ddos攻击软件(攻击服务器软件)

来源华为论坛-华安，

前几篇文章从历史上著名的DDoS案例入手，谈古论今，学习了各种经典DDoS攻击的攻防原理。

但是有初学者给我留言说“华安，华安，DDoS案例很有意思，但是理解原理好像需要一定的技术基础。刚接触过安全，看起来有点吃力。”

别担心，华安会给你呈现一个解释DDoS概念的技术普及贴。对于DDoS的基本概念，看这篇文章就够了~

到底什么是DDoS攻击

DDoS分布式拒绝服务简称DDoS，中文是分布式拒绝服务。这有点拗口，不是吗？这样，我们先来了解一下DDoS的前身，DoS(拒绝服务)，也就是拒绝服务。最基本的DoS攻击是攻击者利用大量合理的服务请求，占用目标过多的服务资源，使合法用户得不到服务响应。一般DoS攻击都是一对一的。当目标的性能指标不高时(如CPU速度低、内存小或网络带宽小等。)，其效果显而易见。

随着计算机和网络技术的发展，计算机的处理能力和网络带宽迅速增加。这使得DoS攻击更加困难，因为目标对这些恶意服务请求的“消化能力”已经加强了很多。由于一个攻击者无法使目标“拒绝服务”，所以需要多个攻击者同时发起分布式攻击，于是DDoS攻击应运而生。DDoS攻击是指攻击者控制僵尸网络中的大量僵尸主机(肉鸡)向目标发送大流量数据，耗尽目标的系统资源，导致其无法响应正常的服务请求。

如果你觉得上面的描述很深刻，那我换一种容易理解的方式说吧。小时候我们都听说餐馆难开，因为要“和所有白人帮派都有关系”。如果一家餐厅希望竞争对手无法正常经营，他们会怎么做？(纯虚构，请勿模仿)首先，他会雇一个恶霸。恶霸会找一群小混混，让他们冒充普通顾客，一直霸占对手餐厅的座位，让真正的顾客吃不上饭；或者让歹徒总是和对手餐厅的服务员说闲话，让服务员无法正常服务顾客；还可以给对手餐厅的老板提供虚假信息，让他们忙上忙下，结果才发现原来是a 空，最后却忽略了真正的顾客。嗯，这里的恶霸是袭击者，小混混是傀儡主人，另一家餐厅才是目标。采取的各种手段都是DDoS攻击，最后的结果是对方餐厅损失惨重甚至倒闭。

DDoS攻击两大特点

很容易发起DDoS攻击，攻击者很容易从网上获取各种DDoS攻击工具，从而发起攻击。

知名的免费工具有LOIC、HOIC(升级版HOIC(LOIC)、XOIC、浩克、达沃斯、黄金眼等。更有甚者，DDoS攻击者往往可以借助正常的常用软件或网站发起攻击，比如历史上著名的“暴风影音”事件和“搜狐视频”事件。

DDoS受害者很难保护自己，攻击会损害受害者的金钱、服务和声誉。根据该报告，超过65%的DDoS攻击给受影响的企业造成的损失高达每小时10，000美元。比如最近一次针对美国DNS服务商Dyn的DDoS攻击，造成Twitter、GitHub、BBC、华尔街日报、Xbox官网、CNN、HBO Now、星巴克、纽约时报、The Verge、金融时报等大量网站，难以接近。如下图，美国几乎一半的互联网都宕机了，损失每小时几万多美元，简直不可估量！

DDoS攻击三大动机

一切的出现都是有原因的。要破解DDoS攻击，首先要了解它的动机。政治分歧、恶意竞争、勒索和经济犯罪是DDoS攻击的主要动机。

政治动机型攻击惯于采用大规模网络攻击，攻击目标一般是银行和政府网站或者DNS服务器，影响范围大，容易引起民众大范围恐慌，堪称网络攻击的“核武器”。

比如“土耳其攻击”中，匿名黑客组织发布视频向土耳其宣战，指责其支持一个极端组织，引发了对土耳其DNS根服务器的大规模网络攻击，导致土耳其40万网站离线。

恶意竞争、敲诈勒索则属于对特定业务系统的精准打击，攻击行为越来越像“特种部队”。

比如在“网游大战”事件中，电竞选手PhantomL0rd为了保住自己的“王者”地位，利用恶意比赛。他与黑客组织DERP·特罗林勾结，每当他的游戏即将失败时，他就调用DERP·特罗林用DDoS攻击游戏服务器，导致游戏终端异常。知名游戏网站如英雄联盟、EA官网、暴雪Battle.net、DOTA2官网、企鹅俱乐部等因DDoS攻击而瘫痪。真的是赤裸裸的“打不过就拔掉网线！”

