DDoS攻擊素來以成本低廉（相比防御）、效果顯著、影響深遠為攻擊者所青睞，經(jīng)過長時間的發(fā)展，DDoS攻擊方式有很多種，最基本的DoS攻擊利用單個合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。DoS攻擊通常采用一對一的方式，在目標系統(tǒng)帶寬、內(nèi)存、CPU等各項性能指標都不高時，具有明顯的效果。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，千兆級別的網(wǎng)絡(luò)出現(xiàn)，目標系統(tǒng)的“消化能力”倍增，這時候，分布式的拒絕服務攻擊手段——DDoS就出現(xiàn)了。

利用網(wǎng)絡(luò)上已被攻陷的電腦作為“肉雞”，通過一定方式組合形成數(shù)量龐大的“僵尸網(wǎng)絡(luò)”，采用一對多的方式進行控制，向目標系統(tǒng)同時提出服務請求，殺傷力大幅度增加。DDoS攻、防對抗多年，從DoS到DDoS，從以流量取勝到以技巧取勝，從單一攻擊到混合攻擊，攻擊手段正不斷進化，本文將一一介紹最常見、最具代表性的攻擊方式，企業(yè)運營者做到知己知彼，才能有備無患。

一、攻擊帶寬：以力取勝

如同城市堵車一樣，當數(shù)據(jù)包超過帶寬上限，就會出現(xiàn)網(wǎng)絡(luò)擁堵、響應緩慢的情況。流量型DDoS攻擊就是如此，發(fā)送海量數(shù)據(jù)包，頃刻占滿目標系統(tǒng)的全部帶寬，正常請求被堵在門外，拒絕服務的目的達成。

ICMPFlood

ICMP（Internet控制報文協(xié)議）用于在IP主機、路由器之間傳遞控制消息，控制消息是指網(wǎng)絡(luò)通不通、主機是否可達、路由是否可用等網(wǎng)絡(luò)本身的消息，雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。通過對目標系統(tǒng)發(fā)送海量數(shù)據(jù)包，就可以令目標主機癱瘓，如果大量發(fā)送就成了洪水攻擊。

UDPFlood

UDP協(xié)議是一種無連接的服務，在UDPFlood中，攻擊者通常發(fā)送大量偽造源IP地址的小UDP包沖擊DNS服務器或Radius認證服務器、流媒體視頻服務器。100kbps的UDPFlood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個網(wǎng)段的癱瘓。

上述傳統(tǒng)的流量型攻擊方式技術(shù)含量較低，傷人一千自損八百，攻擊效果通常依賴受控主機本身的網(wǎng)絡(luò)性能，而且容易被查到攻擊源頭，單獨使用的情況已不常見。于是，具有四兩拔千斤效果的反射型放大攻擊就出現(xiàn)了。

NTPFlood

NTP是標準的基于UDP協(xié)議傳輸?shù)木W(wǎng)絡(luò)時間同步協(xié)議，由于UDP協(xié)議的無連接性，方便偽造源地址。攻擊者使用特殊的數(shù)據(jù)包，也就是IP地址指向作為反射器的服務器，源IP地址被偽造成攻擊目標的IP，反射器接收到數(shù)據(jù)包時就被騙了，會將響應數(shù)據(jù)發(fā)送給被攻擊目標，耗盡目標網(wǎng)絡(luò)的帶寬資源。一般的NTP服務器都有很大的帶寬，攻擊者可能只需要1Mbps的上傳帶寬欺騙NTP服務器，就可給目標服務器帶來幾百上千Mbps的攻擊流量。

因此，“問-答”方式的協(xié)議都可以被反射型攻擊利用，將質(zhì)詢數(shù)據(jù)包的地址偽造為攻擊目標地址，應答的數(shù)據(jù)包就會都被發(fā)送至目標，一旦協(xié)議具有遞歸效果，流量就被顯著放大了，堪稱一種“借刀殺人”的流量型攻擊。

