大規模DDoS攻擊現在針對亞馬遜，Google和Pornhub

越來越多的黑客可能會接觸到強大的DDoS攻擊，這種攻擊可以達到1 Tbps以上，並迫使網站離線。

在上周攻擊Github 之後，這種新的增強型DDoS攻擊又把目標瞄準了Google、亞馬遜、Pornhub等主流網站，甚至還包括美國步槍協會。

Github成為了第一個關注度較高的受害者，遭受了1.35Tbps的攻擊，可能是當時最大的DDoS攻擊記錄。但幾天之後，一家未命名的美國服務提供商遭遇了一次單獨的攻擊，峰值流量高達1.7Tbps。

不幸的是，DDoS攻擊並沒有停止。奇虎360在一篇博文中表示，在過去七天內他們已經攻擊了超過7000個獨立IP地址。大部分目標都在美國和中國，包括Rockstargames.com，Minecraft.net和Playstation.net在內的遊戲網站都受到熱捧。

另外，DDoS攻擊已經轟炸了至少三個不同的NRA相關站點，而這些攻擊的背後究竟是誰，並不清楚，但各種目標表明必定有不少人參與行動。

DDoS防護提供商Radware同意奇虎360的發現，根據Radware安全研究人員DanielSmith的說法，這些攻擊中的許多都達到了500 Gbps到1 Tbps之間。但好消息是，它們很少能持續下去。

他說，互聯網服務提供商和網站都開始過濾，並將攻擊流量列入黑名單，因為攻擊流量是通過特定的網路埠到達的。其他像Google和亞馬遜這樣的公司則被設計來處理大量的輸入數據。

安全社區也在穩步處理所有攻擊的關鍵——易受攻擊的memcached伺服器。大約10萬個在線存儲系統在一周前被公開曝光。不過，Smith表示，伺服器所有者已經修復了大約6萬個伺服器。這意味著，還有40000台伺服器仍然可以被攻擊。

他還注意到另一個令人擔憂的發展。周二，一個主要的DDoS攻擊提供商Defcon.pro開始銷售由memcached伺服器驅動的攻擊。該平台擁有超過11,000的註冊用戶，並鼓勵所有用戶測試新功能。

史密斯說：「這是一場對memcached伺服器進行修補的競賽，在這些伺服器被廣泛利用之前，每個人都可以使用它們。」

360擁有一個網站，提供有關正在進行的攻擊的實時信息。自上個月開始以來，迄今為止已錄得約1.5萬次襲擊。

分散式拒絕服務攻擊

分散式拒絕服務(DDoS:Distributed Denial of Service)攻擊指藉助於客戶/伺服器技術，將多個計算機聯合起來作為攻擊平台，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在網路上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/伺服器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。

首先從一個比方來深入理解什麼是DDOS。

一群惡霸試圖讓對面那家有著競爭關係的商鋪無法正常營業，他們會採取什麼手段呢？（只為舉例，切勿模仿）惡霸們扮作普通客戶一直擁擠在對手的商鋪，賴著不走，真正的購物者卻無法進入；或者總是和營業員有一搭沒一搭的東扯西扯，讓工作人員不能正常服務客戶；也可以為商鋪的經營者提供虛假信息，商鋪的上上下下忙成一團之後卻發現都是一場空，最終跑了真正的大客戶，損失慘重。此外惡霸們完成這些壞事有時憑單幹難以完成，需要叫上很多人一起。嗯，網路安全領域中DoS和DDoS攻擊就遵循著這些思路。

在信息安全的三要素——「保密性」、「完整性」和「可用性」中，DoS（Denial of Service），即拒絕服務攻擊，針對的目標正是「可用性」。該攻擊方式利用目標系統網路服務功能缺陷或者直接消耗其系統資源，使得該目標系統無法提供正常的服務。

DdoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源，從而使合法用戶無法得到服務的響應。單一的DoS攻擊一般是採用一對一方式的，當攻擊目標CPU速度低、內存小或者網路帶寬小等等各項指標不高的性能，它的效果是明顯的。隨著計算機與網路技術的發展，計算機的處理能力迅速增長，內存大大增加，同時也出現了千兆級別的網路，這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少。這時候分散式的拒絕服務攻擊手段（DDoS）就應運而生了。DDoS就是利用更多的傀儡機（肉雞）來發起進攻，以比從前更大的規模來進攻受害者

