正常分析

DDoS攻击素来以成本低廉（相比防御）、效果显著、影响深远为攻击者所青睐，经过长时间的发展，DDoS攻击方式有很多种，最基本的DoS攻击利用单个合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DoS攻击通常采用一对一的方式，在目标系统带宽、内存、CPU等各项性能指标都不高时，具有明显的效果。随着网络技术的发展，计算机的处理能力迅速增长，内存大大增加，千兆级别的网络出现，目标系统的“消化能力”倍增，这时候，分布式的拒绝服务攻击手段——DDoS就出现了。

利用网络上已被攻陷的电脑作为“肉鸡”，通过一定方式组合形成数量庞大的“僵尸网络”，采用一对多的方式进行控制，向目标系统同时提出服务请求，杀伤力大幅度增加。DDoS攻、防对抗多年，从DoS到DDoS，从以流量取胜到以技巧取胜，从单一攻击到混合攻击，攻击手段正不断进化，本文将一一介绍最常见、最具代表性的攻击方式，企业运营者做到知己知彼，才能有备无患。

一、攻击带宽：以力取胜

如同城市堵车一样，当数据包超过带宽上限，就会出现网络拥堵、响应缓慢的情况。流量型DDoS攻击就是如此，发送海量数据包，顷刻占满目标系统的全部带宽，正常请求被堵在门外，拒绝服务的目的达成。

ICMPFlood

ICMP（Internet控制报文协议）用于在IP主机、路由器之间传递控制消息，控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息，虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。通过对目标系统发送海量数据包，就可以令目标主机瘫痪，如果大量发送就成了洪水攻击。

UDPFlood

UDP协议是一种无连接的服务，在UDPFlood中，攻击者通常发送大量伪造源IP地址的小UDP包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100kbps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。

上述传统的流量型攻击方式技术含量较低，伤人一千自损八百，攻击效果通常依赖受控主机本身的网络性能，而且容易被查到攻击源头，单独使用的情况已不常见。于是，具有四两拔千斤效果的反射型放大攻击就出现了。

NTPFlood

NTP是标准的基于UDP协议传输的网络时间同步协议，由于UDP协议的无连接性，方便伪造源地址。攻击者使用特殊的数据包，也就是IP地址指向作为反射器的服务器，源IP地址被伪造成攻击目标的IP，反射器接收到数据包时就被骗了，会将响应数据发送给被攻击目标，耗尽目标网络的带宽资源。一般的NTP服务器都有很大的带宽，攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器，就可给目标服务器带来几百上千Mbps的攻击流量。

因此，“问-答”方式的协议都可以被反射型攻击利用，将质询数据包的地址伪造为攻击目标地址，应答的数据包就会都被发送至目标，一旦协议具有递归效果，流量就被显著放大了，堪称一种“借刀杀人”的流量型攻击。

面对洪水般的流量，花高价进行抗D带宽扩容和多运营商链路冗余，虽一定程度可提升抗D能力，但面对大量攻击仍旧于事无补，而且浪费资源。知道创宇旗下抗DDoS云防御平台——抗D保，横跨全国的分布式数据中心，600G以上带宽抗DDoS，并可随时应急调用腾讯自有带宽1.5Tb，这使得抗D保拥有超过2个Tb的防御能力。 

二、攻击系统/应用：以巧取胜

这类型的DDoS攻击走的是巧劲，利用各种协议的行为特性、系统的缺陷、服务的脆弱性、软件的漏洞等等发起攻击，不断占用目标系统的资源以阻止它们处理正常事务和请求。

SYNFlood

这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。建立TCP连接，需要三次握手——客户端发送SYN报文，服务端收到请求并返回报文表示接受，客户端也返回确认，完成连接。

SYNFlood就是用户向服务器发送报文后突然死机或掉线，那么服务器在发出应答报文后就无法收到客户端的确认报文（第三次握手无法完成），这时服务器端一般会重试并等待一段时间后再丢弃这个未完成的连接。一个用户出现异常导致服务器的一个线程等待一会儿并不是大问题，但恶意攻击者大量模拟这种情况，服务器端为了维护数以万计的半连接而消耗非常多的资源，结果往往是无暇理睬客户的正常请求，甚至崩溃。从正常客户的角度看来，网站失去了响应，无法访问。

CC 攻击

CC攻击是目前应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的合法请求，实现伪装和DDoS。我们都有这样的体验，访问一个静态页面，即使人多也不需要太长时间，但如果在高峰期访问论坛、贴吧等，那就很慢了，因为服务器系统需要到数据库中判断访问者否有读帖、发言等权限。访问的人越多，论坛的页面越多，数据库压力就越大，被访问的频率也越高，占用的系统资源也就相当可观。