面對洪水般的流量，花高價進行抗D帶寬擴容和多運營商鏈路冗余，雖一定程度可提升抗D能力，但面對大量攻擊仍舊于事無補，而且浪費資源。知道創(chuàng)宇旗下抗DDoS云防御平臺——抗D保，橫跨全國的分布式數(shù)據(jù)中心，600G以上帶寬抗DDoS，并可隨時應急調(diào)用騰訊自有帶寬1.5Tb，這使得抗D保擁有超過2個Tb的防御能力。 

二、攻擊系統(tǒng)/應用：以巧取勝

這類型的DDoS攻擊走的是巧勁，利用各種協(xié)議的行為特性、系統(tǒng)的缺陷、服務的脆弱性、軟件的漏洞等等發(fā)起攻擊，不斷占用目標系統(tǒng)的資源以阻止它們處理正常事務和請求。

SYNFlood

這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內(nèi)存不足）的攻擊方式。建立TCP連接，需要三次握手——客戶端發(fā)送SYN報文，服務端收到請求并返回報文表示接受，客戶端也返回確認，完成連接。

SYNFlood就是用戶向服務器發(fā)送報文后突然死機或掉線，那么服務器在發(fā)出應答報文后就無法收到客戶端的確認報文（第三次握手無法完成），這時服務器端一般會重試并等待一段時間后再丟棄這個未完成的連接。一個用戶出現(xiàn)異常導致服務器的一個線程等待一會兒并不是大問題，但惡意攻擊者大量模擬這種情況，服務器端為了維護數(shù)以萬計的半連接而消耗非常多的資源，結(jié)果往往是無暇理睬客戶的正常請求，甚至崩潰。從正常客戶的角度看來，網(wǎng)站失去了響應，無法訪問。

CC 攻擊

CC攻擊是目前應用層攻擊的主要手段之一，借助代理服務器生成指向目標系統(tǒng)的合法請求，實現(xiàn)偽裝和DDoS。我們都有這樣的體驗，訪問一個靜態(tài)頁面，即使人多也不需要太長時間，但如果在高峰期訪問論壇、貼吧等，那就很慢了，因為服務器系統(tǒng)需要到數(shù)據(jù)庫中判斷訪問者否有讀帖、發(fā)言等權(quán)限。訪問的人越多，論壇的頁面越多，數(shù)據(jù)庫壓力就越大，被訪問的頻率也越高，占用的系統(tǒng)資源也就相當可觀。

CC攻擊就充分利用了這個特點，模擬多個正常用戶不停地訪問如論壇這些需要大量數(shù)據(jù)操作的頁面，造成服務器資源的浪費，CPU長時間處于100%，永遠都有處理不完的請求，網(wǎng)絡(luò)擁塞，正常訪問被中止。這種攻擊技術(shù)性含量高，見不到真實源IP，見不到特別大的異常流量，但服務器就是無法進行正常連接。

之所以選擇代理服務器是因為代理可以有效地隱藏自己的身份，也可以繞開防火墻，因為基本上所有的防火墻都會檢測并發(fā)的TCP/IP連接數(shù)目，超過一定數(shù)目一定頻率就會被認為是Connection-Flood。當然也可以使用肉雞來發(fā)動CC攻擊，攻擊者使用CC攻擊軟件控制大量肉雞發(fā)動攻擊，肉雞可以模擬正常用戶訪問網(wǎng)站的請求偽造成合法數(shù)據(jù)包，相比前者來說更難防御。

CC攻擊是針對Web服務在第七層協(xié)議發(fā)起的攻擊，在越上層協(xié)議上發(fā)動DDoS攻擊越難以防御，上層協(xié)議與業(yè)務關(guān)聯(lián)愈加緊密，防御系統(tǒng)面臨的情況也會更復雜。比如CC攻擊中最重要的方式之一HTTPFlood，不僅會直接導致被攻擊的Web前端響應緩慢，對承載的業(yè)務造成致命的影響，還可能會引起連鎖反應，間接攻擊到后端的Java等業(yè)務層邏輯以及更后端的數(shù)據(jù)庫服務。

