古老的手藝傳承不絕-DDOS

近日，一種利用Memcache作為DRDoS放大器進行放大的超大規模DDoS攻擊行為驚動了整個互聯網。

DDoS攻擊這種通過大量合法的請求佔用大量網路資源，以達到癱瘓網路的目的的攻擊也再一次被關注。

利用Memcached進行DDOS攻擊原理並不複雜，只是利用Memcached協議，發送大量帶有被害者IP地址的UDP數據包給放大?主機，然後放大器主機對偽造的IP地址源做出大量回應，形成分散式拒絕服務攻擊，從而形成DRDoS反射。

但是其兩個特點使得這種攻擊展現了前所未有的威力：

一是本次攻擊反射倍數較大，大致可達到5萬倍；

二是本次攻擊反射點帶寬充裕，主要來自IDC機房伺服器。

這兩者相加，使得攻擊者欣喜的發現，成本低、效果好、隱蔽性強的生財之道就在眼前，DDoS黑產大量的轉為以此種攻擊為主，也製造了TB級的單次攻擊流量記錄。

DDoS攻擊向來以簡單、粗暴、有效、難以防禦著稱。自從DDoS攻擊產業化以後，攻擊者多採用反射型攻擊作為主要武器進行全球範圍的打擊武器。主要看重的也是其流量放大倍數大，且具有很強的隱蔽性，難以進行攻擊定位。隨著網路基礎設施的建設完善，物聯網的高速發展，尤其是未來5G的建設，我們可預測的個人節點帶寬越來越大，個人與企業的出口帶寬的差異將進一步縮小。攻擊者可利用的資源進一步增加。DDoS攻擊的風險將進一步擴大。

實際的變化已經發生，除了本次利用Memcached進行DDOS攻擊的事件外，近年，攻擊者利用了大量不安全的物聯網設備發動了規模驚人的DDoS攻擊。也利用運行Google Android系統的手機和平板創建殭屍網路發動DDoS攻擊。2017年8月，谷歌從Play Store下架300款涉嫌用於發動DDoS攻擊的APP，約7萬台安卓設備受影響，波及上百個國家的用戶。

有一個事實是，目前在DDoS攻擊中，中國是DDoS攻擊受控攻擊源最多的國家，也是

受攻擊最嚴重的國家。所以對我們這些國內的從業者，面對的就是世界第一的DDoS攻擊形態。如何化解，尚需更多努力。

面對DDoS攻擊，理想狀態是，搭建四橫一縱的主動防禦體系。四橫分別是ISP近源清洗層；雲/CDN防禦層；DC近目的清洗層；主機防禦層。一縱是全網態勢感知溯源。鑒於成本考慮，目前多數的互聯網網站僅有主機級到DC級的保護。較大的網站能夠具備雲清洗、CDN防護、ISP近源清洗服務。全網態勢感知溯源尚需互聯網骨幹網進一步完善。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！