转载

春节期间，要格外警惕哪些黑客攻击？（一）

春节将至，别以为抢到了的车票，就可以安心回家过年了。春节期间也是黑客发起攻击的高发时刻。当你吃着火锅唱着歌的时候，虎视眈眈的黑客可就盯着这一时刻来一波大的。

根据网宿云安全平台去年春节的数据统计显示 ，春节前一周至初七（2016年1月25日-2月13日），游戏、电商、金融、政府机构等行业的网站，遭受到的攻击相比上一个月都出现了明显的增长。尤以游戏行业为最，增长达到了将近3成。

春节期间，要格外警惕哪些黑客攻击？（一）那么，春节期间哪类黑客攻击最为高发呢？

对网宿云安全平台上2016年春节期间各类型的攻击发生次数进行统计，得出如下排行：

春节期间，要格外警惕哪些黑客攻击？（一）可以看到，排名前两位的分别是SYN Flood攻击和CC攻击，而这两者都是DDoS攻击的一种方式。可见， DDoS攻击是春节期间网站安全面临的第一大敌 。

那么，本次分享里就先来跟大家聊一聊DDoS攻击，以及对其进行防御。 其他的几种攻击类型在往后的文章里与大家分享。

一、什么是DDoS？

DDoS，即分布式拒绝服务攻击，指黑客通过一定技术手段控制大量服务器、个人电脑、智能设备（如摄像头、手机、智能冰箱等）后，在这些设备上植入DDoS攻击程序，进而向目标发动大量请求、耗尽目标主机资源或网络资源，从而使被攻击的目标不能为合法用户提供服务。

这种简单粗暴的攻击方式跟竹联帮的火拼扫荡差不多，有时连小弟（攻击设备，俗称肉鸡）都是临时在路边拉来的。

DDoS攻击已经形成一条成熟的黑色产业链，DDoS攻击及其服务在网络上明码标价且泛滥成灾，这些服务降低了网络攻击的成本和技术门槛，并且具有破坏力大、溯源难等特点，极其易攻难守，是目前网络空间中最让应用服务提供者谈虎色变的攻击方式之一。

按照发起的方式，DDoS可以简单分为两类。

1）来势汹涌，拥堵服务器带宽。海量数据包从互联网的各个角落蜂拥而来，堵塞IDC入口，让正常流量无法进入服务器。

2）以假乱真，耗尽服务器资源。大量真实IP模拟正常用户请求，消耗大量服务器资源，使服务器处理不过来，从而瘫痪，拒绝为正常用户服务。

这两类的典型代表分别对应的正是SYN Flood攻击和CC攻击。

相比起其他Flood攻击， SYN Flood 具有既消耗带宽、又消耗性能的特点，因此是目前使用最多的攻击类型。攻击者利用TCP协议缺陷，向目标服务器发起大量的TCP SYN报文，当服务器回应SYN-ACK报文时，攻击者不再继续回应ACK报文，导致服务器上存在大量的TCP半连接，服务器的资源会被这些半连接耗尽，无法响应正常的请求。

CC 攻击则是攻击者借助代理服务器不断向目标网站发送大量请求，如频繁请求某个比较耗费服务器资源的URL或操作（如查询等）或某个不存在的URL，使服务器CPU达到峰值100%，导致网站瘫痪无法正常打开，IIS停止服务，出现503状态无法自动恢复等情况。由于CC攻击都是真实IP模拟正常用户请求行为，因此防御难度极大。

二、黑客攻击的目标和目的是什么？

网宿云安全平台的统计显示，去年春节期间， 被DDoS攻击最重的灾区就是游戏网站 。包括春节在内的节假日正是游戏业务的黄金时段，倘若此时游戏中断，极可能导致大量玩家流失，损失惨重，对网站影响尤为之大，攻击者看中的就是这样的时机。

我们再以游戏行业为例，统计网宿云安全平台上的游戏行业客户遭受攻击的主要目标，可见明显针对的都是游戏站点最影响客户体验的核心业务。

攻击者攻击的目的不外乎同行恶意竞争，或黑客敲诈勒索。 游戏行业竞争日益激烈，为抢占市场份额，同行之间不惜雇用黑客向发起攻击以打击对手。这些核心业务不能提供正常服务，必将严重破坏用户体验，伤害用户信任，造成用户流失。

另一方面，游戏行业高产值、高利润，也容易让黑客觉得有利可图，以勒索等为目的对游戏平台进行攻击。因此，如果不能及时采取有效的防御措施，只能坐看网站名誉和经济受到双重损失。

2016 年4月，Lizard Squad组织对暴雪公司战网服务器发起DDoS攻击，包括《星际争霸2》、《魔兽世界》、《暗黑破坏神3》在内的重要游戏作品离线宕机，玩家无法登陆。

根据《DDoS攻击商业破坏力研究报告》，2015年共有77万网站遭受DDoS攻击。全球DDoS攻击每年造成的经济损失高达200亿元。遭受攻击的网站，1/4无法恢复运营。

三、如何应对DDoS攻击？

（一）如何诊断网站遭受了哪种DDoS攻击

一般网站的服务器都有流量监控和连接数监控，发现网站响应变慢等异常后，可先去查看网站访问日志是否有大量针对不存在的URL发起的请求或大量调用数据库的请求，并且是否有异常refer（如没有refer、refer错误等）等的请求，如果有基本就是CC攻击。