由于CC攻擊成本低、威力大，知道創(chuàng)宇安全專家組發(fā)現(xiàn)80%的DDoS攻擊都是CC攻擊。帶寬資源嚴重被消耗，網(wǎng)站癱瘓；CPU、內(nèi)存利用率飆升，主機癱瘓；瞬間快速打擊，無法快速響應。知道創(chuàng)宇頂級安全研究團隊為抗D保自主研發(fā)的Anti-CC防護引擎可以根據(jù)訪問者的URL、頻率、行為等訪問特征，智能識別CC攻擊，迅速識別CC攻擊并進行攔截，在大規(guī)模CC攻擊時可以避免源站資源耗盡，保證企業(yè)網(wǎng)站的正常訪問。

抗D保-抗CC攻擊數(shù)據(jù)（監(jiān)控）

DNSQueryFlood

DNS作為互聯(lián)網(wǎng)的核心服務之一，自然也是DDoS攻擊的一大主要目標。DNSQueryFlood采用的方法是操縱大量傀儡機器，向目標服務器發(fā)送大量的域名解析請求。服務器在接收到域名解析請求時，首先會在服務器上查找是否有對應的緩存，若查找不到且該域名無法直接解析時，便向其上層DNS服務器遞歸查詢域名信息。

通常，攻擊者請求解析的域名是隨機生成或者是網(wǎng)絡(luò)上根本不存在的域名，由于在本地無法查到對應的結(jié)果，服務器必須使用遞歸查詢向上層域名服務器提交解析請求，引起連鎖反應。解析過程給服務器帶來很大的負載，每秒鐘域名解析請求超過一定的數(shù)量就會造成DNS服務器解析域名超時。

根據(jù)微軟的統(tǒng)計數(shù)據(jù)，一臺DNS服務器所能承受的動態(tài)域名查詢的上限是每秒鐘9000個請求。而一臺P3的PC機上可以輕易地構(gòu)造出每秒鐘幾萬個域名解析請求，足以使一臺硬件配置極高的DNS服務器癱瘓，由此可見DNS服務器的脆弱性。

抗D保在全國多個城市采用分布式集群方式部署了上千臺高效DNS服務器，從而保證各個地區(qū)的查詢響應速度?？笵保的高防DNS服務，可有效解決突發(fā)的上億級別的隨機HOSTA記錄查詢攻擊、遞歸DNS穿透攻擊、DNS流量攻擊等多種針對域名解析的攻擊請求。

抗D保防御DNS攻擊效果示意

三、混合攻擊：流量與技巧并用

在實際情況中，攻擊者只求達到打垮對方的目的，發(fā)展到現(xiàn)在，高級攻擊者已經(jīng)不傾向使用單一的攻擊手段作戰(zhàn)了，而是根據(jù)目標系統(tǒng)的具體環(huán)境靈動組合，發(fā)動多種攻擊手段，既具備了海量的流量，又利用了協(xié)議、系統(tǒng)的缺陷，盡其所能地展開攻勢。

對于被攻擊目標來說，需要面對不同協(xié)議、不同資源的分布式的攻擊，分析、響應和處理的成本就會大大增加。

抗D保擁有國內(nèi)最大的抗D集群，使用騰訊宙斯盾流量清洗設(shè)備并結(jié)合由知道創(chuàng)宇研發(fā)的Anti-DDoS引擎，5秒發(fā)現(xiàn)惡意攻擊，10秒快速阻斷，2T帶寬儲備，通過多種防御手段，防御各種類型、形態(tài)的DDoS攻擊，包括基于網(wǎng)絡(luò)層的攻擊，如TCPFlood、UDPFlood、ICMPFlood，以及應用層攻擊，類似HTTPFlood這種試圖耗盡服務器資源的攻擊，同時可以有效防御各種反射攻擊和僵尸網(wǎng)絡(luò)攻擊。

