哪些是ddos的攻击

1. 哪些是ddos的攻击

SYN Flood
SYN Flood攻击是利用TCP协议三次握手的机制来进行攻击，通过对服务器主机发送大量伪造源IP和源端口的SYN或ACK包，耗尽服务器资源，导致服务器拒绝访问。
LAND attack
LAND attack攻击与SYN floods类似，区别在于LAND attack攻击包中的原地址和目标地址都是攻击对象的IP，导致系统被陷入死循环，直至系统资源被耗尽而死机。
IP Spoofing
IP Spoofing攻击常见的攻击手段之一，攻击者向服务器发送一个虚假包，包中的地址设置为错误值，导致服务器接收到这个虚假包后会返回接收，但因为这个包的地址是错误的，所以是永远回不到发送该包的电脑处，这就使得服务器一直开启监听端口且一直处于等待状态，浪费系统资源，导致正常用户访问出现问题。
ICMP floods
ICMP floods攻击可能是所有攻击手段中最容易避免的了，ICMP floods攻击是向那些没有设置好的路由器大量发送广播信息，导致系统资源被占用，从而让正常用户无法使用互联网。
Application
Application攻击与上面几种攻击方式都有所不同，它主要是针对应用层攻击，类似我们常遇到的游戏人数过多导致“暴服”有点类似，也是以消耗系统资源来达到攻击目的。

2. 近年来，ddos攻击有什么变化

DDoS将用于更多类型的恶意目的
在2012年时，遭受 DDoS攻击的目标中很大一部分比例是互联网服务提供商和企业，其原因更多来自政治和黑客攻击者的攻击。 而在当下最新的报告中，42%的受访者认为更多时候攻击罪犯只是试图证明自己的能力。另外41%的攻击用于网络游戏以进行敲诈勒索。
而一种新的情况也已出现，那就是, DDoS攻击被当做整个攻击步骤的一部分，只是作为一个烟幕掩盖攻击的真实目的。
物联网为攻击者提供了新的工具
服务器和PC电脑已不是DDoS攻击流量的唯一来源。 卡巴斯基实验室在其报告中指出,如今许多其他设备都可以用来发动DDoS攻击，其中包括网络闭路电视摄像头、以及家庭路由器等。也就是说，DDoS攻击背后的网络罪犯不仅会利用工作站和电脑等经典的僵尸网络,也可用其他脆弱的web应用程序、服务器和物联网设备等发起攻击。
美国和中国继续成为DDoS攻击最大目标
根据各个安全公司所收集的遭受DDoS攻击的国家的数据分析表明：超过一半的攻击源在中国，另外在这一比例在韩国则占近四分之一、在美国占八分之一。 而攻击的目标中，有一半是针对美国，11%针对中国，法国和韩国则各占6%。也就是说，中国和美国或许将继续成为DDoS攻击的重点目标地区。
企业将能更好地应对攻击
尽管DDoS攻击力度在不断加大，但我们也看到，如今的企业在应对以及减少拒绝服务攻击所带来的影响方面正在做得越来越好。 超过四分之三的服务提供商可以做到在20分钟甚至更少的时间内减轻DDoS攻击。
在应对DDoS攻击的对弈中，互联网服务提供商一直处于战斗的前线，尽管他们为此已经奋斗了很长时间，但就DDoS攻击得趋势看来，他们还要继续磨练技能、提高能力，以应对愈加猛烈的DDoS攻击趋势。

3. 新的一年，ddos攻击还存在哪些威胁

有数据表明，近几年的ddos攻击数据有明显的增长趋势，这给不少的企业带来麻烦甚至是经济损失。究其原因，这种状况主要是因为ddos攻击变得更加复杂和更具有欺骗性。同时，更可怕的是，ddos攻击不仅仅应用在网络竞争，而已经渗透到国家与国家之间的安全较量。

在2017年加密货币淘金热已经成为全球金融市场的热门话题。但是，随着热度的升高投资者们对平台的关注度也越来越高，这也导致它们成为网络犯罪分子寻求巨额利益的重点目标，因此也加大了对其攻击力度。

曾经就有一些加密货币平台遭遇了几起ddos攻击，其中包括两起攻击加密货币现货交易平台Bitfinex的攻击，还有一起攻击英国加密货币初创厂商Electroneum公司的攻击。随着这种货币贸易的普及，在新的一年中ddos攻击的数量可能还会持续增加。

