分布式拒絕服務(wù)攻擊(英文意思是Distributed Denial of Service，簡(jiǎn)稱DDoS)是指處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)攻擊，或者一個(gè)攻擊者控制了位于不同位置的多臺(tái)機(jī)器并利用這些機(jī)器對(duì)受害者同時(shí)實(shí)施攻擊。由于攻擊的發(fā)出點(diǎn)是分布在不同地方的，這類攻擊稱為分布式拒絕服務(wù)攻擊，其中的攻擊者可以有多個(gè)。

分布式拒絕服務(wù)攻擊原理分布式拒絕服務(wù)攻擊DDoS是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布的、協(xié)同的大規(guī)模攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，它利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷，采用欺騙和偽裝的策略來(lái)進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。與DoS攻擊由單臺(tái)主機(jī)發(fā)起攻擊相比較，分布式拒絕服務(wù)攻擊DDoS是借助數(shù)百、甚至數(shù)千臺(tái)被入侵后安裝了攻擊進(jìn)程的主機(jī)同時(shí)發(fā)起的集團(tuán)行為。

一個(gè)完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標(biāo)四部分組成。主控端和代理端分別用于控制和實(shí)際發(fā)起攻擊，其中主控端只發(fā)布命令而不參與實(shí)際的攻擊，代理端發(fā)出DDoS的實(shí)際攻擊包。對(duì)于主控端和代理端的計(jì)算機(jī)，攻擊者有控制權(quán)或者部分控制權(quán)．它在攻擊過(guò)程中會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)。真正的攻擊者一旦將攻擊的命令傳送到主控端，攻擊者就可以關(guān)閉或離開網(wǎng)絡(luò)．而由主控端將命令發(fā)布到各個(gè)代理主機(jī)上。這樣攻擊者可以逃避追蹤。每一個(gè)攻擊代理主機(jī)都會(huì)向目標(biāo)主機(jī)發(fā)送大量的服務(wù)請(qǐng)求數(shù)據(jù)包，這些數(shù)據(jù)包經(jīng)過(guò)偽裝，無(wú)法識(shí)別它的來(lái)源，而且這些數(shù)據(jù)包所請(qǐng)求的服務(wù)往往要消耗大量的系統(tǒng)資源，造成目標(biāo)主機(jī)無(wú)法為用戶提供正常服務(wù)。甚至導(dǎo)致系統(tǒng)崩潰。

1、手工的DDoS攻擊。

早期的DDoS攻擊全是采用手動(dòng)配置的，即發(fā)動(dòng)DDoS攻擊時(shí)，掃描遠(yuǎn)端有漏洞的計(jì)算機(jī)，侵入它們并且安裝代碼全是手動(dòng)完成的。

2、半自動(dòng)化的DDoS攻擊。

在半自動(dòng)化的攻擊中，DDoS攻擊屬于主控端一代理端的攻擊模型，攻擊者用自動(dòng)化的Scripts來(lái)掃描，主控端的機(jī)器對(duì)主控端和代理端之間進(jìn)行協(xié)商攻擊的類型、受害者的地址、何時(shí)發(fā)起攻擊等信息由進(jìn)行詳細(xì)記錄。 ^[4]

3、自動(dòng)化的DDoS攻擊。

在這類攻擊中。攻擊者和代理端機(jī)器之間的通信是絕對(duì)不允許的。這類攻擊的攻擊階段絕大部分被限制用一個(gè)單一的命令來(lái)實(shí)現(xiàn)，攻擊的所有特征，例如攻擊的類型，持續(xù)的時(shí)間和受害者的地址在攻擊代碼中都預(yù)先用程序?qū)崿F(xiàn)。 ^[4]

1、洪水攻擊。

在洪水攻擊中。傀儡機(jī)向受害者系統(tǒng)發(fā)送大量的數(shù)據(jù)流為了充塞受害者系統(tǒng)的帶寬，影響小的則降低受害者提供的服務(wù)，影響大的則使整個(gè)網(wǎng)絡(luò)帶寬持續(xù)飽和，以至于網(wǎng)絡(luò)服務(wù)癱瘓。典型的洪水攻擊有UDP洪水攻擊和ICMP洪水攻擊。 ^[4]

