隨著網際網路與資訊科技的發展，所有人都在享受網際網路帶來的舒適和便利。如今，無論是個人社交行為，還是商業活動都早已離不開網際網路。 但是，網路空間在創造機遇的同時，也帶來了威脅。隨著企業價值、知名度的提高、官方網站、線上交易平臺、使用者登入頁面皆為攻擊者之首選目標，而最常見的攻擊手法就是 DDoS 。DDoS 攻擊讓許多廠商與企業感到束手無策的同時，還遭受了巨大的損失。而且通過這些年的發展，DDoS 攻擊手法還變得越來越多元且難以防範，它已經成為不同組織和個人的攻擊形式之一，用於網路中的勒索、報復，甚至網路戰爭。 本篇文章就帶大家認識一下常見的 DDoS 攻擊手法，以及遇到攻擊後要如何進行防禦應變。  ## 什麼是 DDoS 攻擊？ DDoS 攻擊全名為 Distributed Denial-of-Service Attack，又稱為分散式拒絕服務攻擊，是舊時 DoS 攻擊（Denial-of-Service Attack，拒絕服務攻擊）的擴大版，其目的是以各種攻擊手法，讓網路系統的功能癱瘓或資源耗盡，迫使網頁或伺服器中斷服務，導致正常的使用者無法使用網頁功能和使用服務。  早期的電腦不如今日發達，只要攻擊方電腦效能高於被攻擊方，一對一的 DoS 攻擊很容易達到目的。現如今很多大型企業具備較強的服務提供能力，所以應付單個請求的攻擊已經不是問題。 既然一打一行不通了，那就群毆。攻擊者會組織很多同夥，同時提出服務請求，直到服務無法訪問，這也就是名稱中“分散式”的由來。但是，在現實中，一般的攻擊者無法組織各地夥伴協同“作戰”，所以會使用“殭屍網路”來控制眾多計算機進行攻擊。  殭屍網路感染了惡意軟體的計算機，以及其它可聯網資源，例如 IoT 裝置。這些殭屍主機接收攻擊者控制命令，從而構建出一隻數量龐大的殭屍主機（Bot）軍隊，同時間對同一目標發動特定型別攻擊，將被攻擊者的網路資源及系統資源耗盡，導致無法為真正的使用者提供服務。這也是名稱中“阻止服務”的由來。 因為殭屍主機的數量很大而且分佈廣泛，又都是合法的網路裝置，因此很難將攻擊流量與正常流量分開，其危害程度和防禦難度都很大。  上圖是每年雙十一淘寶伺服器癱瘓的新聞。眾多使用者使用服務造成的流量洪峰，某種角度來說等同於一次大型的 DDoS 攻擊。 ## 如何識別 DDoS 攻擊 DDoS 攻擊最明顯的特徵就是站點或服務突然變慢或不可用。但是，實際業務中，由於多種原因（如業務流量的合理激增，例如遊戲檔案更新）也會造成類似的效能問題，因此通常需要進一步確認。以下是 DDoS 攻擊的一些明顯跡象： - 來自單個 IP 地址或 IP 範圍的可疑訪問； - 對單個頁面或介面的請求數量激增； - 不尋常的流量模式，例如一天中在凌晨突然出現流量高峰，或某種不符合業務的流量高峰（例如，每 10 分鐘出現一次高峰） DDoS 攻擊還有其它更具體的跡象，具體取決於攻擊的型別。 ## DDoS 的攻擊方式 **頻寬消耗型攻擊** 通過傳送大量無效、或惡意放大流量的資料請求，堵塞被攻擊的伺服器頻寬，使其達到飽和狀態，讓正常使用者無法進入，甚至造成網頁宕機癱瘓，達到拒絕服務的目的。 像是常見的 UDP 洪水攻擊（即傳送使用者資料報協議的大包或小包）、ICMP 洪水攻擊（即傳送大量 ICMP 相關報文）；生成超過 IP 協議中規定的最大的資料長度，導致系統宕機的死亡之 Ping，皆屬於此類。 **資源消耗型攻擊** 有別於頻寬消耗型的 DDoS 攻擊，資源消耗型攻擊是讓被攻擊方的伺服器不斷進行反覆的無效運作，導致網頁資源被耗盡，無法再響應正常使用者的請求，從而達到拒絕服務的目的。 這種型別的典型 DDoS 攻擊手法，如 SYN 洪水攻擊。我們都知道建立 TCP 連線需要客戶端與伺服器進行三次互動，也就是常說的“三次握手”。而這個資訊通常被儲存在伺服器連線表結構中，但是表的大小有限，當超過儲存量時，伺服器就無法建立新的 TCP 連線。 