DDOS攻击是什么

DDOS英文全称 Distributed Denial Of Service（分布式拒绝服务），实际即为攻击者用某种攻击方式/组合，多点多次地攻击目标服务，使目的服务耗尽系统资源，使其无法正常向客户提供服务。
前身为DOS（Denial Of Service），DOS采用一对一的方式，随着计算机处理能力的不断提高，网络带宽的不断升级，这种原始的攻击形式已无法达到攻击的目的，即演变成了多对一的方式，即分布式攻击的形式。

DDOS攻击的特点

1. DDOS攻击很容易被发起
   现在互联网上可以很方便的获取各类DDOS攻击工具，只要有资源，有浅显的网络知识，即可造成不小的网络攻击事件。比较有名的免费工具有LOIC、HOIC、XOIC、Hulk、DAVOSET、黄金眼等。
2. DDOS攻击防御难度大
   DDOS攻击识别难度较大，是比较底层的攻击，防护不当，即会无法服务，造成损失严重。

DDOS攻击分类

DDOS攻击方式划分为三种：泛洪攻击（Flood）、畸形保文攻击（Malformation）、扫描探测类攻击（Scan&Prode）。

泛洪攻击

泛洪攻击是一种攻击者通过僵尸网络、代理或直接向攻击目标发送大量伪装的服务请求报文，最终耗尽攻击目标的资源的攻击方式。
泛洪攻击还有一种高级形式：反射攻击。由僵尸网络以攻击目标的身份向网络中的服务器发送大量服务请求，网络中的服务器即会回复大量响应请求到攻击目标，从而使攻击目标资源耗尽。

畸形报文攻击

畸形报文攻击通常是指攻击者发送大量有缺陷或具有特殊控制作用的报文，从而造成主机或服务器在处理这类报文时造成系统崩溃的过程。（有点sql注入的意思）

扫描探测类攻击

扫描探测是一种潜在的攻击行为，并不具备直接的破环行为。它通常是泛洪、畸形报文攻击的前奏，是发动真正攻击前的准备行为，如IP地址扫描和端口探测等。

DDOS攻击现状分析

1. 攻击类型
   SYN flood、UDP flood、http flood、dns flood依然是现在DDOS攻击的惯用手段。
2. 攻击目标
   攻击目标主要为游戏、电子商务、互联网金融等，这些利润高、竞争激烈的行业，恶性竞争是主要动机，再加上这些行业好敲诈。
3. 攻击趋势
   四大趋势：攻击流量越来越大，移动攻击越来越多，应用型攻击越来越普遍，攻击更多是从数据中心发起。

Anti-DDOS组成

Anti-DDOS即为DDOS防护清洗服务。
现在普遍的Anti-DDOS系统，包含三大组件：检测中心、清洗中心、管理中心（ATIC）。

检测中心

主要负责检测流量，发现异常上报ATIC，并上报日志。

清洗中心

主要根据ATIC下发的策略进行引流、清洗过滤，并把处理后的正常流量回注，同时上报日志

管理中心

根据检测告警日志下发引流策略至清洗中心，指挥清洗中心进行引流清洗。
负责检测中心、清洗中心的统一管理调度，日志记录和报表呈现等。

Anti-DDOS流程（旁路动态引流部署）

1. 检测中心检测分光或者镜像流量
2. 检测中心发现流量异常后，上报受攻击的IP地址到管理中心
3. 管理中心自动向清洗中心下发引流策略
4. 清洗中心根据引流策略将去往被攻击IP地址的流量引流到清洗中心中
5. 清洗中心通过多层过滤防御技术清洗流量，丢弃攻击流量
6. 清洗中心将清洗后到正常流量回注到网络中
7. 清洗中心上报攻击日志到管理中心，管理中心负责呈现流量清洗效果

多层过滤防御技术

目前比较常见的为以下几种

1. 报文合法性检测
   基于RFC检查报文合法性，主要检测/过滤利用协议栈漏洞的畸形报文攻击。这一层类似于空气净化器的初滤网，可以检测和过滤掉大部分畸形报文攻击和特殊控制报文攻击。（这也是大多攻击为flood攻击的一个原因，因为flood更容易达到目的）
2. 特征过滤
   部分攻击是具有一定的共同特征的，也被称为指纹，UDP类攻击流量通常都具有一定的特征。例如，UDP反射放大攻击一般都是基于特定的UDP端口，以往较常见NTP、DNS、SSDP反射放大攻击，分别对应UDP的123、53、1900端口。
   （1）静态指纹
   静态指纹是已知的攻击特征。系统根据一些经验，预先定义好攻击特征参数，并将其保存在过滤器模板里。
   （2）动态指纹
   动态指纹是Anti-DDOS系统自动学习获得的特征。系统对已判为攻击的攻击报文做规律识别，聚合提取相同内容作为指纹特征，然后自动应用。
3. 虚假源认证
   用于防范虚假源发起的传输层攻击，SYN-Flood是虚假源攻击的典型代表，特点是海量变源/变源端口的报文被发送到受害主机。Anti-DDOS对此会作为“中介”回应源发出的SYN报文，如果源是真实的，Anti会继续回应RST报文，如果源是虚假的，Anti则无法对其响应。
   DNS FLood的防御原理也类似，Anti会先向源回应DNS Reply报文，看源是否正常回应。
4. 应用层认证
   用于防范虚假源发起的应用层攻击，如HTTP/HTTPS Flood、SIP Flood等。与传输层的防御原理由相似之处，也是Anti作为“中介”回应源的请求，并要求源重定向到新的URL，或者输入验证码，以此验证客户真实性。
5. 会话分析
   基于会话检查并防范会话类攻击，如ACK Flood、FIN/RST Flood、DNS缓存投毒等。ACK、FIN、RST等都是TCP交互过程中的后续报文，Anti先为真实客户的首包SYN建立会话，然后可以效仿防火墙对这些报文进行会话匹配检查，真实客户的这些报文肯定能匹配上会话。
6. 行为分析
   僵尸网络发起的攻击流量和用户访问行为是不同的，僵尸网络最大特征是访问频率恒定、访问资源固定、访问行为模式固定。因此可以基于行为分析来防御各种慢速攻击。
7. 智能限速
   采用各类协议精细化限速使得流量都处于安全的带宽范围内。