ntp服务器 【第1278期】上课啦！了解下 DDoS攻击方式

前言

前段时间有几个技术博客无法正常访问。 那么今天让我们大致了解一下什么是DDoS。 今天的晨读文章由@知道创宇云安全授权分享。

正文从这里开始~

每次大规模的DDoS，总会有大的风波

2000年2月，雅虎、CNN、亚马逊、eBay、ZDNet等网站在24小时内遭到DDoS攻击，部分网站瘫痪。 仅亚马逊和雅虎损失就高达 110 万美元。

2007年5月，爱沙尼亚在三周内遭受了三轮DDoS攻击。 总统府、议会、政府部门、主要政党、主流媒体、大型银行网站全部瘫痪。 北约顶级反网络恐怖主义专家前去营救。

2016年10月，美国DNS服务商Dyn遭受DDoS攻击，包括Twitter、Spotify、Airbnb、Visa等网站无法访问，美国大部分地区集体断网。 媒体将这起事件描述为“史上最严重的DDoS攻击”。

以网络上被攻陷的计算机为“肉鸡”，通过一定的组合，形成大量的“僵尸网络”，以一对多的方式进行控制ntp服务器，同时向目标系统发出服务请求，杀伤力大大增加。 DDoS攻防已经对抗多年。 从DoS到DDoS，从以流量取胜到以技巧取胜，从单一攻击到混合攻击，攻击方式在不断演变。 下面将对最常见、最具代表性的攻击方式一一进行介绍。 搬出小板凳坐下听课~

攻击带宽：以实力取胜

就像城市堵车一样，当数据包超过带宽上限时，就会出现网络拥塞、响应慢的情况。 基于流量的 DDoS 攻击就是这种情况。 发送海量数据包，瞬间占满目标系统的全部带宽，正常请求被阻断在外，达到拒绝服务的目的。

ICMP泛洪

ICMP（Internet 控制消息协议）用于在 IP 主机和路由器之间传输控制消息。 控制消息是指网络本身，如网络是否不可达、主机是否可达、路由是否可用等。 虽然它不传输用户数据ntp服务器，但它在用户数据的传输中起着重要作用。 通过向目标系统发送大量数据包，可以使目标主机瘫痪。 如果发送大量的数据包，就会变成洪水攻击。

UDP泛洪

UDP 协议是一种无连接服务。 在UDP Flood中，攻击者通常会发送大量带有伪造源IP地址的小UDP报文来攻击DNS服务器、Radius认证服务器和流媒体服务器。 100k bps的UDP Flood往往会使防火墙等线路上的骨干设备瘫痪，导致整个网段瘫痪。

上述传统的基于流量的攻击方式，技术含量低，损人不利己。 攻击效果通常取决于被控主机自身的网络性能，很容易找到攻击源。 单独使用它并不常见。 于是，一种拔千斤效果的反射型增幅攻击出现了。

NTP泛洪

NTP是一种基于UDP协议传输的标准网络时间同步协议。 由于UDP协议的无连接特性，很容易伪造源地址。 攻击者使用一个特殊的数据包，即IP地址指向作为反射器的服务器。 源IP地址被伪造为攻击目标的IP。 当反射器接收到数据包时，它被欺骗并将响应数据发送给被攻击的服务器。 目标，耗尽目标网络的带宽资源。 一般的NTP服务器带宽很大，攻击者可能只需要1Mbps的上传带宽就可以欺骗NTP服务器，就可以给目标服务器带来数百甚至上千Mbps的攻击流量。

因此，反射攻击可以利用“问答”协议，将挑战包的地址伪造为攻击目标的地址，并将响应包发送给目标。 一旦协议产生递归效应，流量就会被明显放大，堪称“借刀杀人”的流量型攻击。

攻击系统/应用：以智取胜

此类DDoS攻击巧妙，利用各种协议的行为特征、系统缺陷、服务漏洞、软件漏洞等发起攻击，不断占用目标系统的资源，使其无法处理正常的交易和请求。

同步洪水

这是一种利用TCP协议缺陷发送大量伪造的TCP连接请求，从而耗尽被攻击方资源（CPU满载或内存不足）的攻击方式。 建立TCP连接需要三次握手——客户端发送SYN报文，服务器收到请求并返回消息表示接受，客户端也返回确认完成连接。

