史上大型DDoS攻擊每秒5億個(gè)數(shù)據(jù)包

謝真山

2019年初，Imperva應(yīng)客戶要求緩解了一起每秒數(shù)據(jù)包數(shù)量超5億個(gè)的DDoS攻擊，可能是按數(shù)據(jù)包規(guī)模計(jì)的史上最大型DDoS攻擊。

1月10號(hào)的攻擊是所謂的SYN洪水攻擊——攻擊者通過(guò)發(fā)送超出目標(biāo)計(jì)算機(jī)處理能力的TCP連接請(qǐng)求令該主機(jī)掉線。Imperva稱(chēng)，本次攻擊中所用洪水?dāng)?shù)據(jù)包既有正常SYN包，也有大小在800～900字節(jié)之間的超大SYN包，源P地址和端口也是高度隨機(jī)的。

攻擊者往往綜合采用正常包和超大包攻擊，正常SYN包耗盡CPU等服務(wù)器資源，而超大SYN包用于阻塞網(wǎng)絡(luò)。

Imperva的調(diào)查發(fā)現(xiàn)，1月初的攻擊采用了兩個(gè)已知工具，一個(gè)用于發(fā)起正常SYN流量洪水，另一個(gè)制造超大SYN包攻擊。這兩個(gè)工具似乎是不同作者編寫(xiě)，然后被人組合使用在互聯(lián)網(wǎng)歷史上最密集的網(wǎng)絡(luò)基礎(chǔ)設(shè)施DDoS攻擊上。

公司企業(yè)和媒體往往傾向于關(guān)注DDoS攻擊的規(guī)模，但實(shí)際上，規(guī)模并不是攻擊緩解難度或破壞程度的最佳反映，每秒包數(shù)量（PPS）是更好的指標(biāo)。

2018年GitHub遭受的攻擊，其峰值流量達(dá)到1.35 3713每

使用惡意DNS解析程序和惡意根證書(shū)，你的隱私和安全性將完全受到損害。

可以采取的動(dòng)作

不要安裝第三方根證書(shū)！只有非常少的例外情況才需要這樣做，并且它們都不適用于一般最終用戶。

不要被廣告攔截、軍事級(jí)安全或類(lèi)似的營(yíng)銷(xiāo)噱頭所吸引，有一些方法可以自行使用DNS解析器來(lái)增強(qiáng)你的隱私，但安裝第三方根證書(shū)永遠(yuǎn)不會(huì)有意義，你正在將自己置身于陷阱之中。

警告

有位友好的系統(tǒng)管理員提供了一個(gè)現(xiàn)場(chǎng)演示，你可以實(shí)時(shí)看到自己，這是真事。千萬(wàn)不要輸入私人數(shù)據(jù)！之后務(wù)必刪秒，堪稱(chēng)史上最大帶寬密集型DDoS攻擊，該攻擊吸引了大量關(guān)注，常被當(dāng)作大型DDoS攻擊可致巨大挑戰(zhàn)的典型例子。

從緩解的立場(chǎng)看，提供足夠的網(wǎng)絡(luò)帶寬可以減弱這種攻擊。當(dāng)下的DDoS攻擊緩解及防護(hù)服務(wù)傾向于提供遠(yuǎn)超目前最大型DDoS攻擊規(guī)模的帶寬，這使得攻擊規(guī)模不再成為令公司企業(yè)頭痛的問(wèn)題。

但處理涉超高PPS的攻擊就是另一碼事了，因?yàn)樵u(píng)估每個(gè)包所需的計(jì)算處理能力才是個(gè)中關(guān)鍵。限制網(wǎng)絡(luò)路由器、交換機(jī)和服務(wù)提供商用以緩解DDoS攻擊的設(shè)備的，不是數(shù)據(jù)包的大小，而是其產(chǎn)生速度。緩解高PPS攻擊需要的處理能力，遠(yuǎn)遠(yuǎn)超出了當(dāng)前絕大多數(shù)網(wǎng)絡(luò)設(shè)備路由或交換數(shù)據(jù)包的能力。

公司企業(yè)提供帶寬容量，所以大小往往成為衡量DDoS攻擊的標(biāo)準(zhǔn)度量。但高PPS攻擊才是公司企業(yè)更應(yīng)該關(guān)注的方向。比如說(shuō)，GitHub攻擊案例中，DDoS流量主要由不同服務(wù)器的相同端口發(fā)出的大數(shù)據(jù)包組成，PPS速率相對(duì)較低，為1.296億。而本月初Imperva緩解的這起攻擊，從隨機(jī)源地址發(fā)出的包數(shù)量幾乎是GitHub攻擊的4倍。

高PPS攻擊更難以產(chǎn)生，因?yàn)樾枰嗟挠?jì)算資源，同理，其緩解也需要更多計(jì)算資源。

DDoS攻擊的影響最終取決于攻擊方式和目標(biāo)企業(yè)的脆弱性。運(yùn)用得當(dāng)?shù)脑?，無(wú)論是高帶寬的攻擊還是高PPS的攻擊，都能造成災(zāi)難性后果。提前預(yù)測(cè)多方式DDoS攻擊的發(fā)展是不可能的。不同方式帶來(lái)不同的緩解挑戰(zhàn)。比如，高PPS攻擊不會(huì)像高帶寬攻擊那樣頻繁地阻塞鏈路，高帶寬攻擊往往對(duì)無(wú)辜路人造成連帶傷害，用網(wǎng)絡(luò)擁塞將他們一起擠掉線。除證書(shū)和該DNS！如果你不知道如何操作，那就不要安裝它。雖然我們相信朋友，但不要隨便安裝隨機(jī)和未知的第三方根證書(shū)。