如果网站访问日志正常，则查看服务器的连接数，是否有大量80端口的半连接，如果有一般就是SYN Flood，也可以在服务器上抓包分析数据包，如果只是服务器带宽突增，而没有其他明显现象，就可能是UDP Flood。

（二）传统常规防御方式

很遗憾，由于TCP/IP协议的这种会话机制漏洞无法修改，因此DDoS攻击没有办法杜绝，只能缓解。攻击的发生毫无预兆，当网站运营人员发现攻击时，网站业务基本已经受到了严重影响。

更加不幸的是，即使你精通各种防御算法，过滤IP、限制速率，技术比电脑那头的黑客强上千百倍，囿于服务器性能和带宽的限制，面对摧枯拉朽的大流量攻击，那结果就是四个字——螳臂当车。

由于目前市场上黑客攻击成本和门槛都很低，已经形成了产业链。攻击设备也已经从最开始的服务器、PC电脑，扩展到手机、平板、路由器、智能摄像头等智能家居设备，随着物联网的发展和普及，物联网设备肉鸡已经呈指数型高速增长。同时，黑客攻击手段也在迭代更新，捉摸不定，用了多种攻击方法组合的混合型攻击比例大幅增长，数百G的突发大规模攻击更是司空见惯。

有的网站会选择 将被攻击的域名黑洞（解析到127.0.0.1） ，相当于直接粗暴简单地拒绝所有访问，以保住网站，减少流量上的损失和网站修复的损失。但这种方法不管是正常访问还是异常访问统统拒绝，造成大量误杀，正常用户也无法访问网站，必然会影响网站业务，不是长久之计。

兵来将挡水来土掩，抗DDoS说到底就是攻防资源的互拼，不管怎么挡也得有足够的将，足够的土。对于企业级的防御来说，不仅是拼运维能力的问题，更需要拼RMB买服务器、买软硬件防火墙、买带宽。

安装软件防火墙 ，虽然定制灵活、升级快捷，但能承受的攻击强度远远低于硬件防火墙。攻击到来时软件防火墙本身也将大大消耗网站服务器的性能，拖慢网站响应速度，对SYN Flood等流量型攻击无法有效应对。

而通过 购买硬件设备 的方式，也有局限性：

1）接入步骤复杂。硬件设备一般采用串联或旁路方式部署，需要对源站的网络拓扑做变更，部署过程中存在系统和业务风险。而黑客的攻击是突发的，硬件设备的部署方式严重制约了防护的效率。

2）应急响应能力有限。部署硬件设备需要专业的安全运维团队进行设备监控、策略调整和升级维护，硬件设备如果遇到硬件故障等问题，受限于地理位置，不能有效解决问题，而此时突发攻击时，网站只能完全处于“被打”状态。

3）可扩展性有限。硬件安全设备受限于带宽和设备性能，只能防御其设备范围内的攻击。一般单台可清洗20Gbps-30 Gbps的流量，因此当黑客的攻击超出硬件设备的可防护量后，除非购买更多硬件设备，否则防御往往失效。而单台设备的价格在5-30万不等，平均生命周期在3年左右。购买更多设备这就是一笔深不见底的投入。

并且，一旦企业从运营商那里租用的带宽资源被攻击挤满，那么即便布有清洗设备也失去了功效。于是还是得 购买带宽 ，然而购买带宽的费用也不是什么人都能承受的。目前国内二线城市机房10G带宽大概是150万/年，而现在的攻击动辄上百G。并且黑客的攻击是短暂且随机的，为了抵御一时的洪水，耗费大量资金筑起一道高堤，而大部分时间却在闲置，这笔账显然划不来。

（三）云防护的时代的抗D

随着云CDN 厂商和云计算厂商各自推出了云防护服务，这种轻部署、轻运维、计费灵活的流量清洗模式逐渐赢得了越来越多互联网企业的青睐，成为了当下的潮流。具体来说，云DDoS清洗服务的优势在于：

1) 接入快速、方便。 由于黑客的攻击是突发的，因此产品接入速度的快慢直接影响到拦截攻击的效率。云防护的接入方式及其简便，用户无需改变网站架构，仅提供需要接入的域名和对应的源站IP，数分钟即可享受安全防护服务。

2) 按需防护，降低成本。 防护服务根据DDoS攻击情况按需提供，如突发大流量攻击可智能调度带宽资源保障网站平滑度过攻击，攻击结束后能够智能调度走多余资源，可以有效避免传统硬件设备“买少了防不住，买多了闲置”的情况。同时也减少网络带宽的费用支出，大幅度降低企业安全防御的成本。

3) 云上业务多样，数据样本广。 云防护的运维由云防护服务商来提供，服务商经过各种行业无数次的攻防对抗和数据累积之后，能够更深入地理解各行业的业务需求，优化更精准的算法和服务经验。

总的来说，防御DDoS既需要算法的优化、处理经验的积累，还需要丰富的带宽资源。 网宿云安全平台基于11年CDN 服务的基因，拥有领先于业内的海量带宽资源和数据样本，根据网站的遭遇的攻击量而自动调度全网带宽，曾在2016年10月为某游戏公司成功抵御了峰值高达538.19Gbps的DDoS攻击，客户网站未受影响。