DDoS 介绍和发展史|学习笔记

开发者学堂课程【互联网安全-DDoS 攻防原理及实战：DDoS 介绍和发展史】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/356/detail/4188

DDoS 介绍和发展史

内容介绍

一、DDoS 的基本情况

二、DDoS 威胁在发生怎样的变化？

三、DDoS 攻击发展趋势

四、DDoS 基本结构

五、DDoS 防御发展情况

六、提供 DDoS 服务需要的技术能力

一、DDoS 的基本情况

1. DDoS 概念：

DDoS ( DDoS:Distributed Denial of Service 分布式拒绝服务攻击)

2.攻击类型:

带宽消耗型攻击(攻击者将提供网络服务正常的带宽消耗干净，堵塞造成无法提供正常服务的一种攻击)

必资源消耗型攻击(攻击者并没有将带宽消耗干净，但是将服务资源、计算资源、内存资源等资源消耗干净，导致无法正常提供服务)

攻击种类:SYNflood, UDPflood,ICMPflood, HTTPflood,CC 攻击  这些攻击都是以自己的写译和特征进行命名的

3.对 DDoS 的比喻:

如同在畅通的街道上，突然投入大量汽车，结果造成交通严重拥堵

正常服务情况：

DDoS 攻击来临：

4.攻击方法:  

CC 攻击   HTTP Post  Local DNS  HTTP Get  SYN Flood  UDP Flood  DNS FLood  CDN DNS  四层 DDoS  权威 DNS  Connection Flood   NTP 反射  SSDP   DNS 反射

DNS 协议是承载互联网非常重要的一个协议。

二、在 DDoS 发展的今天，DDoS 威胁在发生什么变化？

1.1000万中国境内的僵尸网络在不断扩展

2.24亿每年新增的计算设备  

3.100M (单机)全球网络带宽的提速  

现在百兆就是普通的家庭带宽，百兆是一个非常正常的速度，在几年前，平时办的带宽可能还有1M、2M、4M、10M，现在的100M，200M是更高的家庭带宽。更高家庭带宽的普及也会为 DDoS 出现带来很大的提升，攻击者拥有了更宽的带宽

4.21.6亿移动僵尸网络正在形成  

智能手机等移动设备在人们的生活中占有越来越大的比重，移动僵尸网络也会为DDoS 攻击提供大量的攻击源。

5.50亿+智能终端，IoT 被大规模控制

三、DDoS 攻击发展趋势

1.暴风影音事件，DNS 洪水攻击(DDoS)

DDoS 攻击轻松上百 G

导致2009年5.19断网。第一次对国家互联网造成影响。(起因是两个私服游戏之间的互相攻击，导致了运营商将暴风影音的网站云解析停止了，由于暴风影音当时的装机量是比较大，而又因为这个软件在 DNS 解析上的逻辑处理，当它解析不到地址的时候，会反复的请求，然后造成了DNS设备服务的进一步谈话，从而影响扩大)

DNS、NTP、Chargen 反射攻击助力 (反射攻击是指攻击者只需要发送很小的一个包文，会得到一个成倍或成百倍的返回结果，这样伪造他们的元，然后将反射攻击指向了受害者，攻击者就会以较小的带宽，获得更大带宽的流量。)  

2.移动终端也加入“僵尸”网络阵营

3.Spamhaus 300G(DNS 反射)，创造历史

4.阿里云453G，刷新当时互联网记录!

12月24日午间消息，阿里云计算发布声明，12月20日~21日部署在阿里云上的一家知名游戏公司，遭遇了全球互联网史上最大的一次 DDoS 攻击，攻击时间长达14个小时，攻击峰值流量达到每秒453.8gb，在当时是一个非常恐怖的带宽

四、DDoS 基本结构

DDoS 就是攻击者在网络中控制了大量的僵尸设备，由这些僵尸设备去模拟发出正确的，正常的联机请求，或者说发出一些伪造的连接请求，来对服务进行攻击，攻击者常常会通过跳板机来访问，控制僵尸程序，受害者就因此他受到了成千上百万的请求，导致无法对正常请问进行回应。这是 DDoS 一个最通用的架构。

五、DDoS 防御发展情况

在最早期的 DDoS 防御中，能在主机系统中直接对 DDoS 攻击进行防御，优化企业带，在 Linux 作为 DDoS 简单的底端防御，但是随着攻击的发展，手机系统的性能已经完全无法满足 DDoS 防护的需求，越来越多的硬件厂商开始推出了专门的硬件清洗设备，在最早期的有思科，华为等等厂商出现了一些清洗设备，这些清洗设备往往部署在机房入口，然后对 DDoS 进行清洗，但是随着 DDoS 攻击的进一步发展，在 IDC 机房入口去部署防御设备也逐渐的不能满足更多用户的需求，更多的用户需求有更灵活更大量的一些清洗，大展的今天又推出了云清洗，在互联网的骨干，甚至是更进元的地方清洗，并将清洗后的干净元料，注往全国各地的用户的服务。

六、提供 DDoS 服务需要的技术能力

1.高性能  

单机百 G 防护  

集群10000G +防护

2.识别攻击  

全球探针部署    

时间+空间双纬度

3.快速响应  

秒级响应  

秒级清洗  

无网络抖动

4.误杀问题  

逐包检测，精确分析    

大数据智能分析

5.游戏空连接    

防御空连接  

防御慢连接  

针对游戏的恶意连接  

对报文合法性检查

6.防御 cc 攻击  

1000万 QPS  

IP+cookie 的频率  

IP +key 的认证  

黑名单处罚  

验证码、防爬

7.防御僵尸网络    

全球僵尸网络库    

与淘宝共享资源  

神盾局攻击溯源

8.防御WEB攻击  

防御 SQL 注入  

防御 XSS  

防御跨站攻击