qq3250845

近日 Nginx 被爆出存在安全问题，可能会致导致1400 多万台服务器遭受 DoS 攻击。导致安全问题的漏洞存在于 HTTP/2 和 MP4 模块中。

Nginx HTTP/2 实现中发现了两个安全漏洞。如果在配置文件中使用listen指令的http2选项，会影响使用 ngx_http_v2_module 编译的 nginx（默认情况下不编译），可能导致过多的内存消耗（CVE-2018-16843）和CPU使用率（CVE-2018-16844）。

为了利用上述两个漏洞，攻击者可以发送特制的 HTTP/2 请求，这将导致过多的CPU使用和内存使用，最终触发 DoS 状态。所有运行未打上补丁的 nginx 服务器都容易受到 DoS 攻击。

影响范围：

CVE-2018-16843和CVE-2018-16844影响版本：Mainline version 1.9.5 - 1.15.5
CVE-2018-16845 影响版本：Mainline version 1.1.3+、1.0.7+
规则类型：DoS攻击

危险等级：高危

规则防护：云防火墙虚拟补丁功能已支持防护该安全问题。

qq3250845

对于遭受DDOS攻击的情况是让人很尴尬的，如果我们有良好的DDoS防御方法，那么很多问题就将迎刃而解，我们来看看我们有哪些常用的有效地方法来做好DDoS防御呢。



对于DDoS防御的理解：

对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDoS攻击是可以做到的， 基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDoS攻击。

举个例子：

我开了一家餐厅，正常情况下，最多可以容纳30个人同时进餐。你直接走进餐厅，找一张桌子坐下点餐，马上就可以吃到东西。

很不幸，我得罪了一个流氓。他派出300个人同时涌进餐厅。这些人看上去跟正常的顾客一样，每个都说"赶快上餐"。但是，餐厅的容量只有30个人， 根本不可能同时满足这么多的点餐需求，加上他们把门口都堵死了，里三层外三层，正常用餐的客人根本进不来，实际上就把餐厅瘫痪了。

这就是 DDoS 攻击，它在短时间内发起大量请求，耗尽服务器的资源，无法响应正常的访问，造成网站实质下线。

DDoS 里面的 DoS 是 denial of service(停止服务)的缩写，表示这种攻击的目的，就是使得服务中断。最前面的那个 D 是 distributed (分布式)， 表示攻击不是来自一个地方，而是来自四面八方，因此更难防。你关了前门，他从后门进来;你关了后门，他从窗口跳起来。

DDoS防御的方法：
1. 采用高性能的网络设备

首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了， 当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。

这就是传说中的技术不够，用钱凑。

2. 尽量避免NAT的使用

无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对 地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。

3. 充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽， 最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M， 再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。

4. 升级主机服务器硬件

在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P4 2.4G/DDR512M/SCSI-HD， 起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价， 再就是网卡一定要选用3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

5. 把网站做成静态页面或者伪静态

大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧!新浪、搜狐、 网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外， 最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。

6. 增强操作系统的TCP/IP栈

Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDoS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包， 若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧!《强化 TCP/IP 堆栈安全》。

7. 安装专业抗DDOS防火墙



8. HTTP 请求的拦截

如果恶意请求有特征，对付起来很简单：直接拦截它就行了。

HTTP 请求的特征一般有两种：IP 地址和 User Agent 字段。比如，恶意请求都是从某个 IP 段发出的，那么把这个 IP 段封掉就行了。或者，它们的 User Agent 字段有特征(包含某个特定的词语)，那就把带有这个词语的请求拦截。