而 SYN 洪水攻擊就表現為，對伺服器提出建立 TCP 握手請求後故意切斷網路，讓伺服器持續發出請求並等待回覆，從而導致伺服器資源不斷消耗。甚至更進一步，如果將 SYN 洪水攻擊中發起請求的 IP 來源，設定為被攻擊伺服器的 IP 地址，就會讓伺服器不斷的自我響應，直到資源耗盡，這就是常見的 LAND 攻擊手法。 除此之外，還有利用大量伺服器對被攻擊方提出模擬 HTTP 正常請求的 CC 攻擊、網路殭屍攻擊等等，都是以耗盡伺服器資源為目標的攻擊手段。 **應用攻擊** 近些年，Web 技術發展非常迅速，因此也誕生了應用攻擊。即攻擊者不斷地向 Web 伺服器惡意傳送大量 HTTP 請求，利用 Web 應用已經提供的一些介面，來對網站的後臺資料庫進行增、刪、改、查的操作。由於這種操作是由計算機來完成，計算機巨大的計算能力常常伴隨產生極恐怖的破壞力。一旦 Web 服務受到這種攻擊，就會對其承載的業務造成致命的影響。 ## DDoS 的防禦方式 DDoS 攻擊之所以難以防禦，是因為 DDoS 的攻擊會用看似正常的需求進行包裝，加上難以追蹤攻擊來源，也是 DDoS 處理起來棘手的原因。 不過我們仍然可以利用下面的 3 個處理方向，來加強系統的 DDoS 防禦： **- 加強防火牆的通行規則** 通過設定高效能的防火牆，來限制異常 IP 發出的請求，降低大量無效資料佔用頻寬或損耗資源的可能性，加強篩選機制、阻斷 DDoS 攻擊的效果。 **- 提升伺服器的效能、規格** 提升伺服器的效能，當遭受 DDoS 攻擊時可爭取多一點的緩衝時間，在不讓服務癱瘓的狀況下，及時針對攻擊模式制定應對的 DDoS 防禦手段，將傷害減至最低。 **- 使用具備 DDoS 防禦的系統** 像是 DDoS 流量清洗機制，可以將流量匯入清洗系統中，把異常的流量來源過濾、剔除，又或是伺服器本身具備防禦一定數量的無效資料包，以及設定合理的同時連線數量等，讓 DDoS 攻擊無功而返。 **- 尋找專業高防服務團隊** 由於傳統裝置無法抵禦大流量的 DDoS 攻擊，通過配置雲端高防系統的方式也逐漸受到了客戶的青睞。又拍雲 DDoS 高防 IP 服務是針對網際網路業務在遭受大流量 DDoS 攻擊後業務癱瘓，而提供的高等級流量防護服務。直接將高防 IP 服務部署在源站伺服器前，幫助業務伺服器站抵禦來自內外部的流量攻擊。  客戶將業務接入高防 IP 後，源伺服器的所有公網流量將引流至高防機房，高防 IP 平臺的異常流量檢測系統會實時對流量進行智慧識別和分析，將攻擊流量引流至高防節點，隱藏源站，以確保使用者源站穩定可靠執行。 高防 IP 可以防禦的有包括但不限於以下型別：SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、Ping Sweep 等攻擊。 又拍雲高防 IP 服務提供線上 SaaS 的服務接入方式，異地多節點多線路防護，單點防禦 1T，全網總防禦能力近 3T，支援 BGP 、電信、聯通、移動等多條線路，可以有效防禦 SYN Flood、ACK Flood、UDP Flood、HTTP Flood、CC 攻擊等，為客戶提供穩定、安全的訪問體驗。  #### 推薦閱讀 [DDoS 高防 IP——DDoS防護系統](https://www.upyun.com/products/security) [大家都在說的雲安全，到底是怎麼回事？](https://www.upyun.com/tech/article/526/%E5%A4%A7%E5%AE%B6%E9%83%BD%E5%9C%A8%E8%AF%B4%E7%9A%84%E4%BA%91%E5%AE%89%E5%85%A8%EF%BC%8C%E5%88%B0%E5%BA%95%E6%98%AF%E6%80%8E%E4%B9%88%E5%9B%9E%E4%BA%8B%EF%BC%9