而且，随着网络攻击技术的升华，ddos攻击已经被应用到国家与国家之间的较量。目前，各个国家的重要基础设施都将面临更多的复杂和破坏性的网络威胁，这些威胁常常被认为是干扰国外政府的网络安全建设以影响其正常生产生活的重要手段。比如，针对瑞典传输网络的ddos攻击导致了其列车延误和旅行服务中断。

由此可见，ddos攻击已经上升为国际战略部署，在未来一年中很有可能成为网络战争中的主要力量。这不仅会增加各个网络安全建设的压力，同时也给各国的生产生活带来严重的负面影响，这也将会成为新一年新的发展趋势。所以，各国都在网络安全方面做了充分的防御措施。国内知名的网络安全防御平台cloud.cc已经针对ddos攻击采取应对办法，凭借遍布全球的数十个国际顶级流量清洗中心，形成超强的防ddos攻击流量清洗中心，防御能力高达10Tb+，可实现攻击秒级阻止，为保护国家网络安全贡献一份力量。

4. 被DDoS攻击时的现象?

被DoS攻击时的现象大致有：
* 被攻击主机上有大量等待的TCP连接；
* 被攻击主机的系统资源被大量占用，造成系统停顿；
* 网络中充斥着大量的无用的数据包，源地址为假地址；
* 高流量无用数据使得网络拥塞，受害主机无法正常与外界通讯；
* 利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务请求，使受害主机无法及时处理所有正常请求；
* 严重时会造成系统死机。

到目前为止，防范DoS特别是DDoS攻击仍比较困难，但仍然可以采取一些措施以降低其产生的危害。对于中小型网站来说，可以从以下几个方面进行防范：

主机设置：

即加固操作系统，对各种操作系统参数进行设置以加强系统的稳固性。重新编译或设置Linux以及各种BSD系统、Solaris和Windows等操作系统内核中的某些参数，可在一定程度上提高系统的抗攻击能力。

例如，对于DoS攻击的典型种类—SYN Flood，它利用TCP/IP协议漏洞发送大量伪造的TCP连接请求，以造成网络无法连接用户服务或使操作系统瘫痪。该攻击过程涉及到系统的一些参数：可等待的数据包的链接数和超时等待数据包的时间长度。因此，可进行如下设置：

* 关闭不必要的服务；
* 将数据包的连接数从缺省值128或512修改为2048或更大，以加长每次处理数据包队列的长度，以缓解和消化更多数据包的连接；
* 将连接超时时间设置得较短，以保证正常数据包的连接，屏蔽非法攻击包；
* 及时更新系统、安装补丁。

防火墙设置：

仍以SYN Flood为例，可在防火墙上进行如下设置：

* 禁止对主机非开放服务的访问；
* 限制同时打开的数据包最大连接数；
* 限制特定IP地址的访问；
* 启用防火墙的防DDoS的属性；
* 严格限制对外开放的服务器的向外访问，以防止自己的服务器被当做工具攻击他人。

此外，还可以采取如下方法：

* Random Drop算法。当流量达到一定的阀值时，按照算法规则丢弃后续报文，以保持主机的处理能力。其不足是会误丢正常的数据包，特别是在大流量数据包的攻击下，正常数据包犹如九牛一毛，容易随非法数据包被拒之网外；
* SYN Cookie算法，采用6次握手技术以降低受攻击率。其不足是依据列表查询，当数据流量增大时，列表急剧膨胀，计算量随之提升，容易造成响应延迟乃至系统瘫痪。

由于DoS攻击种类较多，而防火墙只能抵挡有限的几种。

路由器设置：

以Cisco路由器为例，可采取如下方法：

* Cisco EXPress Forwarding（CEF）；
* 使用Unicast reverse-path；
* 访问控制列表（ACL）过滤；
* 设置数据包流量速率；
* 升级版本过低的IOS；
* 为路由器建立log server。

其中，使用CEF和Unicast设置时要特别注意，使用不当会造成路由器工作效率严重下降。升级IOS也应谨慎。

路由器是网络的核心设备，需要慎重设置，最好修改后，先不保存，以观成效。Cisco路由器有两种配置，startup config和running config，修改的时候改变的是running config，可以让这个配置先运行一段时间，认为可行后再保存配置到startup config；如果不满意想恢复到原来的配置，用copy start run即可。