9. 备份网站

你要有一个备份网站，或者最低限度有一个临时主页。生产服务器万一下线了，可以立刻切换到备份网站，不至于毫无办法。

备份网站不一定是全功能的，如果能做到全静态浏览，就能满足需求。最低限度应该可以显示公告，告诉用户，网站出了问题，正在全力抢修。

这种临时主页建议放到 Github Pages 或者 Netlify，它们的带宽大，可以应对攻击，而且都支持绑定域名，还能从源码自动构建。

10. 部署CDN

CDN 指的是网站的静态内容分发到多个服务器，用户就近访问，提高速度。因此，CDN 也是带宽扩容的一种方法，可以用来防御 DDOS 攻击。

网站内容存放在源服务器，CDN 上面是内容的缓存。用户只允许访问 CDN，如果内容不在 CDN 上，CDN 再向源服务器发出请求。这样的话，只要 CDN 够大， 就可以抵御很大的攻击。不过，这种方法有一个前提，网站的大部分内容必须可以静态缓存。对于动态内容为主的网站(比如论坛)，就要想别的办法，尽量减少用户对动态数据的请求。

各大云服务商提供的高防 IP，背后也是这样做的：网站域名指向高防 IP，它提供一个缓冲层，清洗流量，并对源服务器的内容进行缓存。

这里有一个关键点，一旦上了 CDN，千万不要泄露源服务器的 IP 地址，否则攻击者可以绕过 CDN 直接攻击源服务器，前面的努力都白费。搜一下"绕过 CDN 获取真实 IP 地址"，你就会知道国内的黑产行业有多猖獗。

11. 其他防御措施

以上几条对抗DDoS建议，适合绝大多数拥有自己主机的用户，但假如采取以上措施后仍然不能解决DDoS问题，就有些麻烦了，可能需要更多投资， 增加服务器数量并采用DNS轮巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDoS攻击能力成倍提高，只要投资足够深入。

qq3250845

可怕的DDoS
出于打击报复、敲诈勒索、政治需要等各种原因，加上攻击成本越来越低、效果特别明显等特点，DDoS攻击已经演变成全球性网络安全威胁。

本文大纲：
1、可怕的DDoS

2、DDoS攻击科普


3、DDoS防护科普

根据卡巴斯基2016Q3的调查报告，DDoS攻击造成61%的公司无法访问其关键业务信息，38%公司无法访问其关键业务，33%的受害者因此有商业合同或者合同上的损失。



总结起来，现在的DDoS攻击具有以下趋势：

1.国际化

现在的DDoS攻击越来越国际化，而我国已经成为仅次于美国的第二大DDoS攻击受害国，而国内来自海外的DDoS攻击源占比也越来越高。

2.超大规模化

因为跨网调度流量越来越方便、流量购买价格越来越低廉，现在DDoS攻击流量规模越来越大。特别是2014年底，某云还遭受了高达450Gbps的攻击。



3.市场化

市场化势必带来成本优势，现在各种在线DDoS平台、肉鸡交易渠道层出不穷，使得攻击者能以很低的成本发起规模化攻击。针对流量获取方式的对比可以参考下表。

流量获取方式        在线DDOS平台购买API        VPS        专属服务器        黑市购买        社交平台购买        肉鸡集群
价格        高        低        高        中等        中等        无
法律风险        中等        低        低        中等        中等        高
交易风险        低        高        低        中等        高        无
流量稳定性        不确定        稳定        稳定        不确定        不确定        低
IP资源数量        不确定        低        低        不确定        不确定        高
技术要求        低        中        中        低        低        高
交易货币要求        比特币        普通货币        普通货币        比特币        比特币，普通货币等        无
DDoS攻击科普

DDoS的攻击原理，往简单说，其实就是利用TCP/UDP协议规律，通过占用协议栈资源或者发起大流量拥塞，达到消耗目标机器性能或者网络的目的，下面我们先简单回顾TCP“三次握手”与“四次挥手”以及UDP通信流程。

