DDOS

1.什麼是DDOS

DDOS（分散式拒絕服務），這種攻擊手法是通過藉助於客戶/伺服器技術，將多個計算機聯合起來作為攻擊平臺，對一個或者多個目標發動攻擊。

2.通俗理解DDOS

一群惡霸試圖讓對面那家有著競爭關係的商鋪無法正常營業，他們會採取什麼手段呢？（只為舉例，切勿模仿）惡霸們扮作普通客戶一直擁擠在對手的商鋪，賴著不走，真正的購物者卻無法進入；或者總是和營業員有一搭沒一搭的東扯西扯，讓工作人員不能正常服務客戶；也可以為商鋪的經營者提供虛假資訊，商鋪的上上下下忙成一團之後卻發現都是一場空，最終跑了真正的大客戶，損失慘重。此外惡霸們完成這些壞事有時憑單幹難以完成，需要叫上很多人一起。

3.DDoS 黑產團伙 “分工協作”詳解 @ 騰訊“守護者計劃”

DDoS 攻擊犯罪已經進入產業化時代——從以往的需要專業黑客實施全部攻擊過程的行為，發展成由發單人、攻擊實施人、肉雞商、出量人、黑客攻擊軟體作者、擔保人等多個犯罪個體共同參與實施的產業化犯罪行為。此次江蘇某網路公司 DDoS 流量攻擊案件，便是 DDoS 攻擊產業鏈化的典型例子。

名詞解釋

●    發單人：他們屬於整個DDOS攻擊黑色產業鏈中，鏈條頂端的角色。由他們出資併發出對具體網站或伺服器的攻擊需求的人。

●    攻擊實施人：指的是接受攻擊指令並執行攻擊的人。

●    肉雞商：是侵入計算機系統的實施人，或者買賣被侵入計算機系統許可權的中間商。

●    出量人：擁有控制伺服器許可權和網路流量的人。

●    擔保人：黑產行業內“信譽”較高的人，負責雙方資金中轉，也會從中抽取一定好處費

問答

1.常見的發單人主要是誰？他們的目的是什麼？

發單人分類、攻擊目的

2.攻擊實施人他們的攻擊方式有哪些？

按照@騰訊 文章內所提及的攻擊方式主要有兩種：一種是利用軟體、工具操縱肉雞模擬訪問，佔用目標的伺服器CPU資源，導致正常使用者無法訪問。

另外一種是通過傳送大量流量攻擊目標伺服器，導致伺服器無法訪問網路。而這裡所用的軟體或者攻擊有一部分來源是整個黑色產業鏈中的一個重要角色，我們稱他們為黑客軟體作者。黑客軟體作者根據使用者的需求開發相應的非法攻擊程式，從而謀利。

這也是為什麼有一部分攻擊實施人他們壓根就不懂什麼是DDOS攻擊、伺服器搭建、肉雞，他們只要會用黑客軟體作者開發好的軟體就能夠對目標實施攻擊。

3.肉雞是什麼？這些肉雞的來源？

這裡說的肉雞主要說的是傀儡機，通俗的說就是被黑客遠端控制的機器。那麼在需求量這麼大的DDOS產業鏈下這些肉雞又是從何而來？

這些黑色產業鏈的從業者會利用後門程式（繞過安全性控制而獲取對程式或系統訪問權的程式方法）配合各種各樣的安全漏洞，獲得個人計算機和伺服器的控制許可權，植入木馬，使得這些計算機變成實施DDOS攻擊的肉雞。

其實，在這個龐大黑色產業鏈下它們彼此關係相互緊扣。單憑肉雞這方面就可以引出黑色產業的另一個大頭“遠控木馬”，而這些遠控木馬最恨的當然就是我們這些從事反病毒的人群。

4.DDOS的攻擊模式有哪些？它們有什麼區別？@皆明

常見的DDOS攻擊模式分為3大類，分別是連續耗盡型、頻寬耗盡型、應用層攻擊。

連續耗盡型：SYN Flood、連線數攻擊

寬頻耗盡型：Ack Flood、ICMP Flood、UDP Flood、分片攻擊

應用層攻擊：HTTP Get Flood、CC攻擊、HTTP POST攻擊、DNS Flood

SYN Flood

這種攻擊模式中醫藥是偽造大量的TCP連線請求，使得被攻擊的目資源被耗盡。被這種攻擊模式攻擊的現象主要體現：CPU滿負荷、記憶體不足。防禦手法常見的有三種：

●    縮短SYN TIMEOUT 建議20s

缺點：無法應對高頻率攻擊

●    設定SYN COOKIE，對請求IP設定COOKIE，判斷和攔截攻擊IP

缺點：依賴真是IP，無法應對大量真實IP攻擊。

●    DCN防火牆

缺點：錢

連線數攻擊

發起大量的訪問請求，直至目標負荷不過來。比喻：*晗去沙縣小吃吃了一份蒸餃，第二天粉絲紛紛湧去這家沙縣小吃。某次小鮮肉公開自己女朋友，個人感覺也算是連線數攻擊了。

Ack Flood

在TCP連線建立之後，所有的資料傳輸TCP報文都是帶有ACK標誌位，主機在接收到一個帶有ACK標誌位的資料包的時候，需要檢查該資料包所表示的連線四元組是否存在，如果存在則檢查該資料包所表示的狀態是否合法，然後再向應用層傳遞該資料包。