SYN Flood是指用户向服务器发送消息后突然死机或掉线，然后服务器在发送响应消息后收不到客户端的确认消息（第三次握手无法完成），服务器一般会重试此时并等待一段时间再丢弃未完成的连接。 用户因为异常让服务器的一个线程等待一段时间问题不大，但是恶意攻击者大量模拟这种情况。 服务端为了维护数以万计的半连接消耗了大量的资源，结果往往是无暇顾及客户端。 正常请求，甚至崩溃。 从普通客户的角度来看，该网站无响应且无法访问。

抄送攻击

CC攻击是目前应用层攻击的主要手段之一。 它使用代理服务器生成指向目标系统的合法请求，以实现伪装和 DDoS。 我们都有这样的经历。 访问一个静态页面，即使人多也不会花太长时间，但是如果在高峰期访问论坛、贴吧等，就会很慢，因为服务器系统需要去数据库判断访问者是否有看帖、发言等权限，访问的人越多，论坛页面越多，数据库压力越大，访问频率越高，占用的系统资源相当可观.

CC攻击充分利用了这一特性，模拟多个正常用户连续访问论坛等需要大量数据操作的页面，造成服务器资源的浪费。 CPU长期处于100%，总会有没完没了的请求。 网络拥堵，无法正常访问。 这种攻击技术性很强，看不到真正的源IP和异常大的流量，服务器就是无法正常连接。

之所以选择代理服务器是因为代理可以有效的隐藏身份绕过防火墙，因为基本上所有的防火墙都会检测TCP/IP并发连接数，如果超过一定的数量和频率就会被认为作为连接洪水。 当然，也可以利用bot来发起CC攻击。 攻击者使用CC攻击软件控制大量的Bot进行攻击。 锅炉可以模拟正常用户访问网站的请求，伪造合法数据包，防御难度较大。

CC攻击是针对Web服务第七层协议的攻击。 上层协议防御DDoS攻击的难度越大，上层协议与业务的关系越密切，防御系统面临的情况就越复杂。 例如CC攻击中最主要的手段之一的HTTP Flood，不仅会直接导致被攻击的Web前端响应缓慢，对承载的业务造成致命影响，还可能引发连锁反应，间接攻击后端 Java 和其他业务层逻辑和更多后端数据库服务。

由于CC攻击成本低、威力大，智创宇安全专家组发现，80%的DDoS攻击都是CC攻击。 带宽资源消耗严重，网站瘫痪； CPU、内存使用率飙升，主机瘫痪； 攻击瞬时迅猛，无法快速反应。

DNS 查询泛洪

DNS作为互联网的核心服务之一，自然是DDoS攻击的主要目标。 DNS Query Flood采用的方法是操纵大量傀儡机，向目标服务器发送大量域名解析请求。 当服务器收到域名解析请求时，会先检查服务器上是否有对应的缓存。 如果找不到，无法直接解析域名，就会递归向上级DNS服务器查询域名信息。

通常，攻击者请求的域名是随机生成的，或者在网络上不存在。 由于在本地找不到对应的结果，服务器必须使用递归查询向上级域名服务器提交解析请求，造成连锁反应。 解析过程给服务器带来很大的负载，如果每秒的域名解析请求数超过一定数量，DNS服务器在解析域名时就会超时。

据微软统计，一台DNS服务器所能承受的动态域名查询上限为每秒9000次请求。 而一台P3 PC每秒可以轻松构建上万个域名解析请求，足以让一台硬件配置极高的DNS服务器瘫痪，可见DNS服务器的脆弱性。

混合攻击：同时使用流量和技术

在实际情况下，攻击者只是想打败对手。 时至今日，高级攻击者不再倾向于使用单一的攻击方式进行打击，而是根据目标系统的具体环境，发起多种攻击方式。 它不仅流量大，而且利用协议和系统的缺陷，尽可能地发动进攻。

对于被攻击目标，需要面对不同协议、不同资源的分布式攻击，分析、响应和处理的成本会大大增加。

关于这篇文章