2、擴(kuò)大攻擊。

擴(kuò)大攻擊分為兩種，一種是利用廣播lP地址的特性，一種是利用反射體來(lái)發(fā)動(dòng)攻擊。前一種攻擊者是利用了廣播IP地址的特性來(lái)擴(kuò)大和映射攻擊，導(dǎo)致路由器將數(shù)據(jù)包發(fā)送到整個(gè)網(wǎng)絡(luò)的廣播地址列表中的所有的廣播IP地址。這些惡意的流量將減少受害者系統(tǒng)可提供的帶寬。典型的擴(kuò)大攻擊有Smurf和Fraggle攻擊。 ^[4]

3、利用協(xié)議的攻擊。

該類攻擊則是利用某些協(xié)議的特性或者利用了安裝在受害者機(jī)器上的協(xié)議中存在的漏洞來(lái)耗盡它的大量資源。典型的利用協(xié)議攻擊的例子是TCP SYN攻擊。

4、畸形數(shù)據(jù)包攻擊。

攻擊者通過(guò)向受害者發(fā)送不正確的IP地址的數(shù)據(jù)包，導(dǎo)致受害系統(tǒng)崩潰。畸形數(shù)據(jù)包攻擊可分為兩種類型：IP地址攻擊和IP數(shù)據(jù)包屬性攻擊。

DDoS攻擊從基于速率上進(jìn)行分類，可以分為持續(xù)速率和可變速率的攻擊。持續(xù)速率的攻擊是指只要開始發(fā)起攻擊，就用全力不停頓也不消減力量。像這種攻擊的影響是非?？斓?。可變速率的攻擊，從名字就可以看出，用不同的攻擊速率，基于這種速率改變的機(jī)制，可以把這種攻擊分為增加速率和波動(dòng)的速率。

DDoS攻擊從基于影響力方面可以分為網(wǎng)絡(luò)服務(wù)徹底崩潰和降低網(wǎng)絡(luò)服務(wù)的攻擊。服務(wù)徹底崩潰的攻擊將導(dǎo)致受害者的服務(wù)器完全拒絕對(duì)客戶端提供服務(wù)。降低網(wǎng)絡(luò)服務(wù)的攻擊，消耗受害者系統(tǒng)的一部分資源，這將延遲攻擊被發(fā)現(xiàn)的時(shí)間，同時(shí)對(duì)受害者造成一定的破壞。

DDoS攻擊從基于入侵目標(biāo)，可以將DDoS攻擊分為帶寬攻擊和連通性攻擊，帶寬攻擊通過(guò)使用大量的數(shù)據(jù)包來(lái)淹沒整個(gè)網(wǎng)絡(luò)，使得有效的網(wǎng)絡(luò)資源被浪費(fèi)，合法朋戶的請(qǐng)求得不到響應(yīng)，大大降低了效率。而連通性攻擊是通過(guò)發(fā)送大量的請(qǐng)求來(lái)使的計(jì)算機(jī)癱瘓，所有有效的操作系統(tǒng)資源被耗盡，導(dǎo)致計(jì)算機(jī)不能夠再處理合法的用戶請(qǐng)求。 ^[4]

1、直接攻擊：攻擊者和主控端通信，主控端接到攻擊者的命令后，再控制代理端向受害者發(fā)動(dòng)攻擊數(shù)據(jù)流。代理端向受害者系統(tǒng)發(fā)送大量的偽IP地址的網(wǎng)絡(luò)數(shù)據(jù)流，這樣攻擊者很難被追查到。

2、反復(fù)式攻擊通過(guò)利用反射體，發(fā)動(dòng)更強(qiáng)大的攻擊流。反射體是任何一臺(tái)主機(jī)只要發(fā)送一個(gè)數(shù)據(jù)包就能收到一個(gè)數(shù)據(jù)包，反復(fù)式攻擊就是攻擊者利用中間的網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)動(dòng)攻擊。

