不要被扫荡：最常见的DDoS攻击是SYN和UDP洪水

首席技术官 Adrian Newby 平静的一周即将改变。他的公司为其客户提供基于互联网的软件即服务。其中一位客户现在遇到了麻烦。他们的服务器已经开始行动了。他们收到了大量无法应对的互联网流量。症状就在那里。Newby 知道这是 DDoS 攻击的开始。试图拒绝客户端访问其服务的同步分布式工作。他是如何面对挑战的？

他立即开始与袭击者战斗。整场比赛耗时超过 39 小时。防守队员下车比较轻松——他们的花费只有1500美元左右。纽比和他的团队奋力拼搏，避免了这场灾难。他们 的云的弹性极大地帮助了他们 ——通过反复扩大云，他们最终战胜了攻击者。

不过，这件事可能会以更加邪恶的方式结束。如果 Newby 的服务器受到不同类型的 DDoS 攻击，即使是云计算及其扩展能力也无法挽救它们。DDoS 攻击有很多种，它们都需要不同的防御策略。攻击者比其他人更频繁地使用其中一些品种。他们选择哪些武器，我们如何保护我们的服务器免受它们的侵害？继续阅读。

DDoS 攻击如何运作？就像一次打很多电话一样

大多数 IT 人员都知道 DDoS 攻击通常是如何工作的。对于那些不这样做的人：想象一千个人试图同时通过您的手机与您联系。他们不需要任何重要的东西，他们只是坐在电话线上，这样其他人就无法联系到你。攻击者群体之外的人无法让您接听电话。这种比较在很多方面是不准确的，但足以让您有所了解。

DDoS 的实际工作方式要复杂得多。首先，攻击不止一种。有许多不同的品种，差异很大。专家通常通过拒绝方法将 DDoS 变体分为几个大类。例如，Radware 详细介绍了针对网络资源的 DDoS 攻击 、针对服务器资源的攻击或通过 SSL 层进行的攻击。

正如类别名称所暗示的那样，一些方法试图吞噬服务器的资源，而另一些则利用应用程序或安全性中的弱点。值得注意的是针对网络资源的攻击。那些试图通过耗尽特定服务器的连接性来“堵塞管道”。这使得普通用户无法访问它。

威胁越来越大：DDoS 攻击更频繁地发生

正如我在该博客的一篇文章中所写的， 最近 DDoS 攻击越来越多。而且这些攻击中的大多数实际上都包含不止一种类型的 DDoS。根据调查，作恶者最常选择两种攻击媒介 ——SYN 洪水 和 UDP 洪水。

它们是如何工作的？

最常见的方法：UDP数据包淹没服务器

到目前为止，最常见的 DDoS 方法是 UDP 泛洪 - 首字母缩略词 UDP 表示用户数据报协议。通常，它构成互联网通信的一部分，类似于更常见的 TCP。它与 TCP 的不同之处在于 UDP 不检查通信的建立、进度或超时——这就是所谓的握手。它使 UDP 速度更快，但也使其容易受到恶意滥用。

例如，UDP 泛洪。

它的工作原理非常基本。攻击者向目标服务器的随机端口发送大量 UDP 数据包。服务器必须响应所有这些，这些是规则。首先，它需要检查是否有任何应用程序正在侦听这些端口上的通信。当它没有找到时，服务器需要发回关于目的地不可用的信息。它通过称为 ICMP 的 Internet 协议执行此操作，该协议用于发送错误消息。

每个发送到目标服务器的数据包都需要得到回复。这会消耗服务器的连接性，有时还会消耗其他资源。这种巨大的流量——部分是由服务器本身产生的——使得与服务器的常规连接变得不可能。

这种类型的攻击可以归类为针对网络资源的攻击或基于卷的攻击。它的受欢迎程度可能部分是由于防御的难度。服务器所有者只能限制一次处理的 ICMP 数据包的数量。但是，这无助于 与服务器的通信， 因为这些管道已经被传入的 UDP 数据包阻塞。

唯一有能力对 UDP 洪水采取任何措施的是互联网提供商，例如，他们可以过滤 UDP 数据包并将它们重新路由到所谓的黑洞服务器。这些是接收违规数据包但不向攻击者发送任何确认的目的地。

它的流行也可能源于UDP洪水部署的相对容易。有几个可用的应用程序可以让以这种方式攻击任何人变得非常简单。其中之一就是 低轨道离子炮，它将 UDP 泛洪攻击的过程简化 为几下鼠标点击。