如果在檢查中發現該資料包不合法，例如該資料包所指向的目的埠在本機並未開發，則主機作業系統協議棧會迴應RST包告訴對方此埠不存在。

抓包截圖

個人理解就是攻擊實施人通過ACK Flood向目標伺服器進行攻擊，而伺服器在受到大量的ACK Flood攻擊的結果就是伺服器需要處理這些資料包。面對這些不合法的資料包，無論資料包中所指向的目的埠是否存在，都會佔用伺服器資源。

因為如果資料包中所指向的目的埠沒有開放，伺服器將直接丟棄資料包，如果埠開放，伺服器要回應RST。面對大量的此類動作都會耗費伺服器的CPU資源，從而達到攻擊目的。

ACK Flood的攻擊現象：伺服器收到ACK包的頻率異常，就是通過所謂的對稱型判斷，當手法異常大於發包，則可能是因為攻擊者採用了大量的ACK包進行攻擊。為了攻擊速度，一般採用內容基本一致的小包傳送。

ICMP Flood

通過對其目標傳送超過65535位元組的資料包，就可以令目標主機癱瘓，如果大量傳送就成了洪水攻擊。

防範手段：當出現ICMP Flood攻擊的時候，只要禁止ping就行了，ICMP Flood對那些沒有禁ping的電腦有效，不管攻擊實施人有多少肉雞，只要禁PING，就能夠有效防禦。

普通使用者可以通過設定實現自身電腦禁PING，具體步驟可以參考下面的連結。

如何禁止ping

UDP Flood

向目標伺服器發起大量的UDP報文，這類報文通常為大包，且速度非常快。通常會造成伺服器資源耗盡，無法響應正常請求，嚴重時會導致鏈路擁塞。

防禦手法：提取UDP攻擊報文特徵，攔截丟棄匹配黑特徵的UDP資料包文。比如說包的大小、請求的埠是否為業務埠之類的。

CC攻擊

藉助代理伺服器生成指向受害主機的合法請求，實現DDOS和偽裝就叫：CC(ChallengeCollapsar)。

根據百度的介紹CC攻擊的特點主要是模擬大量的使用者不停的進行訪問，而這些訪問操作伺服器需要進行大量的資料操作，這段時間會佔用資源，損耗CPU時間。

比方說我們去鞋店買鞋，競爭門店僱傭了一批惡意使用者去鞋店要求服務員不停的去後臺查詢他們需要的冷門的尺碼鞋款。需求大的情況下，就會影響鞋店正常的運作。

防禦CC攻擊常見手法：

●    禁止網站代理訪問，儘量將網站做成靜態頁面。

●    限制連線數量

●    修改最大超時時間

●    ......

其他的攻擊模式

DDoS攻擊模式介紹

獲利手法

前面提到DDOS攻擊被利用於打壓競爭對手，但在這條DDOS黑色產業鏈中，根據報導得知從事DDOS黑色產業鏈的人群數量已經達到了45萬餘人，他們的獲利手法當然不會僅僅體現在打壓競爭對手這麼單一。

譬如：

●    創業公司、小公司

創業公司或小公司在發展初期都沒有相對成熟的防禦體系，已經專門對抗和處理安全威脅的崗位。攻擊實施人瞄準這塊攻擊成本小，獲利方便，從而對其進行敲詐勒索。

●    商業惡性競爭

除了我們提及的非法平臺的相互競爭打壓，在龐大的網際網路行業裡潛伏在地下的競爭手段也尤為恐怖，一些競爭者甚至為了利益不擇手段、不顧法紀通過聯絡相關DDOS從業人員購買攻擊服務，打壓競爭對手的業務活動，打擊對手的聲譽，從中獲取競爭優勢。其中，電商荷葉和線上遊戲行業則是重災區。

DDOS黑色產業鏈結構

結構圖

DDOS攻擊程式

通過爬蟲爬取了網際網路上公開的DDOS工具的名稱，利用指令碼製作了DDOS攻擊程式的WordCloud。

DDOS（WordCloud）

最後

還是覺得我們只有能夠像黑產從業者那樣去思考，站在他們的角度去研究分析整個黑色產業鏈，才能夠更好與其對抗。