DDoS攻击事件

2014年12月10日，爆发了运营商DNS网络DDoS攻击事件。从12月10日凌晨开始，现网监控到攻击流量突增的情况，到上午11点开始，攻击开始活跃，多个省份不断出现网页访问缓慢，甚至无法打开等故障现象。某省运营商遭遇的攻击，高峰时竟然出现了高达6G的攻击混合流量，对DNS网络的冲击可想而知。

经过分析样本发现，12月10日的攻击主要是针对多个域名（包括arkhamnetwork.org、arkhamnetwork.com、getfastinstagramfollowers.net）的随机查询攻击；11日凌晨攻击出现变种，出现针对其他域名的攻击，攻击源主要来自各省内。攻击者不仅在短暂的时间内发起了峰值大于6G bps的查询请求（全国范围内大于100G的攻击），而且连续的变换二级域名，造成各省的DNS递归服务器延迟增大，核心解析业务受到严重影响。

DDoS攻击方法

分布式拒绝服务攻击（DDoS）是拒绝服务攻击（DoS）的一种，用分布式的客户端，向服务提供者发起大量看似合法的请求，消耗或长期占用大量资源，从而达到拒绝服务的目的。依据消耗目标资源的不同可以将DDoS分为三类：网络带宽资源、系统资源及应用资源。（这方面的介绍请参看：你以为你了解DDoS吗？）

这次攻击发起的方式有两种可能：一是攻击者控制了大量被攻击省内的肉鸡；二是利用攻击工具模拟被攻击省份的内网IP。向DNS的递归节点发起随机域名Flood，由于二级域名随机，且在递归服务器的缓存中并不存在，递归服务器需要不断的迭代去查询最终的结果，从而能进一步加剧了递归服务器的负载，造成服务器性能耗尽。

攻击者调用大量肉鸡发起针对多个域名的随机查询攻击，由于本地DNS服务器上没有相应的记录，需要向外递归查询，极大的消耗了服务器性能。

 2014年DDoS攻击事件分析 

DDoS攻击目的   

“天下熙熙，皆为利来。天下攘攘，皆为利往。”虽然此次攻击事件还没有人或组织为之负责，但一般来说如今DDoS攻击单纯为破坏的可能性越来越小，从最终攻击者获取利益来说大多分为三类：敲诈勒索、实施报复及获取竞争优势。

• 敲诈勒索：DDOS由于其攻击的低廉成本，用来实施长期打击，以便敲诈攻击对象。国外的行情大概是按照DDoS攻击的市场行价向攻击目标索取3折的保护费，但其攻击成本可能连1/10都不到。

• 实施报复：FBI总结人犯罪动机大多来自三类，信仰、金钱和女人。政治、偶像、团队、理论维护等等都是信仰的范畴，还记得以前的69圣战吧。不同的群体为了信仰站在一起，当这些信仰发生冲突的时候，报复在所难免。

• 获取竞争优势：物理学中有“不稳定平衡”的概念，在商业竞争中更是如此，老大想要稳坐第一，老二需要搏上位，老三想要抢份额，商业竞争从诞生的第一天开始，就充满了竞争。合理的竞争无可厚非，但总有一些人喜欢二两拨千斤，DDoS这种本小利大的工具就被盯上了。其目的要么是获取时间优势，要么是打击对手的声誉。

DDoS攻击防御

在防护工具的选择上，建议用具备专业DDoS防护能力的专业设备。因为基础的网络安全设备（FW、IPS等）不具备精准识别此类攻击的能力，而且他们在攻击过程中，本身就是脆弱的，极易成为第一块倒下的多米诺骨牌；其次设备的处理性能要高，本次攻击从目前监测到的数据看，峰值流量已经接近10G，要求防护设备具备高性能的特点。

在具体部署中，建议旁路部署，借助灵活的路由策略可实现清洗能力的共享。清洗能力可轻松覆盖全省，不留死角。

最后，在应急响应支持团队的支持中，要联系应急支持服务经验丰富的团队，以免造成大面积断网。

DDoS威胁报告

网络安全威胁正在变得日益复杂，各类攻击目标、手段及来源始终在不断的发生着变化，随之企业及各类组织需要不断关注这些发展态势，以便能够理解与预测未来可能遭遇的恶意攻击，进而应对复杂变化所带来的挑战。

DDoS（分布式拒绝服务）作为网络安全威胁中的典型攻击手段，从诞生的那天起就从未停止，冰盾防火墙公司威胁响应中心对此予以重点及持续关注，同时定期发布《DDoS威胁报告》，帮助大家：

• 持续了解及掌握DDoS威胁发展态势

• 在遭遇到攻击后，可以快速理解及检测可能的伤害程度

• 不断强化网络安全意识，完善解决方案