TCP三次握手与四次挥手



TCP建立连接：三次握手

1.client: syn

2.server: syn+ack

3.client: ack

TCP断开连接：四次挥手

1.client: fin

2.server: ack

3.server: fin

4.client: ack

UDP通信流程



根据上图可发现，UDP通信是无连接、不可靠的，数据是直接传输的，并没有协商的过程。

攻击原理与攻击危害

按照攻击对象的不同，将攻击原理和攻击危害的分析分成3类，分别是攻击网络带宽资源、应用以及系统。

攻击网络带宽资源：



攻击系统资源：



攻击应用资源：



DDoS防护科普
攻击防护原理

从TCP/UDP协议栈原理介绍DDoS防护原理：



syn flood：

可以在收到客户端第三次握手reset 、第二次握手发送错误的ack，等Client回复Reset，结合信任机制进行判断。

ack flood：

丢弃三次ack，让对方重连：重发syn建立链接，后续是syn flood防护原理；学习正常ack的源，超过阈值后，该ack没有在正常源列表里面就丢弃ack三次，让对方重连：重发syn建立链接，后续是syn flood防护。

udp flood：

1.限速        启动阈值，一秒钟去往服务器IP的同一端口的UDP包数目，如果是WEB服务器，可以设置严格一些
2.报文内容特征-模式匹配        模式匹配规则主要用于过滤包内容带特征字符的攻击包
3.IP特征-ACL        若遇到（1）源IP+目的固定；（2）流量超过1G==>在网络设备层面使用acl进行过滤
不同层面的防护
1.按攻击流量规模分类

较小流量：

小于1000Mbps，且在服务器硬件与应用接受范围之内，并不影响业务的： 利用iptables或者DDoS防护应用实现软件层防护。

大型流量：

大于1000Mbps，但在DDoS清洗设备性能范围之内，且小于机房出口，可能影响相同机房的其他业务的：利用iptables或者DDoS防护应用实现软件层防护， 或者在机房出口设备直接配置黑洞等防护策略，或者同时切换域名，将对外服务IP修改为高负载Proxy集群外网IP，或者CDN高仿IP，或者公有云DDoS网关IP，由其代理到RealServer；或者直接接入DDoS清洗设备。

超大规模流量：

在DDoS清洗设备性能范围之外，但在机房出口性能之内，可能影响相同机房的其他业务，或者大于机房出口，已经影响相同机房的所有业务或大部分业务的：联系运营商检查分组限流配置部署情况并观察业务恢复情况。

2.按攻击流量协议分类

syn/fin/ack等tcp协议包：

设置预警阀值和响应阀值，前者开始报警，后者开始处理，根据流量大小和影响程度调整防护策略和防护手段，逐步升级。

UDP/DNS query等UDP协议包：

对于大部分游戏业务来说，都是TCP协议的，所以可以根据业务协议制定一份TCP协议白名单，如果遇到大量UDP请求，可以不经产品确认或者延迟跟产品确认，直接在系统层面/HPPS或者清洗设备上丢弃UDP包。

http flood/CC等需要跟数据库交互的攻击：

这种一般会导致数据库或者webserver负载很高或者连接数过高，在限流或者清洗流量后可能需要重启服务才能释放连接数， 因此更倾向在系统资源能够支撑的情况下调大支持的连接数。相对来说，这种攻击防护难度较大，对防护设备性能消耗很大。

其他：

icmp包可以直接丢弃，先在机房出口以下各个层面做丢弃或者限流策略。现在这种攻击已经很少见，对业务破坏力有限。

qq3250845

DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务，而DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection Denial of Service的简写,这是分布反射式拒绝服务的意思。

不过这3中攻击方法最厉害的还是DDoS，那个DRDoS攻击虽然是新近出的一种攻击方法，但它只是DDoS攻击的变形，它的唯一不同就是不用占领大量的“肉鸡”。 这三种方法都是利用TCP三次握手的漏洞进行攻击的，所以对它们的防御办法都是差不多的。