面對一次次攻擊，即使是去年10月讓美國半個互聯(lián)網(wǎng)癱瘓的DDoS攻擊事件，也只是讓很多人小心臟稍微顫抖了幾下，在大家的印象中，DDoS只是一陣海嘯，很快就能恢復了往日的平靜。但是，DDoS在互聯(lián)網(wǎng)發(fā)展進程中已經(jīng)留下了太多不可磨滅的破壞，許多企業(yè)就此一蹶不振。而且隨著互聯(lián)網(wǎng)+的不斷推進，商業(yè)競爭的愈演愈烈，它的危害越來越大，任何企業(yè)組織都應該考慮自己的DDoS防護方案，而不是成為攻擊的炮灰，也盡量避免遭受攻擊后再亡羊補牢。

相關(guān)新聞

2016-12-20

2017-03-06

2017-07-28

2017-08-17

2017-09-04

DoNews8月6日消息（記者翟繼茹）6日，阿里巴巴打假聯(lián)盟數(shù)據(jù)顯示，其從2017年1月到2018年上半年，已向全國公安甲鈷胺推送涉假線索近200條，采取了112此線下行動，搗毀制假窩點247個，協(xié)助逮捕涉案人員300余人，涉案金額達10億元。

阿里巴巴打假聯(lián)盟成立于2017年1月，目前成員已經(jīng)達到105個，包括阿迪達斯、強生等國際知名品牌，涵蓋奢侈品、珠寶、服飾、智能設(shè)備等12個行業(yè)。

上周，因拼多多上市后造售賣山寨、傍品牌等現(xiàn)象嚴重，國家市場監(jiān)督總局要求上海市和其他相關(guān)地方工商、市場監(jiān)管部門對拼多多平臺銷售山寨商品、傍名牌等問題進行調(diào)查后，其再度發(fā)聲稱將打擊包括“傍名牌”在內(nèi)的制售假冒偽劣商品、其他商標侵權(quán)、相關(guān)虛假宣傳和違法廣告等違法行為，列為重點打擊目標?？偩帧锻ㄖ贩Q，

各地監(jiān)管部門可從調(diào)查網(wǎng)絡(luò)交易平臺（網(wǎng)站）入手，進一步發(fā)現(xiàn)上、下游涉嫌違法生產(chǎn)經(jīng)營者，并將違法線索及時移送相關(guān)屬地監(jiān)管部門。（完）

315期間，全國最大的第三方網(wǎng)絡(luò)安全公益組織安全聯(lián)盟聯(lián)合騰訊安全、知道創(chuàng)宇、12321舉報中心、中國消費者報社旗下中國消費網(wǎng)共同發(fā)起了“315專項行動——網(wǎng)絡(luò)打假月”，向社會公眾征集政府單位、高等院校、銀行類假冒網(wǎng)站舉報?；顒悠陂g，安全聯(lián)盟舉報中心共受理近3000條舉報，經(jīng)審核確認的假冒網(wǎng)站已收錄至安全聯(lián)盟惡意數(shù)據(jù)庫，并同步至各大互聯(lián)網(wǎng)終端進行攔截預警。

近一半假冒網(wǎng)站冒充政府單位

分析舉報數(shù)據(jù)發(fā)現(xiàn)，假冒政府網(wǎng)站的舉報量為1045條，占總舉報量46.3%，經(jīng)核定的假冒網(wǎng)站有850條，有效率達81.3%。面對如此高占比的假冒政府網(wǎng)站，安全聯(lián)盟將從各數(shù)據(jù)維度作出分析，以期呈現(xiàn)當前假冒政府網(wǎng)站的現(xiàn)狀并探索解決之道。

假冒政府網(wǎng)站舉報量與攔截量

民生部門成重點仿冒對象

通過對假冒對象進行分類，安監(jiān)部門、交通運輸部門、住建部門、人社部門、工商部門等涉及到工種資格認定、職稱評審、工作人員招錄、考試報名、就醫(yī)、就學等民生領(lǐng)域的國家部門，成為不法分子仿冒的重點對象。除此之外，各地區(qū)的政府門戶網(wǎng)站也有大量仿冒者。

