正常响应

DDoS攻击素来以成本低廉（相比防御）、效果显著、影响深远为攻击者所青睐，经过长时间的发展，DDoS攻击方式有很多种，最基本的DoS攻击利用单个合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DoS攻击通常采用一对一的方式，在目标系统带宽、内存、CPU等各项性能指标都不高时，具有明显的效果。随着网络技术的发展，计算机的处理能力迅速增长，内存大大增加，千兆级别的网络出现，目标系统的“消化能力”倍增，这时候，分布式的拒绝服务攻击手段——DDoS就出现了。

利用网络上已被攻陷的电脑作为“肉鸡”，通过一定方式组合形成数量庞大的“僵尸网络”，采用一对多的方式进行控制，向目标系统同时提出服务请求，杀伤力大幅度增加。DDoS攻、防对抗多年，从DoS到DDoS，从以流量取胜到以技巧取胜，从单一攻击到混合攻击，攻击手段正不断进化，本文将一一介绍最常见、最具代表性的攻击方式，企业运营者做到知己知彼，才能有备无患。

一、攻击带宽：以力取胜

如同城市堵车一样，当数据包超过带宽上限，就会出现网络拥堵、响应缓慢的情况。流量型DDoS攻击就是如此，发送海量数据包，顷刻占满目标系统的全部带宽，正常请求被堵在门外，拒绝服务的目的达成。

ICMPFlood

ICMP（Internet控制报文协议）用于在IP主机、路由器之间传递控制消息，控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息，虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。通过对目标系统发送海量数据包，就可以令目标主机瘫痪，如果大量发送就成了洪水攻击。

UDPFlood

UDP协议是一种无连接的服务，在UDPFlood中，攻击者通常发送大量伪造源IP地址的小UDP包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100kbps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。

上述传统的流量型攻击方式技术含量较低，伤人一千自损八百，攻击效果通常依赖受控主机本身的网络性能，而且容易被查到攻击源头，单独使用的情况已不常见。于是，具有四两拔千斤效果的反射型放大攻击就出现了。

NTPFlood

NTP是标准的基于UDP协议传输的网络时间同步协议，由于UDP协议的无连接性，方便伪造源地址。攻击者使用特殊的数据包，也就是IP地址指向作为反射器的服务器，源IP地址被伪造成攻击目标的IP，反射器接收到数据包时就被骗了，会将响应数据发送给被攻击目标，耗尽目标网络的带宽资源。一般的NTP服务器都有很大的带宽，攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器，就可给目标服务器带来几百上千Mbps的攻击流量。

因此，“问-答”方式的协议都可以被反射型攻击利用，将质询数据包的地址伪造为攻击目标地址，应答的数据包就会都被发送至目标，一旦协议具有递归效果，流量就被显著放大了，堪称一种“借刀杀人”的流量型攻击。

面对洪水般的流量，花高价进行抗D带宽扩容和多运营商链路冗余，虽一定程度可提升抗D能力，但面对大量攻击仍旧于事无补，而且浪费资源。知道创宇旗下抗DDoS云防御平台——抗D保，横跨全国的分布式数据中心，600G以上带宽抗DDoS，并可随时应急调用腾讯自有带宽1.5Tb，这使得抗D保拥有超过2个Tb的防御能力。 

二、攻击系统/应用：以巧取胜

这类型的DDoS攻击走的是巧劲，利用各种协议的行为特性、系统的缺陷、服务的脆弱性、软件的漏洞等等发起攻击，不断占用目标系统的资源以阻止它们处理正常事务和请求。

SYNFlood

这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。建立TCP连接，需要三次握手——客户端发送SYN报文，服务端收到请求并返回报文表示接受，客户端也返回确认，完成连接。

SYNFlood就是用户向服务器发送报文后突然死机或掉线，那么服务器在发出应答报文后就无法收到客户端的确认报文（第三次握手无法完成），这时服务器端一般会重试并等待一段时间后再丢弃这个未完成的连接。一个用户出现异常导致服务器的一个线程等待一会儿并不是大问题，但恶意攻击者大量模拟这种情况，服务器端为了维护数以万计的半连接而消耗非常多的资源，结果往往是无暇理睬客户的正常请求，甚至崩溃。从正常客户的角度看来，网站失去了响应，无法访问。

CC 攻击

CC攻击是目前应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的合法请求，实现伪装和DDoS。我们都有这样的体验，访问一个静态页面，即使人多也不需要太长时间，但如果在高峰期访问论坛、贴吧等，那就很慢了，因为服务器系统需要到数据库中判断访问者否有读帖、发言等权限。访问的人越多，论坛的页面越多，数据库压力就越大，被访问的频率也越高，占用的系统资源也就相当可观。

