網絡安全防護之深入淺出談DDoS攻擊防御——攻擊篇(3)

　　另一方面，前面提到，為了加大清洗設備的壓力不命中緩存而需要隨機化請求的域名，但需要注意的是，待解析域名必須在偽造中帶有一定的規律性，比如說只偽造域名的某一部分而固化一部分，用來突破清洗設備設置的白名單。道理很簡單，騰訊的服務器可以只解析騰訊的域名，完全隨機的域名可能會直接被丟棄，需要固化。但如果完全固定，也很容易直接被丟棄，因此又需要偽造一部分。

　　其次，對DNS的攻擊不應該只著重于UDP端口，根據DNS協議，TCP端口也是標準服務。在攻擊時，可以UDP和TCP攻擊同時進行。

　　HTTP Flood的著重點，在于突破前端的cache，通過HTTP頭中的字段設置直接到達Web Server本身。另外，HTTP Flood對目標的選取也非常關鍵，一般的攻擊者會選擇搜索之類需要做大量數據查詢的頁面作為攻擊目標，這是非常正確的，可以消耗服務器盡可能多的資源。但這種攻擊容易被清洗設備通過人機識別的方式識別出來，那么如何解決這個問題?很簡單，盡量選擇正常用戶也通過APP訪問的頁面，一般來說就是各種Web API。正常用戶和惡意流量都是來源于APP，人機差別很小，基本融為一體難以區分。

　　之類的慢速攻擊，是通過巧妙的手段占住連接不釋放達到攻擊的目的，但這也是雙刃劍，每一個TCP連接既存在于服務端也存在于自身，自身也需要消耗資源維持TCP狀態，因此連接不能保持太多。如果可以解決這一點，攻擊性會得到極大增強，也就是說Slowloris可以通過stateless的方式發動攻擊，在客戶端通過嗅探捕獲TCP的序列號和確認維護TCP連接，系統內核無需關注TCP的各種狀態變遷，一臺筆記本即可產生多達65535個TCP連接。

　　前面描述的，都是技術層面的攻擊增強。在人的方面，還可以有一些別的手段。如果SYN Flood發出大量數據包正面強攻，再輔之以Slowloris慢速連接，多少人能夠發現其中的秘密?即使服務器宕機了也許還只發現了SYN攻擊想去加強 TCP層清洗而忽視了應用層的行為。種種攻擊都可以互相配合，達到最大的效果。攻擊時間的選擇，也是一大關鍵，比如說選擇維護人員吃午飯時、維護人員下班堵在路上或者在地鐵里無線上網卡都沒有信號時、目標企業在舉行大規?；顒恿髁匡j升時等。

　　這里描述的只是純粹的攻擊行為，因此不提供代碼，也不做深入介紹。

　　2.2. 來自P2P網絡的攻擊

　　前面的攻擊方式，多多少少都需要一些傀儡機，即使是HTTP Flood也需要搜索大量的匿名代理。如果有一種攻擊，只需要發出一些指令，就有機器自動上來執行，才是完美的方案。這種攻擊已經出現了，那就是來自P2P網絡的攻擊。

　　大家都知道，互聯網上的P2P用戶和流量都是一個極為龐大的數字。如果他們都去一個指定的地方下載數據，使成千上萬的真實IP地址連接過來，沒有哪個設備能夠支撐住。拿BT下載來說，偽造一些熱門視頻的種子，發布到搜索引擎，就足以騙到許多用戶和流量了，但這只是基礎攻擊。

　　高級P2P攻擊，是直接欺騙資源管理服務器。如迅雷客戶端會把自己發現的資源上傳到資源管理服務器，然后推送給其他需要下載相同資源的用戶，這樣，一個鏈接就發布出去。通過協議逆向，攻擊者偽造出大批量的熱門資源信息通過資源管理中心分發出去，瞬間就可以傳遍整個P2P網絡。更為恐怖的是，這種攻擊是無法停止的，即使是攻擊者自身也無法停止，攻擊一直持續到P2P官方發現問題更新服務器且下載用戶重啟下載軟件時為止。

　　3. 總結

　　限于篇幅，DDoS攻擊的介紹就寫這么多，而且我也不愿意對這個做更進一步的闡述了——理解防御這么多已經夠用了。

　　總的來說，DDoS攻擊可以很靈巧，可以很優美。運用之妙，存乎一心。

原文轉自：http://blog.aliyun.com/243?spm=0.0.0.0.OS0war