DoS攻击是最早出现的，它的攻击方法说白了就是单挑，是比谁的机器性能好、速度快。但是现在的科技飞速发展，一般的网站主机都有十几台主机， 而且各个主机的处理能力、内存大小和网络速度都有飞速的发展，有的网络带宽甚至超过了千兆级别。这样我们的一对一单挑式攻击就没有什么作用了，搞不好自己的机子就会死掉。 举个这样的攻击例子，假如你的机器每秒能够发送10个攻击用的数据包，而被你攻击的机器(性能、网络带宽都是顶尖的)每秒能够接受并处理100攻击数据包，那样的话， 你的攻击就什么用处都没有了，而且非常有死机的可能。要知道，你若是发送这种1Vs1的攻击，你的机器的CPU占用率是90%以上的，你的机器要是配置不够高的话，那你就死定了。



图-01 DoS攻击

不过，科技在发展，黑客的技术也在发展。正所谓道高一尺，魔高一仗。经过无数次当机，黑客们终于又找到一种新的DoS攻击方法，这就是DDoS攻击。 它的原理说白了就是群殴，用好多的机器对目标机器一起发动DoS攻击，但这不是很多黑客一起参与的，这种攻击只是由一名黑客来操作的。这名黑客不是拥有很多机器， 他是通过他的机器在网络上占领很多的“肉鸡”，并且控制这些“肉鸡”来发动DDoS攻击，要不然怎么叫做分布式呢。还是刚才的那个例子，你的机器每秒能发送10攻击数据包， 而被攻击的机器每秒能够接受100的数据包，这样你的攻击肯定不会起作用，而你再用10台或更多的机器来对被攻击目标的机器进行攻击的话，嘿嘿!结果我就不说了。



图-02 DDOS攻击

DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形，它与DDoS的不同之处就是DrDoS不需要在攻击之前占领大量的“肉鸡”。它的攻击原理和Smurf攻击原理相近， 不过DRDoS是可以在广域网上进行的，而Smurf攻击是在局域网进行的。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时， 会接到它的回应;如果向本网络的广播地址发送请求包，实际上会到达网络上所有的计算机，这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的，每处理一个就要占用一 份系统资源，如果同时接到网络上所有计算机的回应，接收方的系统是有可能吃不消的，就象遭到了DDoS攻击一样。不过是没有人笨到自己攻击自己，不过这种方法被黑客加以改进就具有很大 的威力了。黑客向广播地址发送请求包，所有的计算机得到请求后，却不会把回应发到黑客那里，而是发到被攻击主机。这是因为黑客冒充了被攻击主机。黑客发送请求包所用的软件是可以伪造 源地址的，接到伪造数据包的主机会根据源地址把回应发出去，这当然就是被攻击主机的地址。黑客同时还会把发送请求包的时间间隔减小，这样在短时间能发出大量的请求包，使被攻击主机接 到从被欺骗计算机那里传来的洪水般的回应，就像遭到了DDoS攻击导致系统崩溃。骇客借助了网络中所有计算机来攻击受害者，而不需要事先去占领这些被欺骗的主机，这就是Smurf攻击。 而DRDoS攻击正是这个原理，黑客同样利用特殊的发包工具，首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上，根据TCP三次握手的规则，这些计算机会向源IP发出SYN+ACK 或RST包来响应这个请求。同Smurf攻击一样，黑客所发送的请求包的源IP地址是被攻击主机的地址，这样受欺骗的主机就都会把回应发到被攻击主机处，造成被攻击主机忙于处理这些回应而瘫痪。



图-03 DRDoS分布反射式拒绝服务攻击

解释:

SYNSynchronize sequence numbers)用来建立连接，在连接请求中，SYN=1，ACK=0，连接响应时，SYN=1，ACK=1。 即，SYN和ACK来区分Connection Request和Connection Accepted。

RSTReset the connection)用于复位因某种原因引起出现的错误连接，也用来拒绝非法数据和请求。如果接收到RST位时候，通常发生了某些错误。

ACKAcknowledgment field significant)置1时表示确认号(Acknowledgment Number)为合法，为0的时候表示数据段不包含确认信息，确认号被忽略。

TCP三次握手:



图-04 TCP三次握手

假设我们要准备建立连接，服务器正处于正常的接听状态。

第一步:我们也就是客户端发送一个带SYN位的请求，向服务器表示需要连接，假设请求包的序列号为10，那么则为:SYN=10，ACK=0，然后等待服务器的回应。

第二步:服务器接收到这样的请求包后，查看是否在接听的是指定的端口，如果不是就发送RST=1回应，拒绝建立连接。如果接收请求包，那么服务器发送确认回应， SYN为服务器的一个内码，假设为100，ACK位则是客户端的请求序号加1，本例中发送的数据是:SYN=100，ACK=11，用这样的数据回应给我们。向我们表示，服务器连接已经准备好了， 等待我们的确认。这时我们接收到回应后，分析得到的信息，准备发送确认连接信号到服务器。

第三步:我们发送确认建立连接的信息给服务器。确认信息的SYN位是服务器发送的ACK位，ACK位是服务器发送的SYN位加1。即:SYN=11，ACK=101。

这样我们的连接就建立起来了。

DDoS究竟如何攻击?目前最流行也是最好用的攻击方法就是使用SYN-Flood进行攻击，SYN-Flood也就是SYN洪水攻击。SYN-Flood不会完成TCP三次握手的第三步， 也就是不发送确认连接的信息给服务器。这样，服务器无法完成第三次握手，但服务器不会立即放弃，服务器会不停的重试并等待一定的时间后放弃这个未完成的连接，这段时间叫做SYN timeout， 这段时间大约30秒-2分钟左右。若是一个用户在连接时出现问题导致服务器的一个线程等待1分钟并不是什么大不了的问题，但是若有人用特殊的软件大量模拟这种情况，那后果就可想而知了。 一个服务器若是处理这些大量的半连接信息而消耗大量的系统资源和网络带宽，这样服务器就不会再有空余去处理普通用户的正常请求(因为客户的正常请求比率很小)。这样这个服务器就无法工作了， 这种攻击就叫做:SYN-Flood攻击。

到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。 不过这不等于我们就没有办法阻挡DDoS攻击，我们可以尽力来减少DDoS的攻击。下面就是一些防御方法:

1.确保服务器的系统文件是最新的版本，并及时更新系统补丁。

2.关闭不必要的服务。

3.限制同时打开的SYN半连接数目。

4.缩短SYN半连接的time out 时间。

5.正确设置防火墙
禁止对主机的非开放服务的访问
限制特定IP地址的访问
启用防火墙的防DDoS的属性
严格限制对外开放的服务器的向外访问
运行端口映射程序祸端口扫描程序，要认真检查特权端口和非特权端口。

6.认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更，那这台机器就可能遭到了攻击。

7.限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会，主机的信息暴露给黑客，无疑是给了对方入侵的机会。

8.路由器
以Cisco路由器为例
Cisco Express Forwarding(CEF)
使用 unicast reverse-path
访问控制列表(ACL)过滤
设置SYN数据包流量速率
升级版本过低的ISO
为路由器建立log server

能够了解DDoS攻击的原理，对我们防御的措施在加以改进，我们就可以挡住一部分的DDoS攻击，知己知彼，百战不殆嘛。

qq3250845

分布式拒绝服务(DDoS)攻击的规模越来越大。根据供应商Arbor Networks和Akamai Technologies的研究表明，2012年DDoS攻击的平均规模在1.77Gbps左右。 来自Prolexic的DDoS攻击数据表明，攻击的平均带宽最高达到48Gbps，与上一季度增幅超过700%。

大多数组织都有近10Gbps的互联网连接。因此，1.77Gbps的DDoS攻击影响并不小，但是仍然在可控范围。现在，DDoS攻击的平均范围已经大幅增长， 如果一个组织完全没有准备，那么在遇到攻击时，应急人员甚至完全无法使用互联网连接。