不论防火墙还是路由器都是到外界的接口设备，在进行防DDoS设置的同时，要权衡可能相应牺牲的正常业务的代价，谨慎行事。

利用负载均衡技术：

就是把应用业务分布到几台不同的服务器上，甚至不同的地点。采用循环DNS服务或者硬件路由器技术，将进入系统的请求分流到多台服务器上。这种方法要求投资比较大，相应的维护费用也高，中型网站如果有条件可以考虑。

以上方法对流量小、针对性强、结构简单的DoS攻击进行防范还是很有效的。而对于DDoS攻击，则需要能够应对大流量的防范措施和技术，需要能够综合多种算法、集多种网络设备功能的集成技术。

近年来，国内外也出现了一些运用此类集成技术的产品，如Captus IPS 4000、Mazu Enforcer、Top Layer Attack Mitigator以及国内的绿盟黑洞、东方龙马终结者等，能够有效地抵挡SYN Flood、UDP Flood、ICMP Flood和Stream Flood等大流量DDoS的攻击，个别还具有路由和交换的网络功能。对于有能力的网站来说，直接采用这些产品是防范DDoS攻击较为便利的方法。但不论国外还是国内的产品，其技术应用的可靠性、可用性等仍有待于进一步提高，如提高设备自身的高可用性、处理速率和效率以及功能的集成性等。

5. ddos攻击破坏了什么，带来哪些后果

对于一个站点，或者是企业来讲，ddos攻击破坏了什么，企业认为失去的是获得业务的机会。也就是运行合同终止会给ddos攻击带来严重性的伤害，在遭遇ddos攻击之前，百分之二十企业认为ddos存在巨大风险，ddos攻击造成的客户体验以及合作方式体验会让企业失去签署合同以及销售的机会。最后没有办法进行服务器访问，导致失去客户源。
不仅如此，针对不同站点，ddos攻击带来的后果也是不同的，比如电信，电子商务以及工业等等都会在ddos攻击之下，失去业务往来机会。比如工程行业或者是建筑行业等相关部署，就会因为不同的原因出现系统故障，以及系统高成本预算。
Ddos攻击破坏了什么，针对企业资源来进行分析，ddos攻击正在给企业提供一个需要及时应对高能力消费的问题。然而，有百分之三十七的受访者，选择的是保护措施来及时以应对ddos威胁，不管是哪种类型的企业都应该及时对ddos进行安全防御，这才是首要任务，整合安全有策略的ddos解决方案，其实就是在整合领先安全技术，能够成功抵御ddos攻击，以及各种网站出现的威胁，ddos攻击破坏什么，ddos攻击破坏性很大，所以需要采用提前预防的措施来避免破坏出现。比如提前将自己网站服务器IP地址隐藏，或者是在进行电子邮件的时候，利用第三方的方式进行发送，这样都能够在根本上得到预防。

6. 服务器被DDoS攻击

7. 我们会不再面临DDOS威胁吗？

不会的 只会越来越严重 
　DDoS攻击可以分为三类：容量耗尽攻击(volumetric attack)，这种攻击企图耗尽转发或链接容量;状态表耗尽攻击(state-exhaustion attacks)，这种攻击企图耗尽基础设施和服务器里面的状态表;以及应用层攻击，这种攻击企图耗尽应用层资源。在所有这些攻击中，攻击者都是企图阻止真正的用户访问某个特定的网络、服务和应用程序。 
　　虽然DDoS攻击存在的历史已超过了十年，但DDoS直到2010年12月才引起主流媒体的注意，当时它们摧垮了维基解密网站。随后，同情维基解密网站的人针对包括万士达卡(Mastercard)、贝宝(PayPal)、维萨(Visa)及其他知名机构在内的诸多目标发动了反攻。 
　　据Arbor Networks公司在今年早些时候发布的《全球基础设施安全报告》显示，耗尽资源容量的DDoS攻击在2010年首次突破100Gbps大关。简而言之，DDoS攻击消耗的资源变得多了许多。报告还披露，可能也是更让人担忧的是，针对数据中心的应用层DDoS攻击越来越频繁、越来越高明，给数据中心运营造成的影响也越来越大。