CC攻击就充分利用了这个特点，模拟多个正常用户不停地访问如论坛这些需要大量数据操作的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的请求，网络拥塞，正常访问被中止。这种攻击技术性含量高，见不到真实源IP，见不到特别大的异常流量，但服务器就是无法进行正常连接。

之所以选择代理服务器是因为代理可以有效地隐藏自己的身份，也可以绕开防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。当然也可以使用肉鸡来发动CC攻击，攻击者使用CC攻击软件控制大量肉鸡发动攻击，肉鸡可以模拟正常用户访问网站的请求伪造成合法数据包，相比前者来说更难防御。

CC攻击是针对Web服务在第七层协议发起的攻击，在越上层协议上发动DDoS攻击越难以防御，上层协议与业务关联愈加紧密，防御系统面临的情况也会更复杂。比如CC攻击中最重要的方式之一HTTPFlood，不仅会直接导致被攻击的Web前端响应缓慢，对承载的业务造成致命的影响，还可能会引起连锁反应，间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务。

由于CC攻击成本低、威力大，知道创宇安全专家组发现80%的DDoS攻击都是CC攻击。带宽资源严重被消耗，网站瘫痪；CPU、内存利用率飙升，主机瘫痪；瞬间快速打击，无法快速响应。知道创宇顶级安全研究团队为抗D保自主研发的Anti-CC防护引擎可以根据访问者的URL、频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。

抗D保-抗CC攻击数据（监控）

DNSQueryFlood

DNS作为互联网的核心服务之一，自然也是DDoS攻击的一大主要目标。DNSQueryFlood采用的方法是操纵大量傀儡机器，向目标服务器发送大量的域名解析请求。服务器在接收到域名解析请求时，首先会在服务器上查找是否有对应的缓存，若查找不到且该域名无法直接解析时，便向其上层DNS服务器递归查询域名信息。

通常，攻击者请求解析的域名是随机生成或者是网络上根本不存在的域名，由于在本地无法查到对应的结果，服务器必须使用递归查询向上层域名服务器提交解析请求，引起连锁反应。解析过程给服务器带来很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

根据微软的统计数据，一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的DNS服务器瘫痪，由此可见DNS服务器的脆弱性。

抗D保在全国多个城市采用分布式集群方式部署了上千台高效DNS服务器，从而保证各个地区的查询响应速度。抗D保的高防DNS服务，可有效解决突发的上亿级别的随机HOSTA记录查询攻击、递归DNS穿透攻击、DNS流量攻击等多种针对域名解析的攻击请求。

抗D保防御DNS攻击效果示意

三、混合攻击：流量与技巧并用

在实际情况中，攻击者只求达到打垮对方的目的，发展到现在，高级攻击者已经不倾向使用单一的攻击手段作战了，而是根据目标系统的具体环境灵动组合，发动多种攻击手段，既具备了海量的流量，又利用了协议、系统的缺陷，尽其所能地展开攻势。

对于被攻击目标来说，需要面对不同协议、不同资源的分布式的攻击，分析、响应和处理的成本就会大大增加。

抗D保拥有国内最大的抗D集群，使用腾讯宙斯盾流量清洗设备并结合由知道创宇研发的Anti-DDoS引擎，5秒发现恶意攻击，10秒快速阻断，2T带宽储备，通过多种防御手段，防御各种类型、形态的DDoS攻击，包括基于网络层的攻击，如TCPFlood、UDPFlood、ICMPFlood，以及应用层攻击，类似HTTPFlood这种试图耗尽服务器资源的攻击，同时可以有效防御各种反射攻击和僵尸网络攻击。

面对一次次攻击，即使是去年10月让美国半个互联网瘫痪的DDoS攻击事件，也只是让很多人小心脏稍微颤抖了几下，在大家的印象中，DDoS只是一阵海啸，很快就能恢复了往日的平静。但是，DDoS在互联网发展进程中已经留下了太多不可磨灭的破坏，许多企业就此一蹶不振。而且随着互联网+的不断推进，商业竞争的愈演愈烈，它的危害越来越大，任何企业组织都应该考虑自己的DDoS防护方案，而不是成为攻击的炮灰，也尽量避免遭受攻击后再亡羊补牢。