從攻擊特征的角度，可以將DDoS攻擊分為攻擊行為特征可提取和攻擊行為特征不可提取兩類。攻擊行為特征可提取的DDoS攻擊又可以細(xì)分為可過(guò)濾型和不可過(guò)濾型?？蛇^(guò)濾型的DDoS攻擊主要指那些使用畸形的非法數(shù)據(jù)包。不可過(guò)濾型DDoS攻擊通過(guò)使用精心設(shè)計(jì)的數(shù)據(jù)包，模仿合法用戶的正常請(qǐng)求所用的數(shù)據(jù)包，一旦這類數(shù)據(jù)包被過(guò)濾將會(huì)影響合法用戶的正常使用。

DDoS的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無(wú)法到達(dá)主機(jī)；另一種為資源耗盡攻擊，主要是針對(duì)服務(wù)器主機(jī)的攻擊，即通過(guò)大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無(wú)法提供網(wǎng)絡(luò)服務(wù)。當(dāng)被DDoS攻擊時(shí)，主要表現(xiàn)為： ^[5]

(1)被攻擊主機(jī)上有大量等待的TCP連接。

(2)網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址為假。

(3)制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊。

(4)利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求。

(5)嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。

攻擊者進(jìn)行一次DDoS攻擊大概需要經(jīng)過(guò)了解攻擊目標(biāo)、攻占傀儡機(jī)、實(shí)際攻擊三個(gè)主要步驟，下面依次說(shuō)明每一步驟的具體過(guò)程：

1、了解攻擊目標(biāo)就是對(duì)所要攻擊的目標(biāo)有一個(gè)全面和準(zhǔn)確的了解，以便對(duì)將來(lái)的攻擊做到心中有數(shù)。主要關(guān)分布式拒絕服務(wù)攻擊 心的內(nèi)容包括被攻擊目標(biāo)的主機(jī)數(shù)目、地址情況。目標(biāo)主機(jī)的配置、性能、目標(biāo)的帶寬等等。對(duì)于DDoS攻擊者來(lái)說(shuō)，攻擊互聯(lián)網(wǎng)上的某個(gè)站點(diǎn)，有一個(gè)重點(diǎn)就是確定到底有多少臺(tái)主機(jī)在支持這個(gè)站點(diǎn)，一個(gè)大的網(wǎng)站可能有很多臺(tái)主機(jī)利用負(fù)載均衡技術(shù)提供服務(wù)。所有這些攻擊目標(biāo)的信息都關(guān)系到后面兩個(gè)階段的實(shí)施目標(biāo)和策略，如果盲目的發(fā)動(dòng)DDoS攻擊就不能保證攻擊目的的完成，還可能過(guò)早的暴露攻擊者的身份，所以了解攻擊目標(biāo)是有經(jīng)驗(yàn)的攻擊者必經(jīng)的步驟。

2、攻占傀儡主機(jī)就是控制盡可能多的機(jī)器，然后安裝相應(yīng)的攻擊程序。在主控機(jī)上安裝控制攻擊的程序，而攻擊機(jī)則安裝DDoS攻擊的發(fā)包程序。攻擊者最感興趣，也最有可能成為別人的傀儡主機(jī)的機(jī)器包括那些鏈路狀態(tài)好、性能好同時(shí)安全管理水平差的主機(jī)。攻擊者一般會(huì)利用已有的或者未公布的一些系統(tǒng)或者應(yīng)用軟件的漏洞．取得一定的控制權(quán)，起碼可以安裝攻擊實(shí)施所需要的程序，更厲害的可能還會(huì)取得最高控制權(quán)、留下后門等等。在早期的DDoS攻擊過(guò)程中，攻占傀儡主機(jī)這一步主要是攻擊者自己手動(dòng)完成的，親自掃描網(wǎng)絡(luò)，發(fā)現(xiàn)安全性比較差的主機(jī)，將其攻占并且安裝攻擊程序。但是后來(lái)隨著DDoS攻擊和蠕蟲的融合，攻占傀儡機(jī)變成了一個(gè)自動(dòng)化的過(guò)程，攻擊者只要將蠕蟲放入網(wǎng)絡(luò)中，蠕蟲就會(huì)在不斷擴(kuò)散中不停地攻占主機(jī)，這樣所能聯(lián)合的攻擊機(jī)將變得非常巨大，DDoS攻擊的威力更大。 ^[6]