8. 那些年，DDoS的那些反击渗透的事情。

DDoS攻击与对策
  
 DDo（Distributed Denial of Service），即分布式拒绝服务攻击，是指黑客通过控制由多个肉鸡或服务器组成的僵尸网络，向目标发送大量看似合法的请求，从而占用大量网络资源使网络瘫痪，阻止用户对网络资源的正常访问。
  
 从各安全厂商的DDoS分析报告不难看出，DDoS攻击的规模及趋势正在成倍增长。由于攻击的成本不断降低，技术门槛要求越来越低，攻击工具的肆意传播，互联网上随处可见成群的肉鸡，使发动一起DDoS攻击变得轻而易举。
  
 DDoS攻击技术包括：常见的流量直接攻击（如SYN/ACK/ICMP/UDP FLOOD），利用特定应用或协议进行反射型的流量攻击（如，NTP/DNS/SSDP反射攻击，2018年2月28日GitHub所遭受的Memcached反射攻击），基于应用的CC、慢速HTTP等。关于这些攻击技术的原理及利用工具网上有大量的资源，不再赘述。
  
 1.1　DDoS防御常规套路
  
 防御DDoS的常规套路包括：本地设备清洗，运营商清洗，云清洗。
  
 1.本地设备清洗
  
 抗DDoS设备（业内习惯称ADS设备）一般以盒子的形式部署在网络出口处，可串联也可旁路部署。旁路部署需要在发生攻击时进行流量牵引，其基本部署方案如图18-1所示。
  
 
  
                                          
 图18-1　ADS 设备部署方式
  
 图18-1中的检测设备对镜像过来的流量进行分析，检测到DDoS攻击后通知清洗设备，清洗设备通过BGP或OSPF协议将发往被攻击目标主机的流量牵引到清洗设备，然后将清洗后的干净流量通过策略路由或者MPLS LSP等方式回注到网络中；当检测设备检测到DDoS攻击停止后，会通知清洗设备停止流量牵引。
  
 将ADS设备部署在本地，企业用户可依靠设备内置的一些防御算法和模型有效抵挡一些小规模的常见流量攻击，同时结合盒子提供的可定制化策略和服务，方便有一定经验的企业用户对攻击报文进行分析，定制针对性的防御策略。目前国内市场上，主要以绿盟的黑洞为代表，具体可以访问其官网进一步了解。
  
 本地清洗最大的问题是当DDoS攻击流量超出企业出口带宽时，即使ADS设备处理性能够，也无法解决这个问题。一般金融证券等企业用户的出口带宽可能在几百兆到几G，如果遇到十G以上甚至上百G的流量，就真的麻烦了，更别谈T级别的DDoS攻击了。
  
  2.运营商清洗
  
 当本地设备清洗解决不了流量超过出口带宽的问题时，往往需要借助运营商的能力了，紧急扩容或者开启清洗服务是一般做法，前提是要采购相应的清洗服务，而且一般需要通过电话或邮件确认，有的可能还要求传真。
  
 运营商的清洗服务基本是根据netflow抽样检测网络是否存在DDoS攻击，而且策略的颗粒度较粗，因此针对低流量特征的DDoS攻击类型检测效果往往不够理想。再加上一些流程上的操作如电话、邮件、传真等，真正攻击到来时处理可能会更慢，需要重点关注。
  
 值得一提的是中国电信的云堤服务，提供了“流量压制”和“近源清洗”服务，而且还提供了自助平台供用户操作，查看流量、开启清洗也非常方便。
  
  3.云清洗
  
 内容分发网络（Content Delivery Network，CDN）是指，通过在网络各处放置节点服务器，让用户能够在离自己最近的地方访问服务，以此来提高访问速度和服务质量。CDN主要利用了四大关键技术：内容路由，内容分发，内存存储，内容管理。更详细的技术原理可以参考中国电信研究院出版的《CDN技术详解》。
  
 CDN技术的初衷是为了提高互联网用户对静态网站的访问速度，但是由于分布式、就近访问的特点，能对攻击流量进行稀释，因此，一些传统CDN厂商除了提供云加速功能外，也开始推出云清洗的服务，当然还有一些安全公司基于其自身优势进入云清洗市场。基本原理都一样，需要先在云端配置好相应的记录，当企业遭受大规模攻击时，通过修改其DNS记录将要保护的域名CNAME到云端事先配好的记录上，等待DNS生效即可。
  
