混合系统

DDoS攻击素来以成本低廉（相比防御）、效果显著、影响深远为攻击者所青睐，经过长时间的发展，DDoS攻击方式有很多种，最基本的DoS攻击利用单个合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DoS攻击通常采用一对一的方式，在目标系统带宽、内存、CPU等各项性能指标都不高时，具有明显的效果。随着网络技术的发展，计算机的处理能力迅速增长，内存大大增加，千兆级别的网络出现，目标系统的“消化能力”倍增，这时候，分布式的拒绝服务攻击手段——DDoS就出现了。

利用网络上已被攻陷的电脑作为“肉鸡”，通过一定方式组合形成数量庞大的“僵尸网络”，采用一对多的方式进行控制，向目标系统同时提出服务请求，杀伤力大幅度增加。DDoS攻、防对抗多年，从DoS到DDoS，从以流量取胜到以技巧取胜，从单一攻击到混合攻击，攻击手段正不断进化，本文将一一介绍最常见、最具代表性的攻击方式，企业运营者做到知己知彼，才能有备无患。

一、攻击带宽：以力取胜

如同城市堵车一样，当数据包超过带宽上限，就会出现网络拥堵、响应缓慢的情况。流量型DDoS攻击就是如此，发送海量数据包，顷刻占满目标系统的全部带宽，正常请求被堵在门外，拒绝服务的目的达成。

ICMPFlood

ICMP（Internet控制报文协议）用于在IP主机、路由器之间传递控制消息，控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息，虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。通过对目标系统发送海量数据包，就可以令目标主机瘫痪，如果大量发送就成了洪水攻击。

UDPFlood

UDP协议是一种无连接的服务，在UDPFlood中，攻击者通常发送大量伪造源IP地址的小UDP包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100kbps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。

上述传统的流量型攻击方式技术含量较低，伤人一千自损八百，攻击效果通常依赖受控主机本身的网络性能，而且容易被查到攻击源头，单独使用的情况已不常见。于是，具有四两拔千斤效果的反射型放大攻击就出现了。

NTPFlood

NTP是标准的基于UDP协议传输的网络时间同步协议，由于UDP协议的无连接性，方便伪造源地址。攻击者使用特殊的数据包，也就是IP地址指向作为反射器的服务器，源IP地址被伪造成攻击目标的IP，反射器接收到数据包时就被骗了，会将响应数据发送给被攻击目标，耗尽目标网络的带宽资源。一般的NTP服务器都有很大的带宽，攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器，就可给目标服务器带来几百上千Mbps的攻击流量。

因此，“问-答”方式的协议都可以被反射型攻击利用，将质询数据包的地址伪造为攻击目标地址，应答的数据包就会都被发送至目标，一旦协议具有递归效果，流量就被显著放大了，堪称一种“借刀杀人”的流量型攻击。

面对洪水般的流量，花高价进行抗D带宽扩容和多运营商链路冗余，虽一定程度可提升抗D能力，但面对大量攻击仍旧于事无补，而且浪费资源。知道创宇旗下抗DDoS云防御平台——抗D保，横跨全国的分布式数据中心，600G以上带宽抗DDoS，并可随时应急调用腾讯自有带宽1.5Tb，这使得抗D保拥有超过2个Tb的防御能力。 

二、攻击系统/应用：以巧取胜

这类型的DDoS攻击走的是巧劲，利用各种协议的行为特性、系统的缺陷、服务的脆弱性、软件的漏洞等等发起攻击，不断占用目标系统的资源以阻止它们处理正常事务和请求。

SYNFlood

这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。建立TCP连接，需要三次握手——客户端发送SYN报文，服务端收到请求并返回报文表示接受，客户端也返回确认，完成连接。