3、DDoS攻擊的最后一個(gè)階段就是實(shí)際的攻擊過(guò)程，攻擊者通過(guò)主控機(jī)向攻擊機(jī)發(fā)出攻擊指令，或者按照原先設(shè)定好的攻擊時(shí)間和目標(biāo)，攻擊機(jī)不停的向目標(biāo)或者反射服務(wù)器發(fā)送大量的攻擊包，來(lái)吞沒被攻擊者，達(dá)到拒絕服務(wù)的最終目的。和前兩個(gè)過(guò)程相比，實(shí)際攻擊過(guò)程倒是最簡(jiǎn)單的一個(gè)階段，一些有經(jīng)驗(yàn)的攻擊者可能還會(huì)在攻擊的同時(shí)通過(guò)各種手段檢查攻擊效果，甚至在攻擊過(guò)程中動(dòng)態(tài)調(diào)整攻擊策略，盡可能清除在主控機(jī)和攻擊機(jī)上留下的蛛絲馬跡。 ^[6]

1、SYN Flood攻擊

SYN Flood攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的DDoS攻擊，它利用了TCP協(xié)議實(shí)現(xiàn)上的一個(gè)缺陷。通過(guò)向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報(bào)文，就可能造成目標(biāo)服務(wù)器中的半開連接隊(duì)列被占滿，從而阻止其他合法用戶進(jìn)行訪問。

、UDP Flood攻擊

UDP Flood是日漸猖厥的流量型DDoS攻擊，原理也很簡(jiǎn)單。常見的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。由于UDP協(xié)議是一種無(wú)連接的服務(wù)，在UDP Flood攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。

3、ICMP Flood攻擊

ICMP Flood攻擊屬于流量型的攻擊方式，是利用大的流量給服務(wù)器帶來(lái)較大的負(fù)載，影響服務(wù)器的正常服務(wù)。由于目前很多防火墻直接過(guò)濾ICMP報(bào)文。因此ICMP Flood出現(xiàn)的頻度較低。 ^[7]

4、Connection Flood攻擊

Connection Flood是典型的利用小流量沖擊大帶寬網(wǎng)絡(luò)服務(wù)的攻擊方式，這種攻擊的原理是利用真實(shí)的IP地址向服務(wù)器發(fā)起大量的連接。并且建立連接之后很長(zhǎng)時(shí)間不釋放，占用服務(wù)器的資源，造成服務(wù)器上殘余連接(WAIT狀態(tài))過(guò)多，效率降低，甚至資源耗盡，無(wú)法響應(yīng)其他客戶所發(fā)起的鏈接。

5、HTTP Get攻擊

這種攻擊主要是針對(duì)存在ASP、JSP、PHP、CGI等腳本程序，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫(kù)資源的調(diào)用。這種攻擊的特點(diǎn)是可以繞過(guò)普通的防火墻防護(hù)，可通過(guò)Proxy代理實(shí)施攻擊，缺點(diǎn)是攻擊靜態(tài)頁(yè)面的網(wǎng)站效果不佳，會(huì)暴露攻擊者的lP地址。

6、UDP DNS Query Flood攻擊

UDP DNS Query Flood攻擊采用的方法是向被攻擊的服務(wù)器發(fā)送大量的域名解析請(qǐng)求，通常請(qǐng)求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)世界上根本不存在的域名。域名解析的過(guò)程給服務(wù)器帶來(lái)了很大的負(fù)載，每秒鐘域名解析請(qǐng)求超過(guò)一定的數(shù)量就會(huì)造成DNS服務(wù)器解析域名超時(shí)。

不但是對(duì)DDoS，而且是對(duì)于所有網(wǎng)絡(luò)的攻擊，都應(yīng)該是采取盡可能周密的防御措施，同時(shí)加強(qiáng)對(duì)系統(tǒng)的檢測(cè)，建立迅速有效的應(yīng)對(duì)策略。應(yīng)該采取的防御措施有：

(1)全面綜合地設(shè)計(jì)網(wǎng)絡(luò)的安全體系，注意所使用的安全產(chǎn)品和網(wǎng)絡(luò)設(shè)備。

(2)提高網(wǎng)絡(luò)管理人員的素質(zhì)，關(guān)注安全信息，遵從有關(guān)安全措施，及時(shí)地升級(jí)系統(tǒng)，加強(qiáng)系統(tǒng)抗擊攻擊的能力。

