1.常見DDoS攻擊分類
DDoS粗略分類為流量型攻擊和CC攻擊。流量型攻擊主要是通過發送報文侵占正常業務帶寬,甚至堵塞整個數據中心的出口,導致正常用戶訪問無法達到業務服務器。CC攻擊主要是針對某些業務服務進行頻繁訪問,重點在於通過精心選擇訪問的服務,激發大量消耗資源的數據庫查詢、文件IO等,導致業務服務器CPU、內存或者IO出現瓶頸,無法正常提供服務。比較狡猾的攻擊者會混合使用這兩種攻擊。
流量型攻擊細分起來還有許多種,下面介紹其中幾種典型的。
·TCP SYN FLOOD——一個正常的TCP連接需要進行三方握手操作。首先,客戶端向服務器發送一個TCP SYN數據包。而后服務器分配一個控制塊,並響應一個SYN ACK數據包。服務器隨后將等待從客戶端收到一個ACK數據包。如果服務器沒有收到ACK數據包,TCP連接將處於半開狀態,直到服務器從客戶端收到ACK數據包或者連接因為time-to-live(TTL)計時器設置而超時為止。在連接超時的情況下,事先分配的控制塊將被釋放。當一個攻擊者有意地、重復地向服務器發送SYN數據包,但不對服務器發回的SYN ACK數據包答復ACK數據包時,就會發生TCP SYN泛洪攻擊。通常黑客會偽造TCP SYN的源地址為一個不存在的地址,讓服務器根本沒法回包,並且增加TCP SYN的報文長度,同時堵塞機房出口。
·UDP FLOOD——又稱UDP洪水攻擊或UDP淹沒攻擊,UDP是沒有連接狀態的協議,因此可以發送大量的UDP包到某個端口,如果是個正常的UDP應用端口,則可能干擾正常應用,如果是沒有正常應用,服務器要回送ICMP,這樣就消耗了服務器的處理資源,而且很容易阻塞上行鏈路的帶寬。通常黑客會發送大量長度較長,源IP偽造成不存在地址的UDP報文,直接堵塞機房出口。
·反射型攻擊——反射拒絕服務攻擊又稱DRDoS攻擊(Distributed Reflection Denial of Service),或分布式反射拒絕服務攻擊。其原理如圖2-22所示,是黑客偽造成被攻擊者的IP地址,向互聯網上大量開放特定服務的服務器發起請求,接收到請求的那些主機根據源IP地址將響應數據包返回給受害者。整個過程中,返回響應的服務器並不知道請求源的惡意動機。
黑客往往會選擇那些響應包遠大於請求包的服務來利用,這樣才可以用較小的流量換取更大的流量,獲得幾倍甚至幾十倍的放大效果。一般來說,可以被利用來做放大反射攻擊的服務包括DNS服務、NTP服務、SNMP服務、Chargen服務等。根據US-CERT在2014年1月發布的預警(Alert TA14-017A),DNS、NTP、SNMP等協議的反射放大效果以及脆弱性如圖2-23所示,可見利用NTP協議的反射放大效果最好,超過500倍。也就是說攻擊者只需要發起100Mbps的請求流量,經過NTP服務器的反射放大,可以換來5Gbps的攻擊流量。2014年2月,在國外某雲計算服務提供商遭受的400Gbps DDoS攻擊中,黑客就采用了NTP反射放大攻擊
2.DDoS雲防護的基本原理
DDoS雲防護的基本原理就是替身防護,即通過A記錄、CNAME或者NS的方式將被攻擊網站的域名指向雲清洗機房,雲清洗機房利用囤積的大量帶寬進行流量清洗,把清洗后的正常業務訪問轉發給網站,過濾掉攻擊流量。