SYNFlood就是用户向服务器发送报文后突然死机或掉线，那么服务器在发出应答报文后就无法收到客户端的确认报文（第三次握手无法完成），这时服务器端一般会重试并等待一段时间后再丢弃这个未完成的连接。一个用户出现异常导致服务器的一个线程等待一会儿并不是大问题，但恶意攻击者大量模拟这种情况，服务器端为了维护数以万计的半连接而消耗非常多的资源，结果往往是无暇理睬客户的正常请求，甚至崩溃。从正常客户的角度看来，网站失去了响应，无法访问。

CC 攻击

CC攻击是目前应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的合法请求，实现伪装和DDoS。我们都有这样的体验，访问一个静态页面，即使人多也不需要太长时间，但如果在高峰期访问论坛、贴吧等，那就很慢了，因为服务器系统需要到数据库中判断访问者否有读帖、发言等权限。访问的人越多，论坛的页面越多，数据库压力就越大，被访问的频率也越高，占用的系统资源也就相当可观。

CC攻击就充分利用了这个特点，模拟多个正常用户不停地访问如论坛这些需要大量数据操作的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的请求，网络拥塞，正常访问被中止。这种攻击技术性含量高，见不到真实源IP，见不到特别大的异常流量，但服务器就是无法进行正常连接。

之所以选择代理服务器是因为代理可以有效地隐藏自己的身份，也可以绕开防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。当然也可以使用肉鸡来发动CC攻击，攻击者使用CC攻击软件控制大量肉鸡发动攻击，肉鸡可以模拟正常用户访问网站的请求伪造成合法数据包，相比前者来说更难防御。

CC攻击是针对Web服务在第七层协议发起的攻击，在越上层协议上发动DDoS攻击越难以防御，上层协议与业务关联愈加紧密，防御系统面临的情况也会更复杂。比如CC攻击中最重要的方式之一HTTPFlood，不仅会直接导致被攻击的Web前端响应缓慢，对承载的业务造成致命的影响，还可能会引起连锁反应，间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务。

由于CC攻击成本低、威力大，知道创宇安全专家组发现80%的DDoS攻击都是CC攻击。带宽资源严重被消耗，网站瘫痪；CPU、内存利用率飙升，主机瘫痪；瞬间快速打击，无法快速响应。知道创宇顶级安全研究团队为抗D保自主研发的Anti-CC防护引擎可以根据访问者的URL、频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。

抗D保-抗CC攻击数据（监控）

DNSQueryFlood

DNS作为互联网的核心服务之一，自然也是DDoS攻击的一大主要目标。DNSQueryFlood采用的方法是操纵大量傀儡机器，向目标服务器发送大量的域名解析请求。服务器在接收到域名解析请求时，首先会在服务器上查找是否有对应的缓存，若查找不到且该域名无法直接解析时，便向其上层DNS服务器递归查询域名信息。

通常，攻击者请求解析的域名是随机生成或者是网络上根本不存在的域名，由于在本地无法查到对应的结果，服务器必须使用递归查询向上层域名服务器提交解析请求，引起连锁反应。解析过程给服务器带来很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

根据微软的统计数据，一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的DNS服务器瘫痪，由此可见DNS服务器的脆弱性。

抗D保在全国多个城市采用分布式集群方式部署了上千台高效DNS服务器，从而保证各个地区的查询响应速度。抗D保的高防DNS服务，可有效解决突发的上亿级别的随机HOSTA记录查询攻击、递归DNS穿透攻击、DNS流量攻击等多种针对域名解析的攻击请求。

抗D保防御DNS攻击效果示意

三、混合攻击：流量与技巧并用

在实际情况中，攻击者只求达到打垮对方的目的，发展到现在，高级攻击者已经不倾向使用单一的攻击手段作战了，而是根据目标系统的具体环境灵动组合，发动多种攻击手段，既具备了海量的流量，又利用了协议、系统的缺陷，尽其所能地展开攻势。