假冒政府網(wǎng)站假冒對象分布

經(jīng)過對比發(fā)現(xiàn)，這些假冒網(wǎng)站利用與正規(guī)政府網(wǎng)站相似的域名，與正規(guī)政府網(wǎng)站在LOGO、名稱、排版、內(nèi)容等外觀上相似度極高，甚至比有的正規(guī)網(wǎng)站做得更完善。由于搜索引擎錄入規(guī)則的限制，更新頻度較高的網(wǎng)站等通常排名靠前，有的假網(wǎng)站甚至比真網(wǎng)站更容易被搜到。為了免除公眾的困擾，政府官方網(wǎng)站應當通過更新規(guī)則、優(yōu)化網(wǎng)站、官方認證等方式讓官方網(wǎng)站在網(wǎng)絡(luò)上得到良好的曝光和展示。

更重要的是，多數(shù)假冒政府網(wǎng)站會開通“網(wǎng)上政務大廳”或“便民服務通道”，要求來訪者提交個人信息或者匯款辦理相關(guān)業(yè)務等，最終給公眾造成經(jīng)濟損失甚至人身傷害，同時也間接損害了政府的公信力。

假冒政府網(wǎng)站慣用“gov”字樣

通過對假冒政府網(wǎng)站的域名進行區(qū)分，近七成的網(wǎng)站使用了“.com”國際通用頂級域名，63%的網(wǎng)站包含了“gov”字樣。國務院辦公廳于2017年發(fā)布的《政府網(wǎng)站發(fā)展指引》明確指出，政府網(wǎng)站要使用以“.gov.cn”為后綴的英文域名和符合要求的中文域名，不得使用其他后綴的英文域名。因此，多數(shù)假冒政府網(wǎng)站會將“gov”字樣加在域名結(jié)尾混淆視聽，比如”www.abcgov.cn”與“www.abc.gov.cn”乍看之下極易被認作同一個網(wǎng)址。

假冒政府網(wǎng)站域名類型分布

假冒政府網(wǎng)站境外運維難懲治

通過分析假冒政府網(wǎng)站的注服務器IP歸屬地分布，香港和美國是假冒網(wǎng)站運營者最青睞的地方，數(shù)據(jù)顯示，94%的假冒政府網(wǎng)站服務器都放在了中國大陸之外。不法分子將服務器設(shè)在海外，無法準確追蹤或者追蹤到卻無法懲治，長期以來給防治工作帶來很大困難。一旦相關(guān)執(zhí)法機構(gòu)能形成國內(nèi)外聯(lián)動的治理機制，將能有效打擊假冒網(wǎng)站。

假冒政府網(wǎng)站服務器IP歸屬地分布

但同時安全聯(lián)盟也發(fā)現(xiàn)，80%的假冒政府網(wǎng)站是通過國內(nèi)域名注冊商注冊的。當一個非政府的運營主體想要注冊包含“gov”字樣的網(wǎng)站，其意圖假冒官方網(wǎng)站的可能性較大，如果在注冊流程上有相應的審核機制，提高注冊門檻，或許能阻攔一部分假冒網(wǎng)站的出現(xiàn)。

假冒政府網(wǎng)站域名注冊商分布

部分政府網(wǎng)站不合規(guī)、無運維

此外，在分析對比真假政府網(wǎng)站時，安全聯(lián)盟發(fā)現(xiàn)部分政府官方網(wǎng)站存在網(wǎng)站不合規(guī)、運維不到位的情況，極易給社會公眾造成困擾。一是部分政府官方網(wǎng)站由于遷移、備案、調(diào)整等原因網(wǎng)站臨時處于關(guān)閉狀態(tài)，若政府單位能通過其他官方媒介渠道公布情況，讓公眾有所了解，便能避免一部分假冒網(wǎng)站趁虛而入。