攻擊方式

DDoS攻擊通過大量合法的請求佔用大量網路資源，以達到癱瘓網路的目的。 這種攻擊方式可分為以下幾種：

通過使網路過載來干擾甚至阻斷正常的網路通訊；

通過向伺服器提交大量請求，使伺服器超負荷；

阻斷某一用戶訪問伺服器；

阻斷某服務與特定系統或個人的通訊。IP Spoofing

IP欺騙攻擊是一種黑客通過向服務端發送虛假的包以欺騙伺服器的

DDOS攻擊示意圖

做法。具體說，就是將包中的源IP地址設置為不存在或不合法的值。伺服器一旦接受到該包便會返回接受請求包，但實際上這個包永遠返回不到來源處的計算機。這種做法使伺服器必需開啟自己的監聽埠不斷等待，也就浪費了系統各方面的資源。

LAND attack

這種攻擊方式與SYN floods類似，不過在LAND attack攻擊包中的源地址和目標地址都是攻擊對象的IP。這種攻擊會導致被攻擊的機器死循環，最終耗盡資源而死機。

ICMP floods

IpMPfloods是通過向未良好設置的路由器發送廣播信息佔用系統資源的做法。

Application

與前面敘說的攻擊方式不同，Application level floods主要是針對應用軟體層的，也就是高於OSI的。它同樣是以大量消耗系統資源為目的，通過向IIS這樣的網路服務程序提出無節制的資源申請來迫害正常的網路服務。

攻擊現象

被攻擊主機上有大量等待的TCP連接；

網路中充斥著大量的無用的數據包；

源地址為假 製造高流量無用數據，造成網路擁塞，使受害主機無法正常和外界通訊；

利用受害主機提供的傳輸協議上的缺陷反覆高速的發出特定的服務請求，使主機無法處理所有正常請求；

嚴重時會造成系統死機。

攻擊特點

分散式拒絕服務攻擊採取的攻擊手段就是分散式的，在攻擊的模式改變了傳統的點對點的攻擊模式，使攻擊方式出現了沒有規律的情況，而且在進行攻擊的時候，通常使用的也是常見的協議和服務，這樣只是從協議和服務的類型上是很難對攻擊進行區分的。在進行攻擊的時候，攻擊數據包都是經過偽裝的，在源IP 地址上也是進行偽造的，這樣就很難對攻擊進行地址的確定，在查找方面也是很難的。這樣就導致了分散式拒絕服務攻擊在檢驗方法上是很難做到的

攻擊特性

對分散式攻擊進行必要的分析，就可以得到這種攻擊的特性。分散式拒絕服務在進行攻擊的時候，要對攻擊目標的流量地址進行集中，然後在攻擊的時候不會出現擁塞控制。在進行攻擊的時候會選擇使用隨機的埠來進行攻擊，會通過數千埠對攻擊的目標發送大量的數據包，使用固定的埠進行攻擊的時候，會向同一個埠發送大量的數據包。

分類

按照TCP/IP協議的層次可將DDOS攻擊分為基於ARP的攻擊、基於ICMP的攻擊、基於IP的攻擊、基於UDP的攻擊、基於TCP的攻擊和基於應用層的攻擊。

基於ARP

ARP是無連接的協議，當收到攻擊者發送來的ARP應答時。它將接收ARP應答包中所提供的信息。更新ARP緩存。因此，含有錯誤源地址信息的ARP請求和含有錯誤目標地址信息的ARP應答均會使上層應用忙於處理這種異常而無法響應外來請求，使得目標主機喪失網路通信能力。產生拒絕服務，如ARP重定向攻擊。

基於ICMP

攻擊者向一個子網的廣播地址發送多個ICMP Echo請求數據包。並將源地址偽裝成想要攻擊的目標主機的地址。這樣，該子網上的所有主機均對此ICMP Echo請求包作出答覆，向被攻擊的目標主機發送數據包，使該主機受到攻擊，導致網路阻塞。

基於IP

TCP/IP中的IP數據包在網路傳遞時，數據包可以分成更小的片段。到達目的地後再進行合併重裝。在實現分段重新組裝的進程中存在漏洞，缺乏必要的檢查。利用IP報文分片後重組的重疊現象攻擊伺服器，進而引起伺服器內核崩潰。如Teardrop是基於IP的攻擊。

基於應用層

應用層包括SMTP，HTTP，DNS等各種應用協議。其中SMTP定義了如何在兩個主機間傳輸郵件的過程，基於標準SMTP的郵件伺服器，在客戶端請求發送郵件時，是不對其身份進行驗證的。另外，許多郵件伺服器都允許郵件中繼。攻擊者利用郵件伺服器持續不斷地向攻擊目標發送垃圾郵件，大量侵佔伺服器資源。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！