DDoS跨入400Gbps时代 如何应对来自孩子们的攻击

DDoS，分布式拒绝服务攻击，Distributed Denial of Service的缩写，亦称洪水攻击。DDoS最早可追溯到1996年，2002年在国内频繁出现，并在2013年迈向成熟。DDoS攻击具体可分成两种形式——带宽和资源消耗，通过大量合法或伪造请求占用大量网络以及服务器资源，下面我们简单看一下 维基百科上的信息：

1. 带宽消耗型攻击

带宽消耗攻击可以分为两个不同的层次，洪泛攻击或放大攻击。洪泛攻击的特点是利用僵尸程序发送大量流量至受损的受害者系统，目的在于堵塞其带宽。放大攻击也与之类似，通过恶意放大流量限制受害者系统的带宽；其特点是利用僵尸程序发送信息，但是信息却是发送至广播 IP 地址，导致系统子网被广播 IP 地址连接上之后再发送信息至受害系统。

带宽消耗的攻击方式主要包括User Datagram Protocol（UDP）floods、ICMP floods、ping of death以及泪滴攻击。

2. 资源消耗型攻击

资源消耗型攻击主要包括协议分析攻击（ SYN flood ，SYN洪水）、LAND attack、CC攻击、僵尸网络攻击和Application level floods（应用程序级洪水攻击），其中骇客们惯用及最爱的无疑就是SYN flood。

SYN Flood是一种非常典型和常见的系统资源消耗型DDoS攻击，是在TCP连接创建的握手阶段，利用客户端与服务器三次交互对服务器侧的TCP资源进行攻击。攻击者通过向被攻击目标服务器发出大量TCP SYN报文，使服务器打开并维持大量的半开连接，进而占满服务器的连接表，影响正常用户与服务器建立会话，造成拒绝服务。

在对DDoS有了大致的了解后，我们看一下DDoS攻击在近年内的发展：

从300到400不到1年

Spamhaus，致力于反垃圾邮件的非盈利组织，维护着一个巨大的垃圾邮件黑名单，这个名单被很多大学/研究机构、互联网提供商、军事机构和商业公司广泛使用。在2013年3月，Spamhaus赫然把Cyberbunker公司加入了黑名单之内，从而遭到了那个时候史上最大的DDoS攻击——流量一度超过300Gbps！

然而，这个史上最大攻击记录仅仅保持了不到1年的时间：CloudFlare CEO Matthew Prince在2月10日的Twitter上指出，他们受到了NTP（Network Time Protocol）类型的DDoS攻击，规模大于Spamhaus，约为400Gbps，影响最大的地区在欧洲。比较有意思的是，Spamhaus正是CloudFlare的客户之一。而在2月13日，CloudFlare公布了这次大规模DDoS攻击背后的技术，详情访问 该公司博客。（ps：更多的NTP原理可访问 NTP反射型DDoS攻击）

孩子们只是为了娱乐

通过 KrebsOnSecurity了解到，在DDoS服务租赁者中存在大量的年轻人，他们期望通过破坏别人的网站或服务以炫耀自己，而KrebsOnSecurity在这周也受到一位15岁男孩的攻击，他称自己为“Mr. Booter Master”。而通过KrebsOnSecurity网站选择的安全公司Prolexic Technologies得知，就是这个15岁的孩子发起了一个接近200Gbps的攻击。通过该安全公司还得知，这次攻击仅仅持续了10分钟左右，与其说是破坏不如说是演习和验证。通过知情人士还得知，攻击者的目的在于通过这种方式向Darkode论坛管理员证明他可以为社区贡献更多：

类似“Mr. Booter Master”这个年龄段的攻击者还有很多，他们通过各种各样的方式证明自己的实力，但是无可否认的是他们的目的只有一个——为了娱乐！

新时代的攻击即服务

云服务的发展为企业减少了基础设施领域的建设成本，同时这也给很多黑客带来了机会。现在已经出现了Attacks-as-a-Service（攻击即服务），这是一种特殊的云服务模式。然而即使表面上看起来很合法，而且具有完整的服务水平协议，不过这些技术支持都是在暗中完成。

去年我们有报到过，来自中国的一个黑客小组新开了一个叫“IM DDODS”的网站，它就允许任何客户进行注册，并且可以对任何他们希望的目标发起DDoS攻击。同时，根据圈内人士提供的消息，雇佣一名黑客的价格其实非常便宜，远不及在一家高档餐厅享受一顿丰盛晚餐的价格。一些黑客可以在48小时之内破解电子邮件的密码，收费也只是在150美金到400美金之间。而IM DDOS则更为慷慨，他们同时还提供了很多“买就送”的免费服务。

200-400Gbps的时代

从 Arbor Networks得知，2013年NTP攻击得到了长足的发展，DDoS攻击已经步入200-400Gbps时代。需要注意的是，这点并不仅限于欧美等国家——2014春节期间，阿里云曾遭遇一场160Gbit/s DDoS攻击，虽然官方公布了这场博弈的结果，但是如果下方回帖网友使用的也是阿里云服务的话，情况似乎并不乐观。同时，不可否认的是，在200-400Gbps DDoS攻击数量级下，国内的防范之路还有很长一段要走。