二是部分網(wǎng)站建設(shè)管理不規(guī)范。一些政府網(wǎng)站仍在使用“.com”后綴的域名，網(wǎng)站網(wǎng)頁底部功能區(qū)未列明黨政機關(guān)網(wǎng)站標識、網(wǎng)站標識碼、ICP備案編號和公安機關(guān)備案標識。還有少部分政府單位將網(wǎng)站建設(shè)外包給企業(yè)，以至于備案信息直接顯示為外包企業(yè)或人員。這些不規(guī)范的現(xiàn)象讓普通民眾在識別政府網(wǎng)站真假時倍感困惑。政府單位應當積極響應國家“一標兩備”規(guī)定，既能方便社會公眾辨識，又能有效區(qū)分假冒網(wǎng)站。

三是個別政府網(wǎng)站安全保障不到位。由于存在漏洞或后門，一些網(wǎng)站被植入了博彩、色情廣告等虛假垃圾信息。應《網(wǎng)絡(luò)安全法》的要求，政府單位應該履行網(wǎng)站運營者的主體責任，規(guī)范建設(shè)并管理好網(wǎng)站，要有防范意識，避免網(wǎng)站被入侵篡改。網(wǎng)絡(luò)監(jiān)管不到位、技術(shù)上存在難度是目前政府網(wǎng)站運維管理中的痛點，因此接入專業(yè)的網(wǎng)絡(luò)安全服務及時地進行網(wǎng)站監(jiān)測、防護已成為最行之有效的方法。

識別假冒政府網(wǎng)站三步走

1、查看網(wǎng)站域名：

如果政府網(wǎng)站域名不符合以“.gov.cn”為后綴的規(guī)范，網(wǎng)民需要慎重訪問。

2、查詢網(wǎng)站備案信息：

《非經(jīng)營性互聯(lián)網(wǎng)信息服務備案管理辦法》規(guī)定，未經(jīng)國家機關(guān)單位許可備案，不得在中華人民共和國境內(nèi)從事非經(jīng)營性互聯(lián)網(wǎng)信息服務。公眾可前往工信部ICP/IP地址/域名信息備案系統(tǒng)查詢。同時，雙向查詢已備案網(wǎng)站的主辦單位是否為對應的政府單位。

3、查看黨政機關(guān)和事業(yè)單位網(wǎng)站標識：

《政府網(wǎng)站發(fā)展指引》要求，政府網(wǎng)站主辦單位向編制部門提交加掛黨政機關(guān)網(wǎng)站標識申請。打開一個政府網(wǎng)站，在網(wǎng)頁最下方有一個盾牌標志，紅色標注黨政機關(guān)，藍色標注事業(yè)單位，如果網(wǎng)站沒有掛標、或掛標是靜態(tài)圖片、點擊后標識與網(wǎng)址不符，需要謹慎訪問。公眾可前往全國黨政機關(guān)事業(yè)單位互聯(lián)網(wǎng)網(wǎng)站標識管理服務平臺進行查詢。

最專業(yè)的政府網(wǎng)站安全解決方案

1、創(chuàng)宇盾：為政府Web業(yè)務系統(tǒng)提供100%防護

作為針對政府、大型企業(yè)等重要網(wǎng)站的私有云防御平臺，創(chuàng)宇盾可以為安全基礎(chǔ)為0的Web系統(tǒng)提供100%的安全防御支持。知道創(chuàng)宇云安全擁有國內(nèi)最大的黑客攻擊樣本庫，創(chuàng)宇盾利用知道創(chuàng)宇網(wǎng)絡(luò)空間搜索引擎ZoomEye、Seebug漏洞社區(qū)及7X24小時實時防御的數(shù)十萬網(wǎng)站數(shù)據(jù)，幫助政府機構(gòu)建立全方位防御體系。

2、渾天智鑒：反釣魚品牌保護系統(tǒng)

知道創(chuàng)宇渾天反欺詐服務，是知道創(chuàng)宇攜手騰訊、安全聯(lián)盟、公安、運營商等相關(guān)部門實現(xiàn)行業(yè)間聯(lián)防聯(lián)控打造的反欺詐大數(shù)據(jù)服務。產(chǎn)品提供可視化的監(jiān)控服務，并且針對已認證不法鏈接和URL具有快速封停和攔截的能力。