记一次DDOS攻击

什么是DDoS?

分布式拒绝服务（DDoS）攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施，以破坏目标服务器、服务或网络正常流量的恶意行为。

DDoS 攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机，也可以包括其他联网资源。

简单来说，想象一下，你带着女朋友开开心心出去玩， 然后堵车了。。。

DDoS 攻击的工作原理

就和双11淘宝付款，春节抢票一样。。。

想象一下全球每个人同时打开你的网站，肯定有人会卡死，打不开，但不是他的问题，是你的服务器炸了。

DDoS就是一些不法分子利用非法手段将n多台电脑组成僵尸网络，然后然后把流量发到你的服务器。这可能导致服务器或网络不堪重负，从而造成对正常流量的拒绝服务。

来看一下实例

一下是阿里云盾截图，小主机因为ddos被入黑洞，终止了30分钟的服务。

要分析原因，可以在资产中心，点击你的小机ip，下载对应的证据。

下完发现是个cap文件，网络抓包文件，需要再下一个 WireShark 打开。

真相已经很明显了！来自 108.35.174.204 的NTP攻击

啥是NTP

NTP协议（Network Time Protocol）是标准的网络时间同步协议，它采用层次化时间分布模型。网络体系结构主要包括主时间服务器、从时间服务器和客户机，主时间服务器位于根节点，负责与高精度时间源进行同步，为其他节点提供时间服务，各客户端由从时间服务器经主服务器获得时间同步。

NTP服务的DDoS攻击原理

NTP协议是基于UDP协议的服务器、客户端模型，由于UDP协议的无连接性（不像TCP具有三次握手过程）具有天然的不安全性缺陷，黑客正是利用NTP服务器的不安全性漏洞发起DDoS攻击。一般流程如下：

1. 寻找目标，包括攻击对象和网络上的NTP服务器资源。
2. 伪造要“攻击对象”的IP地址向NTP服务器发送请求时钟同步请求报文，为了增加攻击强度，发送的请求报文为monlist请求报文。NTP协议包含一个monlist功能，用于监控 NTP 服务器，NTP 服务器响应monlist指令后就会返回与其进行过时间同步的最近600个客户端的IP地址，响应包按照每6个IP进行分割，最多一个NTP monlist请求会形成100个响应包，具有较强的放大能力。实验室模拟测试显示，当请求包的大小为234字节时，每个响应包为482字节，单纯按照这个数据，计算出放大的倍数是：482*100/234 = 206倍，从而大流量阻塞网络，导致网络不通，无法提供服务。

NTP服务的DDoS防御原理

1. 购买足够大的带宽，硬性抵挡NTP服务的DDoS攻击产生的大流量攻击。
2. 使用DDoS防御产品，将入口异常流量进行清洗，正常流量和区分异常，将正常流量分发给服务器进行业务处理。
3. 通过防火墙对UDP使用的123端口进行限制，只允许NTP服务与固定IP进行通信，其他IP全部拒绝。
4. 关闭NTP服务器monlist功能。
5. 升级NTP服务器版本到4.2.7p26。