先看一个段子吧～～

这对于DDoS的解释屌爆了。“城东新开了一家牛肉面馆，生意红火，顾客络绎不绝。某天，一个地方恶霸召集了手下一批小弟，一窝蜂涌入牛肉面馆，霸占了所有座位，只聊天不点菜，导致真正的顾客无法进店消费。由此，牛肉面馆的生意受到影响，损失惨重。”

何钦淋评论：这是初级攻击，一报警就抓到恶霸。中级攻击是每一桌只点一碗面吃一天

小黑羊评论：店主看到顾客都来排队，赚足了眼球，就让恶霸把小弟撤走了。店主对外宣传说，我被攻击了。恶霸对外宣传说，我帮店主防御了攻击。真是个双赢的好方案啊

孙朝晖评论：真正的攻击是，穿上这个面馆伙计的衣服，出去把各种面馆，执法部门，都砸了，然后面馆就被砸了

欢迎各位脑洞大开，在下面评论～～～ 下面正题开始～～～

作者简介：Ebuyer.com信息安全官Tarun Samtani

由于导致全球众多网站和服务器宕机，分布式拒绝服务（DDoS）攻击屡见报章，许多公司不惜投入巨资试图防范。可是这些网络犯罪分子到底在攻击哪些对象？他们为何要使用DDoS？

网络犯罪分子日益使用DDoS作为烟幕，从事不法勾当，比如窃取数据或敲诈勒索。最近，一个名为DD4BC的敲诈勒索团伙对金融和能源行业实施了DDoS，索要比特币。这是一种严重的威胁，而且随处可见。我们将更深入一点来剖析DDoS攻击到底是什么、攻击类型，以及你可以采取的措施，以便作好更充分的防备。

DDoS到底是什么？

首先，不妨解释一下几个术语。DoS代表拒绝服务。这种攻击企图耗尽服务器、网络、Web应用程序或其他任何网上资源可以使用的资源，从而达到合法用户无法访问的目的。

在分布式拒绝服务（DDoS）攻击中，多个节点或僵尸（bot）被用来向目标网站发送洪水般流量，

僵尸是被感染了恶意软件的设备（PC或智能手机等），它们被一台指挥与控制服务器（僵尸主机）所控制，该主机可以控制这类被感染设备组成的庞大网络。这类网络就叫僵尸网络（简称Botnet）。

设想一下：如果没有打补丁的Web服务器受到危及，成为僵尸网络的一部分。它们有大量的带宽可以使用，绝对是最吸引网络犯罪分子的目标，可以充当DDoS攻击的一个源头。很容易从许多黑客或地下（暗网）网站租用僵尸网络，僵尸网络在这些地方又叫Booter。通常你会发现这类网站将DDoS作为一项服务来提供。它们同样可以用在正道上，用来测试Web应用程序出现故障前最多能处理多少路连接。可是它们常常用在歪道上。

DDoS攻击

攻击类型

那么，企业组织可能会面临哪些类型的DDoS攻击呢？它们主要分为两大类：

网络层攻击――与网络层攻击有关的活动主要有两类：洪水攻击（Flooding attack）和放大攻击（Amplification attack）。

洪水攻击的实施手段主要是利用TCP、UDP和ICMP等协议存在的漏洞，向目标网络或基础设施发送洪水般流量。网上有好多工具可以用来实施这类简单的洪水攻击。

放大攻击的实施手段是，利用DNS或NTP的固有安全漏洞，增加（放大）洪水流量规模。

应用层攻击――应用层攻击越来越盛行，因为攻击看起来像合法请求，不过会引起拒绝服务，耗尽目标Web服务器的资源。应用层攻击有三大类：高带宽攻击、低带宽攻击和命令注入攻击。

