设为首页 | 收藏本站

咨询电话:151 1798 8098   服务邮箱:service@zxway.cn    投诉建议:vincent@zxway.cn 

您当前位置: 首页 > 新闻频道 > 漫谈DDOS
漫谈DDOS
发布人:zxway发布时间:2017/10/13 17:26:06

一、关乎资源的战争

何为DDoS?

DDoS全称Distributed Denial of Service,即分布式拒绝服务攻击。

通俗点讲就是利用多于对方的火力来火并,最终把对手打趴下。这个火力就是资源,或带宽或计算资源,横行网络多年的黑客其实最不缺的就是资源,更不用说专职DDoS攻击的黑产了。

服务器、PC、Pad、手机、智能电视、路由器、打印机、摄像头。想象一下,在网络世界夜幕低垂时,这些数字节点如同四面八方的萤火虫般为某次DDoS攻击默默地贡献自己的资源,前赴后继,直至目标业务无法正常运行。

其实在吃货的世界里也时常见到DDoS经典场景。

街角一家馄饨店开门营业,结果进来一票无赖把餐桌全占且不点单,客人也不敢进去,从而导致生意全无,这属于恶意的DDoS攻击。

楼下张大妈每天早上只卖100碗面条,然后突然一辆旅游大巴停靠下来,车上旅客把面条买光了,导致张大妈的常客早上都没面条吃,这也是DDoS攻击。

DDoS江湖地位如何?

在黑客世界的兵器谱上,不同于水坑攻击或鱼叉攻击,DDoS明显属于摧城拔寨的明星武器,也正是因为DDoS攻击易攻难守,野蛮肆虐,因此也有着很高的江湖地位和出镜率,放到武侠世界里,DDoS至少是东邪西毒级别的高手。

江湖地位高,在电视里也有所体现,看看在2015年金球奖夺魁的美剧《MR. Robot》和韩剧《幽灵》等黑客题材电视剧,DDoS攻击都在重要剧情中出现,也算是网络攻击的代言词之一。好多人会觉得电视是骗人的,现实里网络攻击哪有这么夸张,笔者只能说你们图样图森破,现实更残酷,熟悉的场景,熟悉的方式,每天都在发生,不同的只有攻击者和目标。

出镜率高是因为易攻难守,十多年过去,TCP协议并未改变,因此利用TCP协议弱点的DDoS方法也没有过时。2002年的攻击工具现在还能凑效,而应对DDoS的方法也只能迭代更新,对付DDoS并没有一劳永逸的银弹。很多企业的安全防护体系都是在被虐中成长,从攻击中学习,十余年的攻防积累才形成现在的保障能力。

为什么DDoS频发?

从技术层面分析与资源有着紧密联系,它们简单粗暴地吞噬带宽和计算资源,最终迫使业务访问异常,当然这是表象。黑客的诉求从来不是如此,DDoS只是他们手里的筹码,要么敲诈勒索、要么利益冲突、要么表达政治立场。人在江湖飘,哪有不挨刀,不管是要钱还是要命,杀人越货从古至今延续到现在,从人的江湖蔓延到网络世界,甚至愈演愈烈。

某网络游戏上线公测前10分钟,主力机房遭遇DDoS攻击,带宽瞬间被占满,上游路由节点被打瘫,游戏发行商被迫宣布停止公测。

某地国土资源交易中心在线拍卖市中心“地王”标段,价格屡创新高,盘中突然遭遇DDoS攻击,最终导致废标。

诸如此类的案例数不胜数,敲诈勒索已然成为了阳光产业,明码标价,1000台在线主机一天500元,四处可见DDoS的黑产广告,一如满大街的办证和发票广告一样刺眼,最让人瞠目结舌的是,大多有关DDoS攻击的文章评论区都被这些黑产广告霸占,你在上边喊捉贼,他们在下面吆喝买卖,和谐共处。

而运营商带宽租赁成本相当昂贵,1G的带宽一年费用大致20万左右,因此大多数客户都是按需购买带宽,根本没有足够的闲置资源来对付攻击,那攻击来了怎么办,老乡们不用怕,还可以找专业DDoS防护厂商。

说到底,DDoS是一场关乎资源的战争,攻击方式和诉求时有变化,不变的唯有占据高比例的妥协和退步。

二、 新趋势、新挑战

在DDoS的世界里,旧的攻击方法还没退出历史舞台,新的攻击手段已经蜂拥而至,各类反射型攻击大有四两拨千斤的味道。于是乎夹杂着UDP Flood、CC、DNS和NTP反射的混合攻击四处肆虐,大有大军过境寸草不生之势。

混合型攻击比例大幅增长,少数混合型攻击至多会用到5种以上方法组合,这给攻击检测和流量清洗都带来了更大的挑战,此为趋势之一。


十年之前,最大的DDoS流量不超过8Gbps,十年之后,最大的攻击流量已经是8Gbps的50倍开外。

2013年以前DDoS攻击没有超过200Gbps。

2013年3月国际非营利性组织Spamhaus遭受300Gbps的攻击。

2014年2月CloudFlare遭受400Gbps的攻击。

2014年12月阿里云上某客户遭受453Gbps的攻击。

一个接一个的历史记录被残酷地刷新,令人庆幸的是,针对云上某客户的453Gbps的攻击被阿里云扛下来了,此次攻击涉及20万家庭、5万服务器、50个IDC机房,黑产控制资源之多让人震惊,但问题是又有几家企业拥有等同阿里云的带宽资源和DDoS清洗技术。


