到底什么是DDoS攻击，一文让你彻底搞懂

到底什么是DDoS攻击

DDoS攻击两大特点

DDoS攻击三大动机

• 政治动机型攻击惯于采用大规模网络攻击，攻击目标一般是银行和政府网站或者DNS服务器，影响范围大，容易引起民众大范围恐慌，堪称网络攻击的“核武器”。

• 恶意竞争、敲诈勒索则属于对特定业务系统的精准打击，攻击行为越来越像“特种部队”。

• 经济犯罪则大多属于声东击西式的“烟雾弹”，以大流量攻击转移安全人员的注意力，掩盖其数据窃取的真实目的。当前比较流行的做法是黑客通过大流量DDoS攻击吸引注意力，掩护潜伏的APT攻击完成最后的数据窃取。

DDoS攻击分类

• 泛洪攻击，也叫Flood攻击，是指攻击者通过僵尸网络、代理或直接向攻击目标发送大量的伪装的请求服务报文，最终耗尽攻击目标的资源。发送的大量报文可以是TCP的SYN和ACK报文、UDP报文、ICMP报文、DNS报文、HTTP/HTTPS报文等。
  近年来，泛洪攻击又发展出了一种高级形式，我们称之为反射攻击。顾名思义，反射攻击并不是直接向攻击目标发起大量服务请求，而是攻击者控制僵尸网络中的海量僵尸主机伪装成攻击目标，都以攻击目标的身份向网络中的服务器发起大量服务请求。网络中的服务器会响应这些大量的服务请求，并发送大量的应答报文给攻击目标，从而造成攻击目标性能耗尽。反射攻击大多是由UDP Flood变种而来，反射的是UDP报文，例如NTP、DNS、SSDP、SMTP、Chargen等。为什么选中UDP呢？因为UDP的响应（Reponse）报文大小要大于请求（request）报文，这样攻击者就实现了对攻击流量的放大。
  以NTP报文为例，NTP的Monlist命令用来查询主机最近所有和服务器通信的记录，服务器会返回最多600个通信记录，这样流量就被放大了数百倍。如果攻击者控制成千上万的傀儡机伪装成攻击目标大量发送此命令给NTP服务器，那么反射给攻击目标的流量可想而知！

• 畸形或特殊报文攻击通常指攻击者发送大量有缺陷或特殊控制作用的报文，从而造成主机或服务器在处理这类报文时系统崩溃。畸形报文攻击例如Smurf、Land、Fraggle、Teardrop、WinNuke攻击等。特殊控制报文攻击包括超大ICMP报文、ICMP重定向报文、ICMP不可达报文和各种带选项的IP报文攻击。

• 扫描探测类攻击是一种潜在的攻击行为，并不具备直接的破坏行为，通常是攻击者发动真正攻击前的网络探测行为，例如IP地址扫描和端口扫描等。

DDoS攻击天下大势

• SYN Flood：SYN Flood是DDoS攻击经典中的经典，是最古老和原始的DDoS攻击。在网络发展初期，SYN Flood攻击简直就是DDoS攻击的代名词。SYN Flood之所以经久不衰，是因为他完全秉承了DDoS攻击的攻击简单、防御难的特质。SYN Flood攻击使用的是最简单和常用的用于TCP三次握手的SYN报文，所以他发起攻击十分简单；而且由于SYN报文是正常报文，所以对于单个报文来看防御设备是不会采取任何措施的。

• UDP Flood：UDP Flood已经取代SYN Flood攻击，成为DDoS攻击中的“一哥”。其“成功”的原因主要有三点，一是UDP协议都是无连接的协议，不提供可靠性和完整性校验，这就成为了攻击者理想的利用对象；二是UDP协议种类繁多，五花八门，防御起来难度更大；三也是彻底改变格局的是反射攻击的流行。传统UDP攻击是攻防者带宽的比拼，谁的带宽大谁赢得胜利，而反射型的UDP攻击让攻防者不再对等，因为反射出来的攻击流量要远远大于攻击者投入的流量。

• HTTP Flood：除了两大传统巨头SYN Flood和UDP Flood外，DDoS攻击榜探花的位置一直是竞争激烈的。HTTP Flood之所以能够脱颖而出，一是因为HTTP协议应用实在是太广泛了，他在我们的工作生活中无处不在。二是网页和应用中的漏洞比较容易被攻击者利用来构造HTTP反射类的攻击。例如在海量访问的网页嵌入指向攻击目标网站的恶意javaScript代码，当互联网用户访问该网页时，则流量被反射到攻击目标网站。

• DNS Flood：攻击DNS服务器的代价小，影响范围广，能够造成恐慌，因此DNS Flood攻击类型仍占有较大比例，是政治动机型DDoS攻击的首选。

• 攻击流量越来越大

• 移动攻击越来越多

• 应用型攻击越来越普遍

• 更多从数据中心发起的攻击