网站如何应对DDoS攻击以及DDoS攻击的发展趋势-技术知识库-梦飞vps服务器租用

随着大数据的兴起，基于用户访问数据建立了完整的视觉防御体系，包括QPS、IP-cookie、IP-request分发、页面点击等行为数据结合信誉机制。结合威胁情报，建立运营商/ISP/DC/区域信息数据库、IP地址黑名单、代理数据库、暗网数据库等丰富的情报数据库，线上线下进行关联分析。一方面，美国服务器租用，防御时间提前，甚至攻击在发动前就能预知；另一方面，攻击者可以追根溯源，可以有效打击攻击者的嚣张气焰。

最大限度地破坏资源是DDoS攻击的根本意图。从这个角度看DDoS攻击的发展，可以梳理出清晰的脉络。有安全专家曾将DDoS攻击比作互联网“核武器”:一旦动员了足够数量的遍布互联网的“肉鸡”和存在各种协议漏洞的开放服务器，任何互联网业务都可能瘫痪。最大限度地破坏资源是DDoS攻击的根本意图。从这个角度看DDoS攻击的发展，可以梳理出清晰的脉络。

网站如何应对DDoS攻击以及DDoS攻击的发展趋势

DDoS攻击的发展趋势有三个明显的阶段:

第一阶段:个人电脑设置僵尸网络发起DDoS攻击；第二阶段:利用互联网开放服务器(如DNS、NTP)发起反射攻击；第三阶段:利用智能//物联网设备协议(如SSDP)的漏洞发起反射攻击。

僵尸网络的DDoS。大多数传统的DDoS攻击是由僵尸主机(也称为肉鸡)组成的僵尸网络发起的。“肉鸡”是指被木马击中或被某些人留下的电脑。成为“肉鸡”的计算机可以被黑客远程控制。“肉鸡”的存在，大多是用户系统中的各种漏洞造成的。一旦系统被入侵，黑客就可以获得控制权。黑客在这些“肉鸡”主人不知情的情况下对预定目标发起攻击。典型的攻击之一是DDoS攻击。

在我们遇到的一些实际攻击中，从攻击流量分析，来源分散在全国各地，这类攻击很可能是由大量被操纵的“肉鸡”组成的僵尸网络发起的。可见，“肉鸡”对互联网，尤其是网站系统构成了极大的威胁。即使单只“肉鸡”的攻击能力有限，如果有大量肉鸡，聚合攻击流量也会惊人。

开放式服务器的反射放大。

虽然肉鸡的效果显著，但僵尸网络的建立和维护都需要很高的成本。随着黑客对更低成本和更大效果的不断追求，利用互联网开放服务器发起反射式拒绝服务攻击越来越流行。

反射拒绝服务攻击也称为DRDoS攻击(分布式反射拒绝服务)，或分布式反射拒绝服务攻击。原理是黑客伪造攻击者的IP地址，向互联网上大量开放特定服务的服务器发送请求。接收请求的主机根据源IP地址向受害者返回响应数据包。在整个过程中，返回响应的服务器并不知道请求源的恶意动机。

网站如何应对DDoS攻击以及DDoS攻击的发展趋势

黑客往往会选择那些响应包远大于请求包的服务来使用，亚洲服务器，这样就可以用较小的流量换取较大的流量，得到数倍甚至数十倍的放大。一般来说，可用于放大和反射攻击的服务包括DNS服务、NTP服务、SNMP服务、Chargen服务等。

NTP协议的反射放大效果最好，超过500倍。也就是说，攻击者只需要发起100Mbps的请求流量，经过NTP服务器反射放大后，就可以换取5Gbps的攻击流量。2014年2月，在一家国外云计算服务提供商遭受的400Gbps DDoS攻击中，黑客使用了NTP反射放大攻击。

SSDP袭击的兴起。

一方面，随着互联网上DNS、NTP、SNMP等协议的开放服务漏洞不断被修复，可用于发起反射攻击的服务器数量不断减少。另一方面，互联网上家庭路由器、网络摄像头、打印机、智能家电等设备的激增，让黑客看到了另一座可以不断挖掘的金山。UPnP(即插即用)协议被广泛用作这些智能设备的网络通信协议，UPnP设备的发现基于源端口为1900的SSDP(简单服务发现协议)。

使用SSDP协议的反射攻击原理类似于使用DNS服务和NTP服务，伪造为被攻击人的IP地址向互联网上的大量智能设备发起SSDP请求，接收请求的智能设备根据源IP地址向受害者返回响应数据包。

SSDP反射放大攻击是一种快速上升的DDoS攻击。从akamai 2015q1互联网/安全报告状态可以看出，SSDP反射攻击已经成为TOP1的DDoS攻击模式(20.78%)。

根据Arbor Networks在2015年初发布的全球基础设施安全报告，直到2014年7月才注意到SSDP反射攻击，2014年Q3-Q4期间发起了几次流量超过100Gbps的攻击。

根据USCERT的数据，SSDP的放大率是30倍，比NTP和Chargen的放大率小得多。然而，由于互联网上智能设备数量巨大，随着IoT的发展，这个数字将呈现几何级数增长。这无疑为黑客提供了丰富的攻击来源。

网站如何应对DDoS攻击以及DDoS攻击的发展趋势