经济犯罪则大多属于声东击西式的“烟雾弹”，以大流量攻击转移安全人员的注意力，掩盖其数据窃取的真实目的。当前比较流行的做法是黑客通过大流量DDoS攻击吸引注意力，掩护潜伏的APT攻击完成最后的数据窃取。

DDoS攻击分类

知己知彼，百战不殆。在之前的技术帖中，我们已经了解了几个经典的DDoS攻击。这里我们将系统总结一下DDoS攻击的类型。

DDoS攻击可分为:洪水攻击、畸形消息攻击、扫描检测攻击(scan & Probe)。

泛洪攻击，也叫Flood攻击，是指攻击者通过僵尸网络、代理或直接向攻击目标发送大量的伪装的请求服务报文，最终耗尽攻击目标的资源。发送的大量报文可以是TCP的SYN和ACK报文、UDP报文、ICMP报文、DNS报文、HTTP/HTTPS报文等。
近年来，泛洪攻击又发展出了一种高级形式，我们称之为反射攻击。顾名思义，反射攻击并不是直接向攻击目标发起大量服务请求，而是攻击者控制僵尸网络中的海量僵尸主机伪装成攻击目标，都以攻击目标的身份向网络中的服务器发起大量服务请求。网络中的服务器会响应这些大量的服务请求，并发送大量的应答报文给攻击目标，从而造成攻击目标性能耗尽。反射攻击大多是由UDP Flood变种而来，反射的是UDP报文，例如NTP、DNS、SSDP、SMTP、Chargen等。为什么选中UDP呢？因为UDP的响应（Reponse）报文大小要大于请求（request）报文，这样攻击者就实现了对攻击流量的放大。
以NTP报文为例，NTP的Monlist命令用来查询主机最近所有和服务器通信的记录，服务器会返回最多600个通信记录，这样流量就被放大了数百倍。如果攻击者控制成千上万的傀儡机伪装成攻击目标大量发送此命令给NTP服务器，那么反射给攻击目标的流量可想而知！畸形或特殊报文攻击通常指攻击者发送大量有缺陷或特殊控制作用的报文，从而造成主机或服务器在处理这类报文时系统崩溃。畸形报文攻击例如Smurf、Land、Fraggle、Teardrop、WinNuke攻击等。特殊控制报文攻击包括超大ICMP报文、ICMP重定向报文、ICMP不可达报文和各种带选项的IP报文攻击。扫描探测类攻击是一种潜在的攻击行为，并不具备直接的破坏行为，通常是攻击者发动真正攻击前的网络探测行为，例如IP地址扫描和端口扫描等。

根据TCP/IP协议，DDoS攻击分为网络层攻击、传输层攻击和应用层攻击。如下所示:

分层DDoS攻击网络层IP地址扫描攻击、最特殊控制消息攻击、Teardrop攻击、Smurf攻击、IP分片消息攻击、ICMP Flood攻击传输层SYN Flood、SYN-ACK Flood、ACK Flood、FIN/RST Flood、TCP连接耗尽攻击、UDP Flood(包括各种反射攻击)、TCP/UDP分片消息攻击、DNS Flood、DNS缓存中毒以及其他与TCP、UDP消息和端口相关的攻击。应用层HTTP洪水，HTTP慢速攻击，HTTPS洪水，SSL DDoS攻击，SIP洪水。

DDoS攻击天下大势

通过上面的描述，大家应该对DDoS攻击有了初步的了解。在这里，华安将为大家分析当前DDoS攻击的“世界大势”，让大家对我们当前网络环境下的DDoS攻击有一个初步的了解。

根据华为魏冉实验室对当前网络攻击的统计，SYN Flood、UDP Flood(包括UDP反射和放大攻击)、HTTP Get Flood和DNS查询Flood仍然是DDoS攻击的常用手段。