CC攻击就充分利用了这个特点，模拟多个正常用户不停地访问如论坛这些需要大量数据操作的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的请求，网络拥塞，正常访问被中止。这种攻击技术性含量高，见不到真实源IP，见不到特别大的异常流量，但服务器就是无法进行正常连接。

之所以选择代理服务器是因为代理可以有效地隐藏自己的身份，也可以绕开防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。当然也可以使用肉鸡来发动CC攻击，攻击者使用CC攻击软件控制大量肉鸡发动攻击，肉鸡可以模拟正常用户访问网站的请求伪造成合法数据包，相比前者来说更难防御。

CC攻击是针对Web服务在第七层协议发起的攻击，在越上层协议上发动DDoS攻击越难以防御，上层协议与业务关联愈加紧密，防御系统面临的情况也会更复杂。比如CC攻击中最重要的方式之一HTTPFlood，不仅会直接导致被攻击的Web前端响应缓慢，对承载的业务造成致命的影响，还可能会引起连锁反应，间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务。

由于CC攻击成本低、威力大，知道创宇安全专家组发现80%的DDoS攻击都是CC攻击。带宽资源严重被消耗，网站瘫痪；CPU、内存利用率飙升，主机瘫痪；瞬间快速打击，无法快速响应。知道创宇顶级安全研究团队为抗D保自主研发的Anti-CC防护引擎可以根据访问者的URL、频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。

抗D保-抗CC攻击数据（监控）

DNSQueryFlood

DNS作为互联网的核心服务之一，自然也是DDoS攻击的一大主要目标。DNSQueryFlood采用的方法是操纵大量傀儡机器，向目标服务器发送大量的域名解析请求。服务器在接收到域名解析请求时，首先会在服务器上查找是否有对应的缓存，若查找不到且该域名无法直接解析时，便向其上层DNS服务器递归查询域名信息。

通常，攻击者请求解析的域名是随机生成或者是网络上根本不存在的域名，由于在本地无法查到对应的结果，服务器必须使用递归查询向上层域名服务器提交解析请求，引起连锁反应。解析过程给服务器带来很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

根据微软的统计数据，一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的DNS服务器瘫痪，由此可见DNS服务器的脆弱性。

抗D保在全国多个城市采用分布式集群方式部署了上千台高效DNS服务器，从而保证各个地区的查询响应速度。抗D保的高防DNS服务，可有效解决突发的上亿级别的随机HOSTA记录查询攻击、递归DNS穿透攻击、DNS流量攻击等多种针对域名解析的攻击请求。

抗D保防御DNS攻击效果示意

三、混合攻击：流量与技巧并用

在实际情况中，攻击者只求达到打垮对方的目的，发展到现在，高级攻击者已经不倾向使用单一的攻击手段作战了，而是根据目标系统的具体环境灵动组合，发动多种攻击手段，既具备了海量的流量，又利用了协议、系统的缺陷，尽其所能地展开攻势。

对于被攻击目标来说，需要面对不同协议、不同资源的分布式的攻击，分析、响应和处理的成本就会大大增加。

抗D保拥有国内最大的抗D集群，使用腾讯宙斯盾流量清洗设备并结合由知道创宇研发的Anti-DDoS引擎，5秒发现恶意攻击，10秒快速阻断，2T带宽储备，通过多种防御手段，防御各种类型、形态的DDoS攻击，包括基于网络层的攻击，如TCPFlood、UDPFlood、ICMPFlood，以及应用层攻击，类似HTTPFlood这种试图耗尽服务器资源的攻击，同时可以有效防御各种反射攻击和僵尸网络攻击。

面对一次次攻击，即使是去年10月让美国半个互联网瘫痪的DDoS攻击事件，也只是让很多人小心脏稍微颤抖了几下，在大家的印象中，DDoS只是一阵海啸，很快就能恢复了往日的平静。但是，DDoS在互联网发展进程中已经留下了太多不可磨灭的破坏，许多企业就此一蹶不振。而且随着互联网+的不断推进，商业竞争的愈演愈烈，它的危害越来越大，任何企业组织都应该考虑自己的DDoS防护方案，而不是成为攻击的炮灰，也尽量避免遭受攻击后再亡羊补牢。

相关新闻

2016-12-20

2017-03-06

2017-07-28

2017-08-17

2017-09-04

苗逊 |7月23日讯

当KristinCarnage正在《魔兽世界》的主城中穿梭时，一个陌生人忽然出现在她的女性角色面前。此人强行打开了交易窗口并送给了姑娘一大把金币。在接下来几天里，这个操作着男性角色的家伙不仅积极地帮助Carnage在游戏里攻坚克难，还时不时地通过游戏内邮件给她寄来各种各样的小玩具。