对于被攻击目标来说，需要面对不同协议、不同资源的分布式的攻击，分析、响应和处理的成本就会大大增加。

抗D保拥有国内最大的抗D集群，使用腾讯宙斯盾流量清洗设备并结合由知道创宇研发的Anti-DDoS引擎，5秒发现恶意攻击，10秒快速阻断，2T带宽储备，通过多种防御手段，防御各种类型、形态的DDoS攻击，包括基于网络层的攻击，如TCPFlood、UDPFlood、ICMPFlood，以及应用层攻击，类似HTTPFlood这种试图耗尽服务器资源的攻击，同时可以有效防御各种反射攻击和僵尸网络攻击。

面对一次次攻击，即使是去年10月让美国半个互联网瘫痪的DDoS攻击事件，也只是让很多人小心脏稍微颤抖了几下，在大家的印象中，DDoS只是一阵海啸，很快就能恢复了往日的平静。但是，DDoS在互联网发展进程中已经留下了太多不可磨灭的破坏，许多企业就此一蹶不振。而且随着互联网+的不断推进，商业竞争的愈演愈烈，它的危害越来越大，任何企业组织都应该考虑自己的DDoS防护方案，而不是成为攻击的炮灰，也尽量避免遭受攻击后再亡羊补牢。

相关新闻

2016-12-20

2017-03-06

2017-07-28

2017-08-17

2017-09-04

7月24日，紫光旗下新华三集团（以下简称新华三）“融绘数字未来——2018新华三数字领航百城巡展”兰州站正式召开。作为本年度最为重要的市场活动之一，新华三将通过“数字领航百城巡展”向业界集中展示涵盖数字化基础设施、数字化平台和基于生态合作的数字化应用等多个层级的数字化解决方案全体系领先能力，并全面分享如何通过数字化创新推动百行百业的数字化转型。

2018新华三百城巡展兰州站-大会现场

百城百业，数字经济比重不断提升

数字技术与传统产业的结合，正在创造着全新的未来和无限可能。据毕马威的研究数据显示，2017年，数字经济在中国GDP中的占比达到36%，实现29万亿人民币的贡献。到2030年时，这一比例将会达到77%，超过153万亿人民币的GDP贡献将来自于数字经济。新华三认为，数字化转型是众多企业实现更好的生存与发展必须经历的过程，并提出数字化技术战略——“应用驱动，融绘数字未来”。

为探索新形势下城市经济数字化转型新路径，新华三已连续两年发布《中国城市数字经济指数白皮书》。今年3月发布的白皮书（总体信息详情可参见白皮书全文http://deindex.h3c.com/）调查评估显示，兰州市在数字经济评估中位于新兴者地位，处于数字经济的起步阶段。兰州市数字化发展潜力巨大，在数据基础方面构建了坚实的应用基础，并基于此一方面积极推动大数据等新兴产业的发展，另一方面借助良好的数据优势，带动传统产业不断进行数字化转型。

以创新和领先的数字化解决方案推动产业变革

作为数字化解决方案领导者，新华三将凭借在行业洞察、完备连接、全栈式云平台、高效数据引擎、主动安全、AI（人工智能）构建、数字生态汇聚和全生命周期专业服务等方面的领先能力，不断推动各领域产业升级与转型，促进数字经济的快速增长和可持续发展。

2018新华三百城巡展兰州站-展区

在本次巡展活动中，新华三向业界展示了其数字化技术的重要创新成果，包括新华三首创的物联时代准入管理系统鹰视2.0、集成全新人工智能引擎的网络管理平台iMC³、应用驱动网络解决方案ADNet　3.0、400G数据中心方案、ComwareV9网络操作系统、绿洲物联网平台2.0、安全云、云墙、大数据AI引擎、CloudOS3.0云管理平台、InfoSight先知智能运维系统等，以及架构咨询和新型智慧城市技术服务解决方案。目前，新华三可以为用户提供包括计算、存储、网络、安全的IT基础设施和云计算、大数据、物联网等创新平台，以及全生命周期咨询与服务在内的全方位数字化产品和解决方案，是国内极少数具有如此广泛和完备能力的领先企业之一。