453G是个什么概念,笔者举个例子,某省骨干网有两个出口,一个出口在省会城市,带宽是700G。另一个出口在某地级市,出口是500G。453Gbps的攻击流量能够瞬间搞瘫该省除这两个城市之外的任意城市城域网,当然500G带宽的那个出口城市同样也是岌岌可危。

Arbor Network在第11届年度全球基础设施安全报告中披露2015年的DDoS攻击强度超过500Gbps,而且DDoS攻击流量在100Gbps以上的案例越来越多,攻击流量屡刷新高,没有最高,只有更高。

大流量很厉害,是不是小流量DDoS攻击造成的破坏要小一些呢,答案是否定的。

小流量分为“小而快”和“小而慢”两种,小而快的DDoS攻击像夜幕中的刺客,擅长隐蔽,可能你还未觉察到它,它就已经完成了一次攻击。业界叫这类攻击为脉冲攻击,老外把它叫做Hit-and-Run DDoS,顾名思义就是打完就跑,小而快的DDoS攻击令大多数网络游戏厂商头疼不已。

小而慢的DDoS攻击如同塞外沙漠龙门客栈的老板娘金镶玉,一颦一笑风情万千温柔种种,但就在不经意间勾走汉子的心思。小而慢攻击主要针对于业务逻辑不够完善或协议漏洞发起,比起小而快,小而慢更不会让人发现和识别,堪称DDoS猥琐流代表。

DDoS攻击两极分化愈发明显,流量大者来势迅猛,攻城掠地只在弹指间。流量小者隐而不发,杀敌于无形之中。此为趋势之二。

攻击设备从IDC机房和办公室走向千家万户,从最开始的服务器、PC电脑,再到Pad、手机、家里的路由器、智能电视、智能摄像头等智能家居设备,都有可能成为DDoS的攻击源头。

十年前的IDC在5M、10M销售带宽,十年后的今天,笔者家里是电信100M的光纤到户,20M、50M的家庭宽带已经普及,而且资费相对而言下降了许多。同样黑客会感谢摩尔定律,让现在的手机等智能设备的计算能力和性能超越了十多年前的古董PC电脑。

想象一下,家里那闪烁不停的路由器,它已经被黑客控制,正在参与某起精心筹划的攻击。公司那台连网的自动咖啡机,一边煮着芳香四溢的咖啡,另一边正攻击着某个金融网站。行驶在城市快速道上的汽车,低沉的引擎声下,车载智能终端正向外发起DDoS攻击请求。

家庭网络丰富的带宽资源和计算资源成为孕育DDoS攻击的新温床,攻击设备从专业数据节点星火燎原到千家万户,此为趋势之三。

DDoS的新趋势当然还有攻击目标行业的变化,黑产业务链条的变化等等,篇幅有限就不再一一展开。

三、新长征路上的抗D

桃李春风一杯酒,江湖夜雨十年灯。

凭借一己之力,背着盒子去抗D的热血岁月一去不复返,在攻防资源极其不对等的今天,受制于出口带宽,单个硬件盒子的功效极大的弱化,通过部署硬件来防护DDoS攻击的单一模式可能会慢慢淘汰,大流量扛不住,运维成本过高,诸多的原因驱使着这一模式发生改变。

再看今天,攻防环境越发复杂,DDoS攻击的门槛越来越低,而防护成本随着清洗性能大幅增高,业务系统的复杂性也降低了攻击检测的精准度,不同于如同病毒和恶意代码等攻击防护,DDoS强调成本和资源的特殊性增加了企业自建防护体系的难度和成本。

换句话说,除非企业有钱任性,并且拥有丰富经验的安全团队,抛开此类笔者还是建议找专业Anti-DDoS服务提供商。

Anti-DDoS服务模式其实也有较大的变化,最早是本地清洗,等敌军杀到家门口再出门迎敌,那时候敌军规模不算大,虽然把家门口的敌军干掉了,但是上游通道还是被堵死了。然后是CDN模式,试图通过DNS智能解析来缓解DDoS攻击,但是CDN初衷是为了加速,并且只支持Web模式。

再然后就来到了云防护时代,大多数的云计算服务提供商自己云上的客户会经常遭受DDoS攻击,为了解决云上客户的DDoS问题,云服务提供商会形成了自己的一套完整DDoS解决方案,正如阿里云提及的十年攻防一朝成盾,这就是一个经典的场景,云清洗效果得到市场认可之后,广阔天地大有作为,云服务提供商的DDoS清洗服务就面向广大众多非云用户了。

其实说到这里,云服务提供商的DDoS清洗服务有两个隐形优势:

一是云上业务包罗万象,电商、游戏、金融、新型互联网,安全团队经过无数次攻防对抗之后,对各类业务的深刻理解以及DDoS检测规则与业务的耦合度非常人所能及;

二是云服务提供商具备丰富的带宽资源,它可以将闲置带宽通过“去库存”的方式应用到抗D事业中去,这也是一般的云清洗服务商所不能提供的。

这是最好的时代,也是最坏的时代。

万物互联和智能生活的数字变革已然将临,数字变革给我们生活带来便捷的同时,同样也会从网络暗面进行破坏。所以,我们需要做好安全防御,抗ddos,找知心伟业。

云计算服务
短视频服务
客服热线:service@zxway.cn

版权所有@ 2014-2039  知心伟业 

备案号:京ICP备14046347号 知心伟业