“说真的这感觉很奇怪。”28岁的Carnage描述道，“我后来把大部分金币都退了回去。我可不想变成别人嘴里那种‘因为我是女孩儿所以送我礼物天经地义’的女人。”在她九年的MMO生涯里，Carnage曾遭遇过要电话号码、真人照片、甚至是提供网络文爱、线下夫妻交换等等无礼要求。“仿佛那些人都认为因为我是女人，所以提供这些服务理所当然是我的义务，他们愿意为此花钱，也许他们依然单纯到认为钱能买下一切事物。”

在全球网游圈子里有这么一种比喻，或者说一种不幸的刻板印象——在MMO的世界里，女玩家能够轻易地得到一切。无论是金币，礼物，刷级还是下副本，只要你是女人，只要你能略展姿色，向男性玩家发送自己的裸照、提供虚拟性爱或者和对方在游戏内组成CP，什么都是唾手可得的。

谈到网游里的包养现象，许多玩家至今仍会提起当年在Craigslist（类似于国内的58同城）网站上发生的那件事。早在2007年，一名31岁的女性在该网站的魔兽世界版块里发布了以提供性服务为代价交换金币的帖子：“我需要五千金币来购买史诗飞行坐骑，作为回报，你可以‘骑’我。”当这篇在当年看来惊为天人的帖子在魔兽社区里迅速发酵时，该女性重新编辑了自己的帖子并表示在帖子发出后的一个小时之内自己就圆了购买飞行坐骑之梦。“与此同时，你们这些蠢货还在为了一点一点地积攒金币而不停地打本。”她用嘲讽的语气写道。自此，由这篇帖子与它所造成的社会影响对普通女性网游玩家所造成的长达多年的困扰与无奈开始了。

当然，虽然名为MMO，但是对于喜欢独来独往的玩家来说，并不意味着一定要时刻和别人组队共同游戏，帮助那些低级玩家刷副本也算是积极行善的行为，而节日礼物一直是魔兽世界各种季节性活动的重要组成部分。有时公会成员由于需要从拍卖行购买新装备，主动寄给他们几千金也不会让人伤筋动骨。但是根据受访者的表述。现在的网游里“乐于助人”与“包养”之间的界线已经变得越来越模糊。

《魔兽世界》里确实不乏一些外观诱人的装备他希望我在他的角色前跪下，就好像我俩正在同房一样。

Chia今年27岁，是网游《最终幻想14》的忠实玩家，曾被要求在游戏里摆出各种特定姿势以满足对方猥琐的幻想。在本作里，女性角色有一些独有的表情动作，其中有几个确实颇具性感韵味儿。比如在做“飞吻动作”（游戏内指令/blowkiss）时，女性角色会把腰部前倾，臀部翘起，着实诱惑。最近开发商SquareEnix还加入了新动作“打瞌睡”以满足那些想让角色躺下来的玩家需求。

按照Chia的话说，自从十八个月前在主城里偶然相遇后，一个操作着精灵角色的陌生人一直对自己进行着持续的性骚扰行为，对方希望付钱以交换双方在游戏里模拟做出各种过激的姿势，而且相当坚持不懈。“他希望我向他献上飞吻，然后在他的角色面前跪下，就好像我俩正在同房一样。”Chia在电话里忿忿地说道。

作为“诚意”的表现，那个陌生人愿意向Chia支付一大笔钱，同时表示可以陪她一起下极蛮神副本，出了什么好东西都是她的。有时陌生人会问她今天穿的什么衣服，她通常都会以将要赶赴现实中的约会为由将话题支开，但是当那只掉落概率奇低无比、浑身被火焰所包围的酷炫蛮神坐骑真的摆在自己面前时，巨大的诱惑下，Chia有那么一瞬间差点就答应对方的要求了，但好在最终还是守住了底线。

Chia在《最终幻想14》里的角色我告诉自己以后一定会建立属于自己的基金，这样就能回报他的恩情了。

当然，不是所有的“糖爸爸们”都表现的像前面几位那么急不可耐。23岁的Malkeria是韩国经典网游《洛奇》的多年粉丝，在与某位偶然相会的陌生男性共度几小时后，她意识到对方显然不是只想聊聊天那么简单。他打开了女孩的交易窗口，送给了她一件绣有小猫的连衣裙，并且告诉女孩儿这衣服一定和她非常相衬。

