深入浅出DDoS攻击防御：攻击原理与演进分析

DDoS攻击基础

DDoS（Distributed Denial of Service，分布式拒绝服务）攻击的主要目的是使指定目标无法提供正常服务，甚至从互联网上消失。它是目前最强大、最难防御的攻击类型之一。

根据攻击方式，DDoS攻击可大致分为三类：

• 以力取胜型：海量数据包从互联网各处涌来，堵塞IDC入口，使硬件防御系统和应急流程失效。典型代表是ICMP Flood和UDP Flood，现已较少见。
• 以巧取胜型：攻击手法灵动且难以察觉，有时仅需少量数据包即可使服务器瘫痪。这类攻击通常利用协议或软件漏洞，例如Slowloris攻击、Hash冲突攻击等，需特定环境才能触发。
• 混合型：结合了上述两种特点，既利用协议/系统缺陷，又具备海量流量。例如SYN Flood、DNS Query Flood，是当前主流的攻击方式。

下文将详细介绍几种最具代表性的攻击方式及其防御思路。

SYN Flood

SYN Flood是互联网上最经典的DDoS攻击方式之一，最早出现于1999年。它利用了TCP三次握手的缺陷，能以较小代价使目标服务器无法响应，且难以追查。

标准的TCP三次握手过程如下：

1. 客户端发送一个包含SYN标志的TCP报文，指明使用的端口及TCP初始序号。
2. 服务器收到后，返回一个SYN+ACK报文，表示接受请求，同时TCP初始序号加1。
3. 客户端返回一个ACK确认报文给服务器，TCP序列号同样加1。

至此，TCP连接建立完成。如果服务器在第三步未收到客户端的ACK报文，会一直处于SYN_RECV状态，并将客户端IP加入等待列表，重发SYN+ACK报文（一般重试3-5次，间隔约30秒）。在此期间，服务器会预分配资源保存连接信息。当SYN_RECV状态数量超过服务器极限时，将不再接受新的SYN报文，即拒绝建立新的TCP连接。

SYN Flood正是利用这一机制：攻击者伪造大量不存在的IP地址向服务器发送SYN报文。由于伪造IP几乎不会回应，服务器会维持庞大的等待列表并不断重试，占用大量资源。最终，SYN_RECV队列被占满，合法用户无法完成握手，服务因此被拒绝。

DNS Query Flood

DNS作为互联网核心服务，自然成为DDoS攻击的重要目标。攻击DNS可间接导致企业业务或地区网络服务瘫痪。

UDP攻击易于发起海量流量且源IP随机伪造，但较易过滤（因多数IP不提供UDP服务）。因此，纯粹的UDP攻击已较少见，取而代之的是基于UDP的DNS Query Flood。攻击越上层协议，防御越复杂，因为协议与业务关联更紧密。

DNS Query Flood指攻击者操纵大量傀儡机，向目标发起海量域名查询请求。为提高随机性以绕过ACL过滤，攻击者通常在UDP层随机伪造源IP、源端口；在DNS协议层随机伪造查询ID和待解析域名。随机域名还能降低DNS缓存命中率，尽可能消耗服务器CPU资源。

HTTP Flood

SYN Flood和DNS Query Flood目前已能较有效防御，真正令企业头疼的是HTTP Flood（第七层攻击）。其危害主要体现在三方面：发起方便、过滤困难、影响深远。

前两种攻击需攻击者控制大量root权限傀儡机，资源获取和维护成本高。HTTP Flood则不同：攻击者通过扫描互联网获取大量匿名HTTP或SOCKS代理，通过这些代理向目标发起HTTP请求。代理资源相对丰富，使得攻击易于发起且可持续高强度进行。

此外，HTTP Flood模仿正常用户请求，与网站业务紧密相关，难以制定通用且不影响用户体验的防御规则。攻击还会引发连锁反应：不仅导致Web前端响应缓慢，还会增加后端业务逻辑、数据库乃至日志服务器的压力。

HTTP Flood在业内常被称为CC攻击（Challenge Collapsar），其中Collapsar是国内某知名安全公司的DDoS防御设备。至今，所有硬件防御设备仍面临此类挑战。

慢速连接攻击

与海量流量攻击相反，慢速连接攻击以“慢”著称，典型代表是rsnake发明的Slowloris。

HTTP协议规定，HTTP Request以rnrn结尾表示客户端发送结束。如果攻击者始终不发送rnrn，服务器会认为请求头未接收完成而一直等待。Slowloris通过在HTTP头中设置Connection: Keep-Alive，保持TCP连接不断开，并缓慢间隔发送数据（如a:brn）。若使用多线程或傀儡机进行同样操作，服务器的Web容器很快会被占满TCP连接，无法接受新请求。

Slowloris已有多种变种，例如通过POST方法提交数据、设置超大Content-Length但缓慢发送数据内容等。

DDoS攻击进阶

混合攻击

高级攻击者从不使用单一手段，而是根据目标环境灵活组合攻击方式。

• SYN Flood增强：在SYN Flood中混入SYN+ACK数据包，使每个伪造的SYN都有对应的伪造客户端确认报文（源IP、端口、窗口大小等特征一致），大幅增加清洗设备的反向探测和SYN Cookie处理压力。
• DNS Query Flood技巧：攻击授权域DNS时，伪造的源IP应使用事先收集的全球ISP DNS地址，而非完全随机，使清洗设备陷入是否添加IP黑名单的两难境地。同时，待解析域名需部分随机、部分固定，以突破白名单机制。攻击还可同时针对UDP和TCP端口。
• HTTP Flood优化：通过HTTP头字段设置绕过前端缓存，直接到达Web Server；选择正常用户也通过APP访问的页面（如Web API）作为目标，使人机识别难度大增。
• 慢速攻击增强：通过无状态（stateless）方式发动攻击，客户端通过嗅探捕获TCP序列号和确认号来维持连接，系统内核无需维护TCP状态，单台机器即可建立大量连接。

攻击时机也至关重要，例如选择维护人员用餐、下班通勤时段，或目标企业举行大型活动流量飙升时发动攻击。

来自P2P网络的攻击

P2P网络中的用户和流量极为庞大，若被利用，可产生难以抵御的攻击力。

基础攻击方式包括伪造热门资源（如视频种子）发布到搜索引擎，诱使用户下载，从而汇聚大量真实IP流量。更高级的攻击则直接欺骗资源管理服务器：通过协议逆向，伪造大批热门资源信息并通过资源管理中心分发，瞬间传遍整个P2P网络。此类攻击一旦发起，甚至攻击者自身也难以停止，直至官方更新服务器且用户重启客户端。

总结

DDoS攻击手法多样，从简单的流量洪泛到精巧的应用层慢速攻击，再到混合攻击与P2P网络利用，攻击者不断演进战术。防御者需深入理解各种攻击原理，并采取多层次、动态化的防护策略。攻击与防御的对抗将持续演进，唯有保持技术敏感与体系化建设，才能在不断变化的威胁环境中立于不败之地。