DDoS攻击的机制

传统的拒绝服务攻击通常是指让信息系统变成无法提供正常服务。这可能包括从断电到数据包淹没等各种手段。DDoS之所以越来越难防御， 主要是源于它名称包含的一个内在特性：分布式。DDoS攻击可以针对一个目标在多个位置的多个系统资源，让这些目标系统完全被击垮。

发起DDoS的方法有很多，但是最基本的方法是(也是Spamhaus遇到的那种)，攻击者伪装出一个与攻击目标相同的IP地址。然后，攻击者向一些预先选定的DNS服务器发送 一个伪装的DNS请求。当DNS服务器接收到DNS请求时，服务器会检查其数据库，然后回复一个表示没有包含欺骗性IP地址的DNS记录的响应消息。因为DNS响应被发送到欺骗IP地址，也就是 说攻击者设定的攻击目标会接收到这个DNS响应，因此无法追踪到攻击者来源。专业级DDoS会同时向大量不同位置的NDS服务器发送这样的请求，从而对攻击目标网络造成严重的影响——大部分网络的到达流量处理容量都有一定的上限。

防御百万级DDoS攻击

一旦企业理解了DDoS的攻击方式，他们就必须决定如何应付这种攻击，这是现在几乎不可避免的状况。第一个方法是与一些DDoS防御供应商合作，如Arbor、 CloudFlare、Akamai、Prolexic等，这是应对最严重攻击的一个可行方法。这些公司专门研究如何防御和应付可能的恶意流量。然而，如果一个组织没有足够资源购买第三 方产品和服务，那么聪明的安全管理员也会采取下面这些步骤，尽量减小DDoS攻击的危害。

首先，安全管理员应该先了解他们组织的互联网连接。正如前提所提到的，一般组织的平均连接带宽为10Gbps，所以管理员一定要谨慎处理，保证他们至少要让自己的产品服务使用其中大部分的可用 吞吐量。此外，安全人员还一定将安全需求报告给更高一级的管理人员。即使资源很紧张，也要定期向他们报告前面提到的统计信息，让他们知道现DDoS攻击的普遍性和潜在危害，这是百利而无一害的做法。

此外，无论网络管理员是否遇到过攻击，他们都应该部署一些防御机制，检查所有到达的DNS响应。如果到达的一系列请求以前在本地服务器上从未记录过，那么要丢弃这些数据包， 而不要向外部DNS服务器发送不必要的响应，从而避免加重问题。

最后还有一个方法，它有时候可以直接用于解决前面提到的资源缺乏问题。管理员应该考虑更多地将他们的基础架构部署到云上。最初，许多企业是出于节约空间的考虑而不想运营自己的 独立数据中心，但是云解决方案现在更多是因为安全考虑而受到关注。

在Spamhaus遇到的攻击中，Spamhaus使用CloudFlare的云服务来减轻DDoS的攻击效果。CloudFlare、Neustar等云服务提供商会在全世界的数据中心宣布一个指定客户的IP地址。 这个分散的方法会将DDoS流量分散到不同地理位置上，从而减轻攻击的影响。在出现像Spamhaus遇到的百万级DDoS攻击时，许多组织本身无法处理如此大规模的流量，他们必须向云提供商寻找帮助。

结论

在防御和应对DDoS攻击时，保持警惕是至关重要的。安全管理员必须了解针对互联网系统的最新攻击趋势、策略和流程。各种统计信息表明，百万级DDoS攻击的规模和频率将继续增长， 所以要做好防御措施应对最坏的情况，比如Spamhaus遇到的攻击。提前做好准备是缩小DDoS攻击范围和强化潜在攻击目标防御能力的一个重要步骤。

qq3250845

DDos防御需要根据不同的攻击类型和不同的攻击方式指定对应的策略才能达到最有效的防御。常见的DDos包括：Flood、CC和反射等。

1、flood攻击

Flood类的攻击最常见并简单有效，黑客通过控制大量的肉鸡同时向服务器发起请求，进而达到阻塞服务端处理入口或网卡队列。

针对消耗性Flood攻击，如：SYNFlood、ACKFlood、UDPFlood，最有效并可靠的防御方法是做源认证和资源隔离，即：在客户端和服务端建立回话时对请求的源进行必要 的认证，并将认证结果形成可靠的白名单或黑名单，进而保证服务端处理业务的有效性。