“作为回报，他问我能否为他穿上看看。”Malkeria说道，由于那件连衣裙着实可爱，她就将其欣然收下，穿在身上到处炫耀。几天过去，公会里的一个朋友看见女孩儿后大吃一惊，告诉她这件连衣裙是一件极为珍稀昂贵的时装，感到不妥的Malkeria马上打开了自己的电子钱包准备给陌生人转账，但是无奈自己的账户余额差的太远了。自此之后，Malkeria和对方在游戏里相处时感觉就不那么自然了，尽管陌生人还在不断地送给她各种礼物，但她还是觉得通过自己的努力获得这些道具才是最理想的——自己不喜欢欠债的感觉。

“我告诉自己以后一定会建立属于自己的基金，这样就能回报他的恩情了。”她说道。

《洛奇》一直是许多二次元玩家的最爱30岁的Drea从来也不知道怎么才能让游戏里的男玩家送礼物给自己，对于这方面可谓是很不擅长。“我最多会告诉他们‘嘿，我觉得你的角色很帅’，然后他们就会随机送给我食物什么的，我还得回复‘好的，谢谢！’真是太尴尬了。”曾经有一个男性角色一直紧紧跟着Drea到处行动，最初他对于女士的问题一概沉默不答，直到最后才告诉她自己是个高级玩家，愿意带她去下顶级副本。“那一瞬间我浑身鸡皮疙瘩都起来了。”Drea说道，“就好像我在现实生活中被罪犯长期尾行了一样。”

《广播与电子媒体杂志》曾在2015年进行过一项针对“有吸引力的女性角色”是否真的能够在MMO里获得更多优待的玩家调查。通过对2300份实例的分析，研究者确认符合“传统审美”的女性角色更容易在游戏里获得来自男性玩家的主动帮助——现实中也是如此。唯一的区别在于，就受访的女性玩家而言，接受这些不请自来的帮助最后可能导致对方的言语侮辱，尤其是在女方心里希冀能够有进一步的浪漫发展时。

有趣的是，许多男扮女号的人妖玩家表示在游戏里接受别人的帮助时内心往往更加矛盾。

全球网游玩家中有40%是女性，她们在创建游戏角色时通常与自身的性别一致。而男性玩家则似乎更喜欢选择扮演人妖，这往往导致了许多网游里貌似女玩家很多的错觉。大部分受访男性玩家坦诚，他们决定扮演女号的目的之一，确实就是有可能获得来自其他那些荷尔蒙过剩的男性玩家的帮助，有趣的是，与女性玩家相比，许多人妖玩家表示在游戏里接受别人的帮助时内心往往更加矛盾。

AgentRood今年已经38岁了，表示自己虽然玩儿女号，但是从来也没有在游戏里假装过自己是女人。“我知道有很多男性以此获益，但我选择独善其身。”他说道。

Rood在《魔兽世界》里的角色是一名女性暗夜精灵德鲁伊。当他还是低级菜鸟时，有位老玩家陪着他整整升了十级，各种金币道具的支援就没断过。“我全程一言未发。”Rood坚定地描述道，“后来他还运用自己的裁缝技能给我打造了整整两套皮甲装备。不过我发誓，我从来没有模仿过任何女性的行为诱惑他。”

泰兰德是Rood选择女性暗夜精灵的根本原因Brendan浸淫MMO的时间已经长达十数年，不管什么游戏只玩女号。他是萨姆斯（《银河战士》系列主角），女超人与神奇女侠的狂热粉丝，对他而言，只是单纯的觉得女性角色要比男性角色更为顺眼。这样做的结果就是，Brendan在游戏里不断地收到各种礼物与帮助。“其实我觉得这事儿是不太正常的，尤其是他们管我要裸照时。”这位中年大叔笑道，“最令我获得满足感的时刻，是当我告诉他们‘伙计，我可是个爷们儿，你怎么就不信呢’的时候，尽管紧随而来的可能就是对方各种不雅的言语。”Brendan的女儿对游戏似乎也很感兴趣，有一次当小家伙陪着父亲打游戏时，Brendan猛然意识到或许女儿有一天也会面对类似的情况，不由得沉思良久。

对于KristinCarnage来说，网游“干爹”之风的横行可谓是作为女性在她九年的MMO生涯中最大的困扰，为了证明自己不倚靠男性玩家也能变得很强，她在游戏世界里投入了加倍的努力。虽然男玩家们在性别上的刻板观念让这位姑娘在游戏体验的道路上步履维艰，但是Carnage依然拒绝随波逐流：“如果我不够强，男人们就会瞧不起我。”她顿了顿，补充道，“我不想被他们小看，也绝不会让他们称心如意。”