中科院之声|DDoS攻防“修炼”手册丨大东话安全

一、小剧场
小白:东哥 , 暑假有没有出去玩呀?
大东:暑假我当然是在家分担一下家务劳动呀!
小白:皮一下很开心哟!东哥 , 轮到我考考你 。 你知道国际劳动节的发展历史吗?
大东:说来听听 , 我们一起涨知识 。
小白:19世纪资本家通过不断增加劳动时间和劳动强度的方法进行资本积累 , 最终引起了工人们大规模罢工 , 1889年宣布将每年的五月一日定为国际劳动节 , 而我国庆祝劳动节的活动还可追溯至1918年呢 。 怎么样 , 是不是听起来也是一段漫长曲折的发展史呢?
大东:是啊 , 不如今天我就给你讲讲DDoS的发展史吧 。
小白:好呀好呀 , 我早就想了解了 。
中科院之声|DDoS攻防“修炼”手册丨大东话安全
文章图片
二、DDoS攻击发展“里程碑”
大东:DDoS攻击是非常常见的一种攻击 , 随着黑客技术的不断发展 , 它变得越来越简单和自动化 , 发动一次DDoS攻击并不需要太高的技术门槛 , 攻击流量也从最开始的10GB、90GB , 逐渐扩大至300GB、400GB , 如今已经以“T”级别来计算 。
小白:天呐 , DDoS攻击几乎在以飞跃式的速度增长啊!
大东:是的 , 这二十多年来DDoS攻击也成为了犯罪工具箱的一部分 。
中科院之声|DDoS攻防“修炼”手册丨大东话安全
文章图片
DDoS发展史(图片来源于网络)
小白:东哥 , 快给我讲讲吧 , 我小板凳都搬好了 。
第一阶段 , 虚假源DDoS攻击
【中科院之声|DDoS攻防“修炼”手册丨大东话安全】大东:早期的DDoS以虚假源攻击为主 , 简单粗暴但极为有效 , 聊天室聊着聊着可能就“死了” 。 这类攻击一般由工具或者仪表构造产生 , 一般传统的TCP-Flood防护算法就能够很好地清洗此类攻击 。
小白:那这块是不是已经没有太多的技术门槛了?
大东:可以这么说吧 。 再后来 , ISP也开始在网络接入层面启用URPF策略 , 希望可以从大网架构层面直接过滤虚假源攻击 。 从一些统计数据来看 , URPF确实起到了一定的效果 , 但仍然有漏网之鱼 , 近几年虚假源Flood依然是DDoS攻击重要组成 。
小白:这么看来的话 , 要想防御这一阶段的DDoS攻击 , 也不是很难吧?
大东:非也 。 实际上 , 虚假源DDoS攻击并不是大家想象的那么“简单” 。 攻击者也在不断思考、改进和实践虚假源攻击的实战效果 , 因为这种攻击的”开销”实在是太低了 , 如果能以低成本的方式打垮对方 , 又何必去兴师动众发动更复杂、更高成本的攻击呢?
小白:那倒也是 。
大东:所以在DDoS攻防对抗史中 , 出现了一些增强型虚假源DDoS , 也可以简单理解为第一代DDoS的Plus版本 。
小白:东哥 , 可以举个例子吗?我已经有点晕了 。
大东:大概在2010年 , 安全公司发现攻击者打出的虚假源攻击不再全随机源了 , 而是将攻击源IP伪造为真实服务器的地址段 , 比如伪装为某省某服务商的地址段 , 当防护产品去探测这些源IP真实性的时候 , 就很可能误认这些IP是真实存在的 , 从而探测算法失效 , 服务器崩溃 。
小白:披着羊皮的狼啊!
大东:不仅如此 , 同时 , 这些服务商还被流量反射了 , 攻击者可谓一箭双雕 , 从另外一个角度讲 , 这也算最早期的DDoS反射攻击 , 比名震四方的的NTP反射还要早 。
中科院之声|DDoS攻防“修炼”手册丨大东话安全
文章图片
第二阶段 , 针对知名协议的DDoS真实源攻击
小白:除了虚假源是不是还有真实源呀?
大东:哎呀 , 我们小白变聪明啦!这一阶段CC攻击(ChallengeCollapsar)的重大改变在于 , 它不再简单利用虚假源发起攻击 , 而是利用真实源(比如网上的代理服务器) , 对Web服务器发起攻击(HTTP) , 以耗尽服务器资源 。


推荐阅读