DDOS

1.什么是DDOS

DDOS（分布式拒绝服务），这种攻击手法是通过借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动攻击。

2.通俗理解DDOS

一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业，他们会采取什么手段呢？（只为举例，切勿模仿）恶霸们扮作普通客户一直拥挤在对手的商铺，赖着不走，真正的购物者却无法进入；或者总是和营业员有一搭没一搭的东扯西扯，让工作人员不能正常服务客户；也可以为商铺的经营者提供虚假信息，商铺的上上下下忙成一团之后却发现都是一场空，最终跑了真正的大客户，损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成，需要叫上很多人一起。

3.DDoS 黑产团伙 “分工协作”详解 @ 腾讯“守护者计划”

DDoS 攻击犯罪已经进入产业化时代——从以往的需要专业黑客实施全部攻击过程的行为，发展成由发单人、攻击实施人、肉鸡商、出量人、黑客攻击软件作者、担保人等多个犯罪个体共同参与实施的产业化犯罪行为。此次江苏某网络公司 DDoS 流量攻击案件，便是 DDoS 攻击产业链化的典型例子。

名词解释

●    发单人：他们属于整个DDOS攻击黑色产业链中，链条顶端的角色。由他们出资并发出对具体网站或服务器的攻击需求的人。

●    攻击实施人：指的是接受攻击指令并执行攻击的人。

●    肉鸡商：是侵入计算机系统的实施人，或者买卖被侵入计算机系统权限的中间商。

●    出量人：拥有控制服务器权限和网络流量的人。

●    担保人：黑产行业内“信誉”较高的人，负责双方资金中转，也会从中抽取一定好处费

问答

1.常见的发单人主要是谁？他们的目的是什么？

发单人分类、攻击目的

2.攻击实施人他们的攻击方式有哪些？

按照@腾讯 文章内所提及的攻击方式主要有两种：一种是利用软件、工具操纵肉鸡模拟访问，占用目标的服务器CPU资源，导致正常用户无法访问。

另外一种是通过发送大量流量攻击目标服务器，导致服务器无法访问网络。而这里所用的软件或者攻击有一部分来源是整个黑色产业链中的一个重要角色，我们称他们为黑客软件作者。黑客软件作者根据用户的需求开发相应的非法攻击程序，从而谋利。

这也是为什么有一部分攻击实施人他们压根就不懂什么是DDOS攻击、服务器搭建、肉鸡，他们只要会用黑客软件作者开发好的软件就能够对目标实施攻击。

3.肉鸡是什么？这些肉鸡的来源？

这里说的肉鸡主要说的是傀儡机，通俗的说就是被黑客远程控制的机器。那么在需求量这么大的DDOS产业链下这些肉鸡又是从何而来？

这些黑色产业链的从业者会利用后门程序（绕过安全性控制而获取对程序或系统访问权的程序方法）配合各种各样的安全漏洞，获得个人计算机和服务器的控制权限，植入木马，使得这些计算机变成实施DDOS攻击的肉鸡。

其实，在这个庞大黑色产业链下它们彼此关系相互紧扣。单凭肉鸡这方面就可以引出黑色产业的另一个大头“远控木马”，而这些远控木马最恨的当然就是我们这些从事反病毒的人群。

4.DDOS的攻击模式有哪些？它们有什么区别？@皆明

常见的DDOS攻击模式分为3大类，分别是连续耗尽型、带宽耗尽型、应用层攻击。

连续耗尽型：SYN Flood、连接数攻击

宽带耗尽型：Ack Flood、ICMP Flood、UDP Flood、分片攻击

应用层攻击：HTTP Get Flood、CC攻击、HTTP POST攻击、DNS Flood

SYN Flood

这种攻击模式中医药是伪造大量的TCP连接请求，使得被攻击的目资源被耗尽。被这种攻击模式攻击的现象主要体现：CPU满负荷、内存不足。防御手法常见的有三种：

●    缩短SYN TIMEOUT 建议20s

缺点：无法应对高频率攻击

●    设置SYN COOKIE，对请求IP设置COOKIE，判断和拦截攻击IP

缺点：依赖真是IP，无法应对大量真实IP攻击。

●    DCN防火墙

缺点：钱

连接数攻击

发起大量的访问请求，直至目标负荷不过来。比喻：*晗去沙县小吃吃了一份蒸饺，第二天粉丝纷纷涌去这家沙县小吃。某次小鲜肉公开自己女朋友，个人感觉也算是连接数攻击了。

Ack Flood

在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。

如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开发，则主机操作系统协议栈会回应RST包告诉对方此端口不存在。