 使用云清洗需要注意以下几个问题：
  
  1. -·云清洗厂商需要提前配置好相应记录。 ·DNS修改记录后，需要等待TTL超时才生效。 
  
  2.   ·直接针对源IP的攻击，无法使用云清洗防护，还要依靠本地和运营商清冼。 
  
  3. ·针对HTTPS网站的防御，还涉及HTTPS证书，由此带来的数据安全风险需要考虑，市面上也有相应的Keyless方案{n1}。
  
 由于国内环境不支持Anycast技术，所以不再赘述，如果有海外分支机构的网站需要防护，可以关注。
  
 {nt1|其细节可以参考cloudflare公司博客上的文章，链接：[https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/](https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/)。
  
 一些经验
  
 结合笔者的一些经验，对DDoS防护落地做一些补充，仅供参考。
  
 1.自动化平台
  
 金融企业由于高可用要求，往往会有多个数据中心，一个数据中心还会接入多家运营商线路，通过广域网负载均衡系统对用户的访问进行调度，使之访问到最近最优的资源。当任何一条接入线路存在DDoS攻击时，能通过广域网负载均衡系统将该线路上的访问需求转移至其他互联网线路。在针对IP地址开展的DDoS攻击中，此方案能够有效保障正常客户的访问不受影响，为了实现快速切换，需要通过自动化运维平台来实现，如图18-2所示。
  
 
  
                                          
 图18-2
  
 线路调整一键应急配合必要的应知应会学习和应急演练，使团队成员都能快速掌握方法，在事件发生第一时间进行切换，将影响降到最小。接下来才是通知运营商进行清洗处理，等待流量恢复正常后再进行回切。
  
 当某一个业务的IP受到攻击时，可以针对性地处置，比如一键停用，让正常用户访问其他IP；也可以一键开启清洗服务。
  
  2.设备抗D能力
  
 除了ADS设备外，还有一些设备也需要关注抗DDoS能力，包括防火墙、负载均衡设备等。
  
 出于安全可控需求，金融企业往往会采用异构模式部署防火墙，比如最外层用产品A，里面可能会用产品B。假如产品A的抗DDoS能力差，在发生攻击时，可能还没等到ADS设备清洗，产品A已经出问题了，比如发生了HA切换或者无法再处理新的连接等。
  
 在产品选型测试时，需要关注这方面的能力，结合笔者所在团队经验，有以下几点供参考：
  
  1. ·某些产品在开启日志记录模块后会存在极严重的性能消耗，在可能存在攻击的环境内建议关闭。
  
  2. ·尽管理论和实际会有偏差，但根据实际测试情况，还是建议当存在大量TCP、UDP新建连接时，防火墙的最大连接数越大越好
  
  3. 多测试多对比，从对比中可以发现更优的方案，通过适当的调整优化引入更优方案。
  
  4. ·监控防火墙CPU和连接数，当超过一定值时开始着手优化规则，将访问量多的规则前移、减少规则数目等都是手段。
  
 负载均衡设备也需要关注以上问题，此外，负载均衡由于承接了应用访问请求分发调度，可以一定程度上针对性地防护基于IP速率、基于URL速率的DDoS攻击以及慢速攻击等。图18-3所示为F5的ASM的DDoS防护策略。
  
 
  
                                          
 图18-3
  
 负载均衡设备ASM防DDoS功能
  
 请求经过防火墙和负载均衡，最后到了目标机器上处理的时候，也需要关注。系统的性能调优设置、Nginx的性能参数调整以及限制连接模块配置等，都是在实际工作中会涉及的。
  
 3.应急演练
  
 部署好产品，开发好自动化运维平台，还要配合必要的应知应会、应急演练才行。因为金融行业的特殊性，DDoS攻击发生的次数相比互联网行业还是少很多的，有的企业可能几年也碰不到一次。时间久了技能就生疏了，真正需要用到时，可能连登录设备的账号口令都忘了，又或者需要现场接线的连设备都找不到，那就太糟糕了。
  
 此外，采购的外围的监控服务、运营商和云清洗产品的服务能力也需要通过演练来检验有效性。签订合同时承诺的秒级发现、分钟级响应是否经得起考验，要先在心里打上一个问号。建议在不事先通知的情况下进行演练，观察这中间的问题并做好记录，待演练完成后一并提交给服务商要求整改。这样的演练每年要不定期组织几次。