SYN 泛滥：服务器等待应答，但没有响应

第二种最常见的攻击类型是大量 SYN 数据包。它滥用了 TCP 的一个特性。在更快但不太安全的 UDP 不检查通信的开始、进度或终止的地方，它相对较慢但更可靠的老大哥 TCP 会检查。它是通过通信双方在正式建立连接之前必须相互发送的一系列信号来实现的。

让我们详细看看这个过程。（如果您赶时间，也可以跳到蓝框。）通信的第一个参与者向其目标服务器发送一个 SYN 数据包。首字母缩略词表示同步并告诉目标服务器需要连接。通信的第二部分发生在目标服务器以另一条消息响应时，这次是使用 SYN-ACK（同步确认）数据包。这告诉第一个参与者服务器收到了 SYN 数据包并准备开始通信。

当第一个参与者收到来自服务器的 SYN-ACK 响应时，该过程的第三步也是最后一步发生。它应该再发送一个 ACK​​ 数据包，以确认服务器的 SYN-ACK。握手现已完成，TCP 连接已成功建立。由于该过程由三个阶段组成（首先是 SYN，然后是 SYN-ACK，然后是 ACK），因此通常称为三次握手。当发生 SYN 洪水时，此过程会脱轨。就在它即将结束的时候。

目标服务器收到 SYN 并以 SYN-ACK 响应（到目前为止一切顺利），但随后挂起。来自通信的第一个参与者的所需 ACK 消息没有到来。服务器不确定此通信发生了什么，并一直等待最后一个数据包。毕竟，它可能只是在通过网络的过程中被延迟了。

然而，这意味着服务器需要让这个连接半开，并分配一些资源来监视丢失的 ACK 数据包。而那个数据包永远不会到来，因为攻击者是这样设计的。相反，服务器接收到他再次尝试响应但没有收到 ACK 消息的其他 SYN 请求。当它被这些请求淹没时，它可能会耗尽所有资源、行为不正确或彻底崩溃。

用饼干建造水坝

幸运的是，服务器所有者可以防御 SYN 泛洪。他们的服务器可以配置为在 TCP 通信中使用的数据包的开头添加一个值——这些值称为 SYN cookie。这允许服务器在收到最终的 ACK 数据包之前基本上忘记通信。它不需要“保持半开状态”并耗尽其资源。相反，它会根据数据包中的 SYN cookie 的值重新构建所需的所有信息。

这有点类似于仅当您的联系人列表中的人呼叫并忽略所有其他呼叫时才接听您的电话。早在 1996 年就首次讨论了这种方法。它的公式归功于密码学家 Daniel J. Bernstein。然而，攻击者最近一直在尝试新技术，甚至比这个聪明的 cookie 系统更聪明。来自 Radware 的专家 目睹了一种新的攻击形式， 他们因此称之为 海啸 SYN 洪水。与现实世界的海啸类似，SYN 洪水是巨大的。

海啸 SYN 洪水背后的邪恶分子设计了 SYN 数据包，使其大小从通常的 40 到 60 字节增长到 1000 字节。根据协议，这种大小的数据包仍然可以接受，但根据 Radware，它们会使许多防御算法复杂化或混淆。包括 SYN cookie。

但海啸 SYN 洪水在另一方面也很严重。传入目标服务器的 SYN 请求数量巨大。基于卷的攻击通常使用上面提到的 UDP 协议。但是当攻击者以类似的方式使用 SYN 泛洪时，他们无法通过与 UDP 泛洪相同的机制来防御。

洪水袭击是一个巨大的威胁。为他们做好准备

两种类型的 DDoS 攻击——无论是 UDP 还是 SYN——都会给它们所针对的服务器带来麻烦。然而，这一切都取决于他们的实力。一些攻击可以通过一点努力来防御，而另一些攻击则无论如何都可以使服务器停机。最近报告的最强 攻击达到每秒 253 吉比特。给你一个想法——Newby 的团队忙于应对强度低 13 倍的攻击。

对于管理员来说，这一切意味着他们需要专注于预防。只有通过准备、测试和寻找弱点，管理员才能对抗这些强大的威胁。你的经历呢？您是否曾与 DDoS 攻击正面交锋？您必须防御哪些方法？你通过了吗？请在下面的评论中告诉我们。