相关新闻

2016-12-20

2017-03-06

2017-07-28

2017-08-17

2017-09-04

   7月24日，在律师的陪同下，“失联”华帝北京经销商负责人王伟接受了新京报记者独家专访。他就华帝北京经销商“失联”，“退全款”活动、华帝总部申请查封华帝北京仓库等问题进行回应。

　　作者|陈维城江波实习生赵炜游佳颖编辑|陈维城新京报

　　漩涡中的华帝退全款余波未了，“失联”经销商王伟公司旗下员工在申请劳动仲裁。那么，王伟在哪？如何收拾这一副残局？

　　7月24日，在律师的陪同下，一脸疲惫的王伟接受了新京报记者独家专访。他就华帝北京经销商“失联”，“退全款”活动、华帝总部申请查封华帝北京仓库等问题进行回应。

　　此前有媒体报道，广东省中山市第二人民法院6月29日前往北京天津，查封北京华帝燃具销售有限公司和天津华帝燃具销售有限公司财产，销售公司法人代表王伟失踪十余天。

　　随后，华帝公司公告称，北京华帝燃具销售有限公司、天津市华帝燃具销售有限公司是华帝公司北京、天津地区的一级经销商，非华帝子公司。两公司2017年提货额1.63亿元，占公司销售总额的2.84%。

　　因其不能有效跟随公司经营战略的转型，未能及时调整市场策略，导致经营压力巨大。华帝公司出于风险控制和保护消费者权益的角度出发，申请中山市第二人民法院查封冻结其能够覆盖公司债权的库存商品，并未对其公司银行账号和其他资产进行查封，确保其公司能正常运营。查封该客户的库存商品是上市公司主动消除风险采取的财产保全行为。

　　工商资料显示，北京华帝燃具销售有限公司、天津市华帝燃具销售有限公司、张家口华帝燃具销售有限公司以及廊坊市华帝燃具销售有限公司的法人代表为王伟。

　　7月25日，新京报记者已将相关采访提纲发给华帝品牌部门。截止发稿前，华帝品牌方面回应称，由于公司各业务对外发言由各分管副总裁负责，再需经开会讨论才能正式回应，而目前相关副总裁在各地处理“退全款”事宜，需到本周六后才能答复。

　　谈“失联”：资金压力大公司和个人资产都被查封

　　新京报：你何时与华帝公司开始合作？

　　王  伟：1992年就成为华帝天津地区的经销商，2008年获得了华帝北京的代理权，张家口和廊坊是近3、4年才接手的。同时，北京华帝还负责五个天猫商城的专卖店。

　　新京报：这二十多年来和华帝的关系如何？从什么时候开始不顺畅？

　　王  伟：一直以来比较顺畅。不太顺畅是从2015年华帝公司股权变化后。但其实在此事发生前也没有发生很大的冲突矛盾。我也不知道事情为何会一步步恶化成现在这种情况。

　　新京报：华帝公告说，近两年你不能有效跟随公司经营战略的转型，未能及时调整市场策略，导致经营压力巨大？

　　王  伟：做生意是否跟上步伐很难界定。终端门店建设在2017年和2018上半年都有很大的提升，店面升级也花了几千万。华帝公司号召我们去全面跟进，终端要好位置、大面积、好的形象，但华帝公司没什么支持，像北京、天津需要高额的租金，不能说我就完全响应你的号召。

　　新京报：华帝公告称，你长期过多依赖公司一揽子销售政策等倾斜优惠政策发展，为确保公平和销售政策一致性，2017年起公司规范了销售政策，取消了一揽子特殊销售政策，统一全国客户提货价，你自调整后未能调整经营思路，渠道建设速度缓慢，产品销售结构长期不合理，导致市场出货缓慢，造成一定的库存规模积累。你怎么看？

　　王  伟：潘叶江接手华帝后虽然取掉了一揽子政策，但运作模式上换汤不换药。返利33%的模式需要我们拿很多票据去核实。原来670元可提1000元货，现在变成1000元提1000元货，但后期可以返还330元，实际上没有任何变化。只不过对华帝公司有好处，这样公司的销量上去了，看着好看，对经销商来讲有很大的资金周转压力。

　　新京报：资金压力大源于什么时候？

　　王  伟：2017年底，华帝北京基本上没欠华帝公司的钱款。2017年线下产品进货2亿元，电子商务8千万元，2017年底北京库存有1.2亿元，资金压力比较大。2018年1月，华帝公司销售人员提议可以先把一季度的货物提走，等到3月底4月再付货款。当时我提了七千多万元的货。

