DDoS和CC攻擊原理（下）

0、前言

本主題研究DDoS和CC的實現原理以及其具體的實現方法，并對如何檢測和防護進行說明。

文章一共分為（上）（中）（下）三篇，

（上）主要描述DDoS基本原理和實現攻擊的基礎和思路；

（中）主要列舉可用于DDoS和CC的方法；

（下）主要對攻擊原理進行總結并提出目前主流的防護機制。

1、攻擊基礎

根據前兩篇文章，我們知道了DDoS和CC能夠實現攻擊的技術基礎是：源、目的ip地址偽造，數據包參數偽造。

下面，我們總結一下具體是什么技術使得DDoS和CC能夠成為現實。

1.1 小包技術

1.2 大量的公共服務器產生反射流量

1.3 僵尸網絡（botnet）

目前主流的僵尸網絡包括：IoT設備僵尸網絡、挖礦僵尸網絡等

1.4 免費、付費發包工具、腳本

1.5 在線攻擊平臺

1.6 目標掃描--域名、IP、端口、服務

1.7 空間搜索引擎

以下為一些常用的搜索工具：

https://fofa.so/
https://www.zoomeye.org/
https://censys.io
https://www.shodan.io

2、攻擊特點

2.1 攻擊特點的總結

3、受攻擊時服務器參數情況

3.1 設備發現攻擊時的狀態圖

1、接收的數據包類型（syn、ack、frag、icmp、http等）

2、包速pps

3、流量bps

4、連接數（并發、新建）

5、應用請求數qps

6、丟包重傳

7、錯誤日志

說明：攻擊發生時上述參數會有一個或者多個明顯超過正常值。

4、攻擊抓包示例

以下是一些來自實際攻擊案例中的數據包樣例，（中）篇中已描述過各種攻擊手法，這里不再對每個數據包做詳細講解。

4.1 syn攻擊

4.2 ack攻擊

4.3 frag攻擊

4.4 NTP反射攻擊

4.5 3389反射攻擊

4.6 cc攻擊

5、解決方案

目前對其解決方案主要分兩大類一類是流量清洗對抗還有一類是IP分層對抗。

IP分層主要為對不用地域不同級別用戶進行IP分配，以實現攻擊者攻擊的IP地址不會影響到有價值的用戶IP，而流量清洗者是使用清洗設備對攻擊流量進行阻攔。

通過單機串聯部署模式或分層旁路部署模式將攻擊流量進行分析、清洗和回饋操作。以達到保護用戶網絡資源、 計算資源、應用資源的目的。

串聯部署：該部署方式通常用在較小的業務流量、部署在業務系統前針對其直接進行防護的場景。

旁路清洗部署

通過對高性能DDOS設備進行集群，防御高并發量的DDOS攻擊，處理峰值能夠達到1T以上，并通過云統一管理平臺進行集中管理和策略下放，實現多點部署，統一管控，集中防護的作用。

通過NAT結合負載均衡的技術，以實現有效隱藏用戶計算資源、網絡資源及應用資源的目的，同時為用戶提供云DDOS增值服務。

分布式

6、防護機制

以下是對抗DDoS攻擊的一個常規防護技術框架，一般來說，也是一個專業抗DDoS設備的常規功能。

6.1 防護框架

6.2 逆向驗證DDoS防護

6.3 缺省DDoS防護（基本參數）

6.4 高級防護參數

6.5 異常發現和告警能力

聲明：文章內容均來自互聯網，并且僅是對攻擊原理進行理論性描述，未具體提供任何可用于直接進行攻擊實現的手段，目的是為了進行學習交流，請讀者們潔身自好，不要嘗試利用，以免誤入歧途。