抓包截图

个人理解就是攻击实施人通过ACK Flood向目标服务器进行攻击，而服务器在受到大量的ACK Flood攻击的结果就是服务器需要处理这些数据包。面对这些不合法的数据包，无论数据包中所指向的目的端口是否存在，都会占用服务器资源。

因为如果数据包中所指向的目的端口没有开放，服务器将直接丢弃数据包，如果端口开放，服务器要回应RST。面对大量的此类动作都会耗费服务器的CPU资源，从而达到攻击目的。

ACK Flood的攻击现象：服务器收到ACK包的频率异常，就是通过所谓的对称型判断，当手法异常大于发包，则可能是因为攻击者采用了大量的ACK包进行攻击。为了攻击速度，一般采用内容基本一致的小包发送。

ICMP Flood

通过对其目标发送超过65535字节的数据包，就可以令目标主机瘫痪，如果大量发送就成了洪水攻击。

防范手段：当出现ICMP Flood攻击的时候，只要禁止ping就行了，ICMP Flood对那些没有禁ping的电脑有效，不管攻击实施人有多少肉鸡，只要禁PING，就能够有效防御。

普通用户可以通过设置实现自身电脑禁PING，具体步骤可以参考下面的链接。

如何禁止ping

UDP Flood

向目标服务器发起大量的UDP报文，这类报文通常为大包，且速度非常快。通常会造成服务器资源耗尽，无法响应正常请求，严重时会导致链路拥塞。

防御手法：提取UDP攻击报文特征，拦截丢弃匹配黑特征的UDP数据报文。比如说包的大小、请求的端口是否为业务端口之类的。

CC攻击

借助代理服务器生成指向受害主机的合法请求，实现DDOS和伪装就叫：CC(ChallengeCollapsar)。

根据百度的介绍CC攻击的特点主要是模拟大量的用户不停的进行访问，而这些访问操作服务器需要进行大量的数据操作，这段时间会占用资源，损耗CPU时间。

比方说我们去鞋店买鞋，竞争门店雇佣了一批恶意用户去鞋店要求服务员不停的去后台查找他们需要的冷门的尺码鞋款。需求大的情况下，就会影响鞋店正常的运作。

防御CC攻击常见手法：

●    禁止网站代理访问，尽量将网站做成静态页面。

●    限制连接数量

●    修改最大超时时间

●    ......

其他的攻击模式

DDoS攻击模式介绍

获利手法

前面提到DDOS攻击被利用于打压竞争对手，但在这条DDOS黑色产业链中，根据报道得知从事DDOS黑色产业链的人群数量已经达到了45万余人，他们的获利手法当然不会仅仅体现在打压竞争对手这么单一。

譬如：

●    创业公司、小公司

创业公司或小公司在发展初期都没有相对成熟的防御体系，已经专门对抗和处理安全威胁的岗位。攻击实施人瞄准这块攻击成本小，获利方便，从而对其进行敲诈勒索。

●    商业恶性竞争

除了我们提及的非法平台的相互竞争打压，在庞大的互联网行业里潜伏在地下的竞争手段也尤为恐怖，一些竞争者甚至为了利益不择手段、不顾法纪通过联系相关DDOS从业人员购买攻击服务，打压竞争对手的业务活动，打击对手的声誉，从中获取竞争优势。其中，电商荷叶和在线游戏行业则是重灾区。

DDOS黑色产业链结构

结构图

DDOS攻击程序

通过爬虫爬取了互联网上公开的DDOS工具的名称，利用脚本制作了DDOS攻击程序的WordCloud。

DDOS（WordCloud）

最后

还是觉得我们只有能够像黑产从业者那样去思考，站在他们的角度去研究分析整个黑色产业链，才能够更好与其对抗。