若黑客肉鸡足够多并伪造数据包的真实性较高时，只能通过提升服务端的处理速度和流量吞吐量来达到较好的对抗效果。



2、CC攻击

CC攻击是一种针对Http业务的攻击手段，该攻击模式不需要太大的攻击流量，它是对服务端业务 处理瓶颈的精确打击，攻击目标包括：大量数据运算、数据库访问、大内存文件等，攻击特征包括：

a、只构造请求，不关心请求结果，即发送完请求后立即关闭会话；

b、持续请求同一操作；

c、故意请求小字节的数据包（如下载文件）；

d、qps高；

针对CC的攻击的防御需要结合具体业务的特征，针对具体的业务建立一系列防御模型，如：连接特征模型，客户端行为模型，业务访问特征模型等，接收请求端统计客户信息并根据模型特 征进行一系列处理，包括：列入黑名单，限制访问速率，随机丢弃请求等。

3、反射类攻击

反射攻击是一种模拟攻击客户端请求指定服务器，并利用请求和应答之间的流量差值进行流量放大，进而达到攻击效果的攻击方式，常见的攻击类型包括：NTP，DNS等。

针对反射攻击比较有效的防御手段有：访问请求限速、反射流限速、请求行为分析等，这些防御手段没法完全过滤攻击流，只能达到抑制攻击的效果。

qq3250845

第一轮进攻：

时间:下午15点30左右

突然发现公司的web server无法访问，尝试远程登录，无法连接，呼叫idc重启服务器。启动后立即登录察看，发现攻击还在继续，并且apache所有230个进程全部处于工作状态。 由于服务器较老，内存只有8G，于是系统开始用swap，系统进入停顿状态。于是杀掉所有httpd，稍后服务器恢复正常，load从140降回正常值。

开始抓包，发现流量很小，似乎攻击已经停止，尝试启动httpd，系统正常。察看httpd日志，发现来自五湖四海的IP在尝试login.php，但是它给错了url，那里没有login.php， 其他日志基本正常，除limit RST ....之类较多，由于在攻击中连接数很大，出现该日志也属正常。

观察10分钟，攻击停止。

第二轮进攻：

时间:下午17点50分

由于有了前次攻击经验，我开始注意观察web server的状态，刚好17点50分，机器load急剧升高，基本可以确定，又一轮攻击开始。

首先停掉了httpd，因为已经动弹不得，没办法。然后抓包，tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts发现大量数据报涌入，过滤其中IP， 没有非常集中的IP，于是怀疑属于DDoS接下来根据上次从日志中过滤得到的可疑地址，比较本次抓包结果，发现很多重复记录。

分析：

这不是简单的DDoS，因为所有httpd进程都被启动，并且留下日志，而且根据抓包记录，每个地址都有完整的三次握手，于是确定，所有攻击源都是真实存在的，不是虚假的IP。

这样的可疑IP一共有265万个，基本上都是国外的，欧洲居多，尤其西班牙。公司客户在欧洲的可为凤毛麟角，只有丢卒保车了。

采取的措施：

把所有265个IP，统统加入防火墙，全部过滤ipfw add 550 deny tcp from % to me 80，重新启动httpd。

观察了3个小时，ipfw列表中所有ACL的数据报量仍旧持续增长，但是公司的web server已经工作正常。

至此，此次攻击暂告一段落，不排除稍后继续发生，但是由于攻击者使用的都是真实肉鸡，同时掌握超过3000万个肉鸡实属罕见，因此基本上他不能够在短期内重新发动进攻。

qq3250845

DDoS攻击最常见的攻击方式有哪些？

qq3250845

DDoS攻击防护的形势在近几年一直发生着变化。一方面是反射源的治理，防护手段的不断进化；另一方面物联网大军正逐渐加入到DDoS的这个战场，攻击手法也日趋复杂化，攻守双方的势力一直保持着动态平衡。如何打破这种平衡，赢取这场战争的胜利，墨者安全DDoS高防专家给出的建议如下：


