017-03-15

2017-05-16

2017-05-31

2017-06-06

2017-08-10