新华三一直服务于兰州各行各业信息化建设，在政务、智慧城市、教育、交通、企业市场等领域拥有丰富的实践经验，打造了一大批数字化转型标杆。例如，在政务领域，甘肃省国税局采用新华三3PAR存储和高端光纤交换机完成内部数据库业务整合，提升数据利用效率；甘肃省检察院采用新华三全系列交换机、路由器、大数据产品及一体化运维平台，推动检察工作迈向科学化、数字化新阶段；在智慧城市建设方面，新华三为张掖市智慧城市建设提供从硬件到软件整体云平台方案，承载多项政务系统，加速服务交付速度；在教育领域，新华三为西北师范大学提供了完整的智慧校园整体解决方案，从计算、存储、网络、管理平台等多维度提升校园信息化改造进展，同时帮助甘肃能源化工职业学院构建了高效的虚拟化云课堂，创造人才培育新模式；在交通领域，新华三通过创新的网络解决方案和云平台建设赋能兰州中川国际机场基础通信网络建设，满足千余万人次旅客的网络需求；在企业网建设领域，新华三采用下一代园区网ADCampus解决方案，满足酒泉钢铁（集团）有限责任公司办公网络需求，并实现网络的自动化和运维可视化。

新华三集团副总裁、政府事业部总经理张浩

新华三集团副总裁、政府事业部总经理张浩表示，数字化转型的根本目的，是借助数字世界里强大的可连接、可汇聚、可推演的能力，进行产品、业务和商业模式创新，以更低的成本、更高的效率，为客户提供更好的服务和体验。作为数字化解决方案领导者，新华三将以全面领先的技术积累和丰富的行业实践经验，赋予兰州数字化转型升级的能力，助力兰州数字经济的快速发展。

关于新华三

新华三集团（简称新华三）作为数字化解决方案领导者，致力于成为客户业务创新、数字化转型最可信赖的合作伙伴。新华三拥有H3C品牌的全系列服务器、存储、网络、安全、超融合系统和IT管理系统等产品，能够提供大互联、大安全、云计算、大数据和IT咨询与服务在内的全方位数字化解决方案和产品的研发、生产、咨询、销售及服务。同时，新华三也是HPE品牌的服务器、存储和技术服务的中国独家提供商。

DoNews7月25日消息（记者程侃如）7月25日，招聘应用BOSS直聘宣布成立CSL（CareerScienceLab）职业科学实验室，将对国内“企业—劳动者”系统的资源配置做系统性研究。 

BOSS直聘方面表示，中国有将近6亿的白领在数千万家企业工作，但是对于职场人在工作中的成就感、幸福感、安全感，企业在人才竞争中的竞争力、洞察力及双方的匹配等问题缺乏系统性的研究，因此希望成立CSL职业科学实验室，从科学的角度，用严谨的方式，对“职业”这一门科学进行系统性的研究。 

CSL职业科学实验室由薛延波博士牵头组建。2018年7月薛延波博士加入BOSS直聘并担任BOSS直聘首席科学家。薛延波博士拥有13年机器学习方面研究经验，5年量子计算方面研究经验。曾担任商用量子计算机生产商D-WAVE量子计算机实验室高级深度学习科学家，从事量子计算机的性能测评、量子计算在深度学习和人工智能领域的应用、基于量子计算的模式识别等项目。 

薛延波认为，“职业科学（CareerScience）”事实上是心理学、社会学、经济学与计算科学、机器学习、数据挖掘的交叉。在研究中，研究团队将会将人文科学与机器学习技术进行有机结合，通过理论猜想—数据/实验验证的方式，完成对职业科学的探索。 

在具体实验室的运营上，CSL职业科学实验室主要聚焦在研究上，与BOSS直聘直接的产品迭代、运营没有特别的关系。BOSS直聘CEO赵鹏表示，成立这个实验室，在科学方法的基础上，构建职业科学领域的研究结构。

目前CSL职业科学实验室分别开放了“职业科学家”、“机器学习科学家”两个职位。工作内容均包括“研究、设计以及开发算法和模型，以便更好的理解人在个体层面和社会层面的职业需求。”两个职位的薪资水平在年薪50万元左右。（完）