高带宽攻击的实施手段是，向目标Web应用程序发送针对资源最密集型页面的大量GET和POST请求。

低带宽攻击又叫低带宽慢速攻击，因为它们向目标应用程序发出请求，但是并不整垮连接。通过耗尽所有资源，区区数百个这样的请求照样能轻轻松松让服务器宕机。

命令注入攻击充分利用了Web应用程序中的安全漏洞，允许执行可能擦除数据或接管机器的命令。

下面这些是有关2015年第一季度DDoS攻击的统计数字，来自Akamai的《互联网状况报告》（）：

相比2014年第四季度

总的DDoS攻击数量增加了35.24%

应用层（第7层）攻击的数量增加了22.22%

基础设施层（第3层和第4层）攻击的数量增加了36.74%

攻击平均持续时间缩短了15.37%：24.82小时vs 29.33小时

中国是攻击IP地址的主要源头

相比2014年第一季度

总的DDoS攻击数量增加了116.5%

应用层（第7层）攻击的数量增加了59.83%

基础设施层（第3层和第4层）攻击的数量增加了124.69%

攻击平均持续时间延长了42.8%：24.82小时vs 17.38小时

DDoS信息图

来源：Incapsula

数字攻击图

如果你想看一看几个实际发生的DDoS攻击，那么你可以访问下面几个网站：

Norse（）

Arbor（）

卡巴斯基（）

有何对策吗？

那么，你又该如何保护自己或贵公司？下面几个要点可以让你为暴风作为防备。

除了其他响应策略外，总是要备好一份DDoS事件响应计划。

给你的所有系统打上补丁，比如防火墙和路由器等，因为它们会正面受到攻击。它们也许无法避免攻击，但是在攻击开始影响你之前，让你有更多时间来应对。

随时准备好联系你的互联网服务提供商（ISP），万一你没有落实DDoS缓解机制，决定改而将流量引入黑洞。将流量引入黑洞意味着，让所有入站流量远离你自己，并且丢弃这些流量。这也会丢弃你的合法流量，但是可以保护基础设施，以免处理所有流量。

公司业务受到的经济影响（如果服务停运）和组织风险管理策略将决定你是不是有必要购买一套DDoS缓解解决方案。最常见的DDoS缓解策略如下所示：

基于云的服务――你能找到提供“不间断服务”和“按需服务”的DDoS缓解解决方案提供商。顾名思义，不间断服务会将你的所有流量转发到流量清洗中心，清洗中心会先清理恶意流量，然后允许清理后的流量发送到你的Web应用程序。顾名思义，当你受到攻击，请求缓解时，按需服务会完成同样的任务。

内部部署解决方案――许多DDoS缓解解决方案提供商拥有专用硬件，你可以拿来放在内部的入口点，那样发送到你站点的所有流量会先进入到该DDoS防护设备，然后再转发到基础设施的其余部分。

混合解决方案――有些提供商让你可以集两者之所长，不过它们可能很昂贵，比较复杂，需要对网络作一番改动。

国内著名互联网企业遭黑客勒索 摆平需20比特币

上周，乌云放出预警，某中国著名互联网企业收到了勒索邮件。邮件里，黑客组织要求该企业支付20比特币赎金，否则将对该企业持续发动DDoS攻击。

在和谐的感恩节期间做勒索生意，似乎没什么道理。不过坏人从不和你讲道理。

今天的坏人是Armada Collective(无敌舰队)。显然这个充满海盗范儿的黑客组织得名于西班牙的无敌舰队(Armada)，他们所做的事也如海盗一般，手段残忍、目标明确、逻辑简单，那就是——DDoS攻击+勒索钱财。

具体的步骤是这样的：

选定一家公司，一般是看中稳定性的互联网服务商

发来“贺电”邮件，告诉对方要发起DDoS攻击，想消灾的话，就要给钱。

发起攻击15分钟，秀一下肌肉。让对方知道，哥是认真的。

如果对方拒绝支付，就发起连续攻击，直至收到钱。

来自无敌舰队的勒索信

想要消灾，无敌舰队只收你20块哦亲~ 纳尼，这么实惠？泰铢还是津巴布韦币？很不幸，是世界上最值钱的货币——比特币……根据现有的汇率，20比特币相当于不到4万人民币。