DDoS攻击防御方法

1、抵抗住第一波攻击，这很重要
从攻防对抗的经验来看，抵抗住黑客的第一波攻击至关重要。如果第一次攻击得手能够给攻击方带来更多信心，反之多次攻占不下，则会使攻击方信心逐渐丧失。通过寻求专业的DDoS防御团队，永远是被攻击者成本最低、最有效的选择。

2、防守方需要有更成熟的流量调度机制和应对方案
DDoS攻击峰值越来越大，不断地刷新记录，这对于防护方是一个严峻的考验。仅仅依靠单个节点来化解动则上T的攻击已经变得越来越不现实。这时就需要新的应对方案和更成熟的流量调度机制，通过近源清洗、流量压制等技术手段，降低威胁，来力保城门不失。

3、防守方需要思考如何更快速地恢复业务
防守方是被动的，因为攻击者永远在暗处。也许通过事后溯源追查能够找到幕后真凶，但是在攻防对抗过程中，我们不清楚攻击者会通过何种方式利用服务的何种弱点发起攻击。这时防守方就需要考虑如何扭转这种被动局面。随着大数据技术的发展，机器学习的引入，也许能够给我们带来一些机会。通过对正常业务进行建模，来快速检测异常，以及采用智能化的技术手段，快速识别恶意行为并进行处置。通过一系列自动化、智能化的手段，快速恢复业务，也是防护方努力的方向。

黑客发起DDoS攻击，

qq3250845

随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布，DDOS拒绝服务攻击的实施越来越容易，DDOS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素，导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题，因此，解决DDOS攻击问题成为网络服务商必须考虑的头等大事。
二、什么是DDOS？

DDOS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”，那么什么又是拒绝服务（Denial of Service）呢？可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击，但是DDOS和DOS还是有所不同，DDOS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言，危害较大的主要是DDOS攻击，原因是很难防范，至于DOS攻击，通过给主机服务器打补丁或安装防火墙软件就可以很好地防范，后文会详细介绍怎么对付DDOS攻击。

三、被DDOS了吗？

DDOS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

如何判断网站是否遭受了流量攻击呢？可通过Ping命令来测试，若发现Ping超时或丢包严重(假定平时是正常的)，则可能遭受了流量攻击，此时若发现和你的主机接在同一交换机上的服务器也访问不了了，基本可以确定是遭受了流量攻击。当然，这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采取Telnet主机服务器的网络服务端口来测试，效果是一样的。不过有一点可以肯定，假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都Ping不通了或者是严重丢包，那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击，再一个流量攻击的典型现象是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。

相对于流量攻击而言，资源耗尽攻击要容易判断一些，假如平时Ping网站主机和访问网站都是正常的，发现突然网站访问非常缓慢或无法访问了，而Ping还可以Ping通，则很可能遭受了资源耗尽攻击，此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令，其实带宽还是有的，否则就Ping不通接在同一交换机上的主机了。

当前主要有三种流行的DDOS攻击：

1、SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

2、TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序（如：IIS、Apache等Web服务器）能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。

3、刷Script脚本攻击：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址。

四、怎么抵御DDOS？

对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。以下为笔者多年以来抵御DDOS的经验和建议，和大家分享！

1、采用高性能的网络设备

首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

2、尽量避免NAT的使用

无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。

3、充足的网络带宽保证

   网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。

4、升级主机服务器硬件

   在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P4 2.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

5、把网站做成静态页面

   大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧！新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。

6、增强操作系统的TCP/IP栈

   Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