　　4月份，我的货还没完全入仓，华帝公司就开始要钱，我的资金就变得特别紧张。要是搁到以前的华帝，这种情况太正常了。现在协商延期期间按年6%利息来算，如果经销商晚于协商的还款日期还款，就收一天1%的滞纳金，这也是发生了情况之后才知道要收滞纳金。这种情况以前资金紧张借款的时候都没有出现过收利息的情况，就是从去年下半年开始的。

　　新京报：4月往后有向华帝公司付款吗？

　　王  伟：后来也有部分的还入，也有进了一点货，这都是正常的往来。等到六月份，资金压力特别大，我就跟他们谈，他们说了一个办法，说签订《动产质押还款协议书》，这个办法才导致之后发生的一系列问题。

　　新京报：华帝公告称，2018年6月初华帝为了帮助你解决资金问题与其达成《动产质押还款协议书》，但该你在协议签署后未能积极配合公司履行义务？

　　王  伟：当时华帝营销副总裁韩伟和我说，把北京、天津的5个仓库中的3个进行监管，两地各留一个仓库进行正常运转。但6月15日签订协议书的时候，华帝法务部门的人却写了五个仓库都监管。华帝当时告诉我你先签吧，有什么事再商量。因为我对华帝特别信任，就直接签了。

　　新京报：后来外界说你失踪了？

　　王  伟：6月21日，华帝法务人员就和北京仓库的人说，我欠华帝公司钱，要把仓库都监管起来。因为我有天津员工部分借款，所以我的电话就被打爆了，有员工要钱的、问情况的，我就把手机关了。但我没逃跑，而是积极地处理事件。同时，把公司的运营授权给了北京华帝的张永涛，也通知了华帝公司。但到29日，他们就把五个仓库全查封了。

▲王伟称，6月21日将公司经营授权给北京华帝张永涛代理

　　

　　新京报：华帝公告称，申请中山法院查封冻结你能够覆盖华帝债权的库存商品，并未对你公司银行账号和其他资产进行查封，确保你公司能正常运营？

　　王  伟：五个仓库产品（包括百得、华帝产品）产品金额为8千多万元，查封的货品价值高于欠的七千多万元。目前，北京华帝的对公账号确实封了。7月10日，我个人名下的资产也被查封了。

　　谈“退全款”活动：怕负担不起全北京参与活动的货款只有60万元

　　新京报：华帝北京是否参加这次“法国队夺冠、华帝退全款”的世界杯营销活动？

　　王  伟：有参与这次活动，目前北京华帝参与活动的货款有60万元。因为线下退款由经销商负责，所以不敢重点推，怕亏的太多，负担不起。华帝高管还有人建议我们去澳门买一下博彩，可以对冲。

　　新京报：外界说你投资失败？

　　王  伟：的确有两个对外投资，一个是华帝前股东黄启均离开华帝后创业，投资了100万元，是出于几十年的交情做的投资。第二笔是2017年的华帝定增预案，我出资520万元参与创办珠海市华创投投资合伙企业。

　　谈员工仲裁：该起诉就起诉已经超出我能力范围

　　新京报：目前北京仓库被查封，公司经营如何？

　　王  伟：查封仓库出不了货；配件拿不出来，维修不了，公司宣布停业了。362家门店、760位员工的工资、社保无法保证。有些员工就去申请劳动仲裁了。

　　新京报：怎么看待员工申请劳动仲裁？

　　王伟：律师建议，员工要求仲裁就仲裁，该起诉就起诉，查封的问题给中山二中院呈函了，因为查封的产品不都是华帝的产品，还有顾客和二级客户的产品。

　　新京报：事发之后，华帝公司有联系你吗？

　　王  伟：因为事发突然，我心脏出现问题陆陆续续住院治疗了一段时间。7月6日，华帝营销的副总经理蔡总过来跟我见了一面。说可以沟通解决，但是并没有进一步动作。我请了律师处理，目前没有积极进展。

　　新京报：你认为为何会出现这次情况？

　　王  伟：上市公司需要上报6月30日前的业绩，在上报的时候要保证账户和数据对得上。管财务的副总裁不管市场情况。我做成华帝的第二大客户，欠钱不是一天两天了，我们的销售合同上有一年一千五百万的周转金，但是这次把整个都起底了，都算在负债里，就此好像断绝了任何往来一样。他们一下子封存所有仓库而不管后果，华北消费者、一线员工都不顾。

　　新京报：这件事如何“解套”？

　　王  伟：没有思路，只能寄希望于与华帝积极沟通，现在个人资产为零，超出我能力了。