关键的问题在于，如果你不及时支付赎金，赎金会以每天20比特币的速度增加。如果晚一天付款，就要付40块， 如果再晚一天，就要60块。如此算来，拖个一年半载的，这个金额可是天文数字啊，即使是比尔-盖茨也顶不住吧。

实际上，这种勒索模式相当古老，可以说有狗那年就有了DDoS勒索。只不过，随着云计算的兴起，大量资源触手可得，让DDoS攻击的成本断崖般下降，而人们对于互联网服务的可靠性要求又在不断加强，这就使得DDoS攻击所造成的破坏力与日俱增。所以这种没有那么高技术含量的勒索方式重新成为流行，用诗意的语言来说就是——沉渣泛起。

这两天，无敌舰队“出海”频繁，全球各大金融机构和互联网服务商都不小心被“咬”。

ProtonMail是瑞士一家保密邮件服务商，他们的邮件究竟有多保密呢？这么说吧，他们是恐怖分子ISIS“官方指定”合作单位。不久前ProtonMail收到了无敌舰队的恐吓信：不给钱就死磕，最大1T的流量攻击，你们等着吧。

ProtonMail早就听过无敌舰队的江湖喝号，紧张万分。然而咨询了多位安全专家之后，他们得到的建议是——不给钱，看他们怎么样。但是，当无敌舰队在一天之内打瘫了它的服务器，并且直接放倒了公司所在的两个数据中心和ISP，数百家企业受到连累的时候，这家连恐怖分子都不怕的公司实在顶不住了，又紧急咨询了多位安全专家，这次安全专家给出的建议是——赶快掏钱！要多少给多少！

20比特币紧急汇入了无敌舰队的指定账户后，更悲催的事情发生了——攻击变得更猛烈了。在随后的两天，不仅服务器完全被击垮，甚至连数据中心都遭到严重破坏。

让人折服的是，第三天的时候，ProtonMail才意识到，新的攻击并不是来自于无敌舰队，而应该是某政府背景的黑客组织。这个组织并没有联系ProtonMail。这下可好，手捧诸多比特币准备消灾的ProtonMail发现，想给钱都不知道该给谁。

明显没有职业道德的第二次攻击目的很明确，就是造成ProtonMail彻底崩溃。有分析人士认为，这和ISIS使用该邮件系统进行串联不无关系。七天以后，攻击终于减弱，已经满身弹孔密集恐惧症发作的ProtonMail才算是可以喘气。

敲诈遇到反恐，ProtonMail顿感流年不利。抛开这个插曲不谈，大多数无敌舰队类的黑客勒索组织还是很有“职业道德”的。花钱免灾，互不相欠，手法干净利落。

敲诈行业风生水起，领跑世界的中国互联网企业怎么可能幸免呢？就在上周，乌云放出预警，某中国著名互联网企业收到了勒索邮件。

中国企业收到的勒索邮件截图

邮件里，这个狂妄的黑客组织表示，“你们不认识哥的话，就去问问谷歌”，并且贴心地附上了报道他们罪行的新闻链接。不得不说，无敌舰队在进入“中国市场”之前，还是做了相当多的研究。在邮件中，他们表示：

你们中国有很多比特币交易的平台，给我们汇款相当方便，别以为哥不知道。

如果不会汇款的话，就谷歌一下，不，还是百度一下吧

现在我们会先攻击30分钟让你们尝尝厉害。(喂，大哥不是说好了15分钟吗？知道天朝盛产土豪，连攻击时间都翻倍吗？)

乌云曝光的有关询问Armada Collective勒索的聊天内容

根据曝光的聊天内容来看，这个倒霉的企业已经被连续攻击了三轮，而且正在积极寻找解决的办法。至于这家企业到底是谁，乌云相关人员表示：打死都不说。从收到邮件的时间到现在，已经整整一周了。小伙伴们有没有感觉到什么网站登录异常吗？从各方面的消息来看，并没有。所以有业内人士分析，这家企业一定是高喊着“犯我强汉者，虽远必诛！不就是1T流量攻击吗？我大天朝人心所向，富有四海，岂能为夷人所制？快告诉我，比特币转到哪个账户？”