昨晚,网站被人打了,一个群里活跃的几位大佬网站,被无差别 DDoS ,峰值流量达到了 100G,基本上都被服务商封堵,进路由黑洞了。借这个机会,学习下 DDCC 究竟是什么,以及如何去防御,遭遇 DDCC 该怎么办?
什么是 DDCC ?
DDCC 其实是指 DDoS (分布式拒绝服务攻击,Distributed Denial of Service) 和 CC 攻击(ChallengeCollapsar)。
什么是 DDoS 攻击?
DDoS 中的 D 是指 Distributed, DOS 是 Denial of Service(拒绝服务)的缩写,那么,DDOS 就是 通过 N 多个计算机/服务器,向目标发动 DOS 攻击。
借助其他关于 DDOS 介绍的餐厅的例子,可能更加形象些。我开了一家餐厅,即网站或者其他服务,正常情况下,可以容纳 50 个人一起吃饭,在人没满的时候,你随便找个找个位置就能立马点餐吃上饭,即可以访问网站或者使用服务。然而,同行是冤家,我的餐厅生意好引来同行的眼红嫉妒,或者我得罪了一个流氓,他找来 500 个人,同时来餐厅,好像也是来吃饭的,即攻击。但是,餐厅的容量只有 50 个,根本不可能满足这么的点餐需求,同时,这么多人,把门口堵得死死的,让正常想用餐的人也无法来餐厅点餐吃饭,即拒绝服务,这样,等价于餐厅是瘫痪了,同行/流氓的目的也就达到了。
这就是 DDOS 攻击,在瞬间发起大量的请求,耗尽所有的服务器资源,导致无法提供正常的服务,导致服务器瘫痪。
DDOS 攻击手段有哪些?
DDOS 不是一种攻击,而是一大类攻击的总称。网站运行的各个环节,都可以是攻击目标。只要把一个环节攻破,使得整个流程跑不起来,就达到了瘫痪服务的目的。按照采取的攻击手段的和目标的不同,可以将 DDOS 攻击分为基于 ARP 的攻击、基于 ICMP 的攻击、基于 IP 的攻击、基 于UDP 的攻击、基于 TCP 的攻击和基于应用层的攻击。
基于 ARP
ARP 是无连接的协议,当收到攻击者发送来的 ARP 应答时。它将接收 ARP 应答包中所提供的信息。更新 ARP 缓存。因此,含有错误源地址信息的ARP请求和含有错误目标地址信息的 ARP 应答均会使上层应用忙于处理这种异常而无法响应外来请求,使得目标主机丧失网络通信能力。产生拒绝服务,如 ARP 重定向攻击。
基于 ICMP
攻击者向一个子网的广播地址发送多个 ICMP Echo 请求数据包。并将源地址伪装成想要攻击的目标主机的地址。这样,该子网上的所有主机均对此 ICMP Echo 请求包作出答复,向被攻击的目标主机发送数据包,使该主机受到攻击,导致网络阻塞。
基于 IP
TCP/IP 中的 IP 数据包在网络传递时,数据包可以分成更小的片段。到达目的地后再进行合并重装。在实现分段重新组装的进程中存在漏洞,缺乏必要的检查。利用IP报文分片后重组的重叠现象攻击服务器,进而引起服务器内核崩溃。如 Teardrop 是基于IP 的攻击。
基于 TCP —— SYN Flood
SYN Flood 攻击的过程在 TCP 协议中被称为三次握手(Three-way Handshake),而 SYN Flood 拒绝服务攻击就是通过三次握手而实现的。TCP 连接的三次握手中,假设一个用户向服务器发送了 SYN 报文后突然死机或掉线,那么服务器在发出 SYN+ACK 应答报文后是无法收到客户端的 ACK 报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送 SYN+ACK 给客户端)并等待一段时间后丢弃这个未完成的连接。服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。
基于应用层
应用层包括 SMTP,HTTP,DNS 等各种应用协议。其中 SMTP 定义了如何在两个主机间传输邮件的过程,基于标准 SMTP 的邮件服务器,在客户端请求发送邮件时,是不对其身份进行验证的。另外,许多邮件服务器都允许邮件中继。攻击者利用邮件服务器持续不断地向攻击目标发送垃圾邮件,大量侵占服务器资源。CC 攻击是应用层攻击的典型手段。
上述分类来自于百度百科 DDOS 攻击词条
什么是 CC 攻击?
CC 攻击本质上仍是 DDOS 的一种,攻击者借助代理服务器生成指向受害主机的合法请求,实现 DDOS 和伪装就叫 CC (Challenge Collapsar),CC攻击是目前应用层攻击的主要手段之一,借助代理服务器生成指向目标系统的合法请求,实现伪装和DDoS。
CC 主要是用来攻击页面的。我们都有这样的体验,访问一个静态页面,即使人多也不需要太长时间,但如果在高峰期访问论坛、贴吧等,那就很慢了,因为服务器系统需要到数据库中判断访问者否有读帖、发言等权限。访问的人越多,论坛的页面越多,数据库压力就越大,被访问的频率也越高,占用的系统资源也就相当可观。而现在的网站一般多是用 WordPress 或者 Typecho 或者其他的
CMS 等动态程序搭建,在解析的时候会占用一定的 CPU 资源与访问数据库,这就让 CC 攻击有了可趁之机。
二者的区别
DDoS 是针对 IP 的攻击,而 CC 攻击的是网页。
至于如何防御以及遇到攻击如何处理,请看下一篇文章
参考文章
百度百科“DDOS 攻击”词条:https://baike.baidu.com/item/DDOS
百度百科“CC 攻击”词条:https://baike.baidu.com/item/CC攻击
知乎问题 “什么是 DDoS 攻击?”: https://www.zhihu.com/question/22259175