(3)在系統(tǒng)中加裝防火墻系統(tǒng)，利用防火墻系統(tǒng)對(duì)所有出入的數(shù)據(jù)包進(jìn)行過(guò)濾，檢查邊界安全規(guī)則，確保輸出的包受到正確限制。

(4)優(yōu)化路由及網(wǎng)絡(luò)結(jié)構(gòu)。對(duì)路由器進(jìn)行合理設(shè)置，降低攻擊的可能性。

(5)優(yōu)化對(duì)外提供服務(wù)的主機(jī)，對(duì)所有在網(wǎng)上提供公開服務(wù)的主機(jī)都加以限制。

(6)安裝入侵檢測(cè)工具(如NIPC、NGREP)，經(jīng)常掃描檢查系統(tǒng)，解決系統(tǒng)的漏洞，對(duì)系統(tǒng)文件和應(yīng)用程序進(jìn)行加密，并定期檢查這些文件的變化。

在響應(yīng)方面，雖然還沒有很好的對(duì)付攻擊行為的方法，但仍然可以采取措施使攻擊的影響降至最小。對(duì)于提供信息服務(wù)的主機(jī)系統(tǒng)，應(yīng)對(duì)的根本原則是：

盡可能地保持服務(wù)、迅速恢復(fù)服務(wù)。由于分布式攻擊入侵網(wǎng)絡(luò)上的大量機(jī)器和網(wǎng)絡(luò)設(shè)備，所以要對(duì)付這種攻擊歸根到底還是要解決網(wǎng)絡(luò)的整體安全問題。真正解決安全問題一定要多個(gè)部門的配合，從邊緣設(shè)備到骨干網(wǎng)絡(luò)都要認(rèn)真做好防范攻擊的準(zhǔn)備，一旦發(fā)現(xiàn)攻擊就要及時(shí)地掐斷最近攻擊來(lái)源的那個(gè)路徑，限制攻擊力度的無(wú)限增強(qiáng)。網(wǎng)絡(luò)用戶、管理者以及ISP之間應(yīng)經(jīng)常交流，共同制訂計(jì)劃，提高整個(gè)網(wǎng)絡(luò)的安全性。

2019年9月初，北京市公安局網(wǎng)絡(luò)安全保衛(wèi)總隊(duì)（以下簡(jiǎn)稱“網(wǎng)安總隊(duì)”）發(fā)起了針對(duì)“分布式拒絕服務(wù)攻擊”類違法犯罪的全國(guó)性專項(xiàng)打擊行動(dòng)。三個(gè)月內(nèi)，網(wǎng)安總隊(duì)在全國(guó)范圍內(nèi)共抓獲違法犯罪嫌疑人379名，清理在京被控主機(jī)7268臺(tái)。

專項(xiàng)打擊中，網(wǎng)安總隊(duì)會(huì)同北京市海淀公安分局圍繞此類違法犯罪開展縝密偵查，先后發(fā)現(xiàn)10個(gè)專門從事DDoS攻擊網(wǎng)站。此類網(wǎng)站靠為他人提供DDoS攻擊服務(wù)進(jìn)而非法牟利。其中一個(gè)網(wǎng)站內(nèi)的會(huì)員有1萬(wàn)人左右，攻擊峰值流量高達(dá)400G，總攻擊次數(shù)達(dá)30余萬(wàn)次。

通過(guò)案件深挖，網(wǎng)安總隊(duì)聯(lián)合相關(guān)技術(shù)團(tuán)隊(duì)，共同開展對(duì)DDoS攻擊類違法犯罪的研究，先后發(fā)現(xiàn)了多條團(tuán)伙案件線索。此后，網(wǎng)安總隊(duì)會(huì)同北京市豐臺(tái)公安分局對(duì)上述線索開展分析梳理，獲取了涉及全國(guó)25個(gè)省的220條DDoS攻擊類線索，并由公安部統(tǒng)一指揮、全國(guó)相關(guān)地區(qū)公安機(jī)關(guān)共同開展集中打擊。截至2019年12月，在全國(guó)范圍內(nèi)共抓獲違法犯罪嫌疑人379名。