我来一一评论一下这些“大佬”上榜的原因。

SYN Flood：SYN Flood是DDoS攻击经典中的经典，是最古老和原始的DDoS攻击。在网络发展初期，SYN Flood攻击简直就是DDoS攻击的代名词。SYN Flood之所以经久不衰，是因为他完全秉承了DDoS攻击的攻击简单、防御难的特质。SYN Flood攻击使用的是最简单和常用的用于TCP三次握手的SYN报文，所以他发起攻击十分简单；而且由于SYN报文是正常报文，所以对于单个报文来看防御设备是不会采取任何措施的。UDP Flood：UDP Flood已经取代SYN Flood攻击，成为DDoS攻击中的“一哥”。其“成功”的原因主要有三点，一是UDP协议都是无连接的协议，不提供可靠性和完整性校验，这就成为了攻击者理想的利用对象；二是UDP协议种类繁多，五花八门，防御起来难度更大；三也是彻底改变格局的是反射攻击的流行。传统UDP攻击是攻防者带宽的比拼，谁的带宽大谁赢得胜利，而反射型的UDP攻击让攻防者不再对等，因为反射出来的攻击流量要远远大于攻击者投入的流量。HTTP Flood：除了两大传统巨头SYN Flood和UDP Flood外，DDoS攻击榜探花的位置一直是竞争激烈的。HTTP Flood之所以能够脱颖而出，一是因为HTTP协议应用实在是太广泛了，他在我们的工作生活中无处不在。二是网页和应用中的漏洞比较容易被攻击者利用来构造HTTP反射类的攻击。例如在海量访问的网页嵌入指向攻击目标网站的恶意javaScript代码，当互联网用户访问该网页时，则流量被反射到攻击目标网站。DNS Flood：攻击DNS服务器的代价小，影响范围广，能够造成恐慌，因此DNS Flood攻击类型仍占有较大比例，是政治动机型DDoS攻击的首选。

从DDoS攻击目标来看，攻击目标主要是游戏、电子商务、互联网金融、赌博等。如你所见，这些都是暴利行业。游戏直播、电商购物、P2P理财、足彩是当今最赚钱、竞争最激烈的行业。因此，恶意竞争是目前DDoS攻击的主要动机。利润越高，竞争越激烈，攻击频率越高。

游戏行业作为近年来新兴的行业，已经成为DDoS攻击的重灾区。竞争行业也是竞争最激烈的行业之一。网游、直播网站一旦被攻击，玩家会直接断网。这个损失如此巨大，游戏公司可能直接面临死亡。而且游戏行业用户基数大、用户类型多、在线维护难等特点，也使得游戏行业成为容易被攻击的目标行业。另外，由于很多游戏都是基于私有协议开发的，传统的DDoS防御方法在不符合业务特点的情况下，防御DDoS攻击往往面临很大困难。

最后，华安会预测DDoS攻击的趋势。总结起来主要有四点，如下图所示。当然，每个人心中都有一个哈姆雷特。欢迎大家一起探讨DDoS攻击的趋势。

攻击流量越来越大

当人们还在津津乐道2014年12月阿里云遭受的最强DDoS攻击流量达到453Gb/s时，DDoS攻击流量已经悄然进入500G时代。报告显示，2016年上半年，最大的DDoS攻击流量已经达到579 GB/s，流量超过100Gb/s的DDoS攻击有274次，流量超过200 GB/s的DDoS攻击有46次。

此外，根据预测，2016年底平均DDoS攻击流量将达到1.15Gb/s。不要小看这个数据。事实上，11 Gb/s的DDoS攻击足以让大部分网络组织彻底离线。

移动攻击越来越多

随着智能终端和4G移动网络的普及，来自移动终端的攻击越来越多。移动终端的安全防护能力和用户的安全意识较弱，很容易成为DDoS攻击的目标。值得一提的是，随着物联网的兴起，基于SSDP(Simple Service Discovery Protocol，简单服务发现协议)的反射攻击频率越来越高，明显超越NTP、DNS等传统反射攻击，成为反射攻击的新宠。SSDP协议广泛应用于网络摄像头和智能家电中，因此SSDP反射攻击源数量非常多，网络资源更加丰富。

应用型攻击越来越普遍

对应用层的攻击会越来越普遍。报告显示，与2014年相比，2015年应用攻击增加了42%。其中HTTP Flood攻击高达26%，混合攻击高达40%。

混合攻击是指攻击者采取多种类型的攻击报文同时攻击DDoS，例如传输层和应用层结合的DDoS攻击，应用层HTTP Flood大流量攻击结合HTTP slow小流量渗透攻击。混合型DDoS攻击软硬兼施，长短结合，普通DDoS防御设备难以防范，将成为未来主流的DDoS攻击。

更多从数据中心发起的攻击

根据该报告，由数据中心发起的DDoS攻击正在增加；数据中心服务器被黑客控制成为僵尸网络的趋势与日俱增。大部分流量巨大的DDoS攻击都是由数据中心发起的。可见数据中心已经成为DDoS攻击的温床。

同时，随着云计算的快速发展和互联网服务的日益集中化，云数据中心将面临比传统数据中心更严峻的DDoS攻击考验。主要原因是云数据中心虚拟机的租户身份难以有效识别，安全意识薄弱；虚拟机数量多，业务种类多，流量模型各异，很难做到有针对性的保护。

相信看完这篇帖子，你会对DDoS攻击的概念和大致趋势有一个详细的了解。那么接下来的部分，我们将重点分析华为的反DDoS解决方案如何应对汹涌而来的DDoS攻击。敬请期待~

PS:抛出一个小问题，谈谈你对DDoS攻击现状和趋势的理解？