DDoS攻击全族谱：从1Gbps到1Tbps的进化史

一、问题

网站被打的三大困境：
- 带宽耗尽：服务器瞬间瘫痪
- 连接耗尽：防火墙状态表爆满
- 业务逻辑攻击：数据库被拖垮

核心疑问：DDoS攻击有哪些类型？如何防御？

二、方案

DDoS攻击三大分类：
1. 流量型攻击(L3/L4)：打爆带宽
2. 协议型攻击(L4)：打爆连接数
3. 应用层攻击(L7)：打爆业务逻辑

生活比喻：
- 流量型：像洪水,淹没道路
- 协议型：像堵门,占满停车位
- 应用层：像恶意点餐,拖垮后厨

三、流量型攻击(L3/L4)

3.1 UDP Flood

原理：发送大量UDP包,耗尽带宽

攻击流程：

攻击者 → 伪造源IP → 发送UDP包 → 目标服务器

典型规模：
- 小型攻击：1-10 Gbps
- 中型攻击：10-100 Gbps
- 大型攻击：100+ Gbps

3.2 DNS放大攻击

原理：利用DNS服务器放大流量

放大倍数：
- 请求包：64字节
- 响应包：4096字节
- 放大倍数：64倍

案例：
- 2018年GitHub攻击：1.35 Tbps
- 攻击时长：10分钟
- 防御方式：Akamai CDN

3.3 ICMP Flood

原理：发送大量ICMP包(ping)

特点：
- 简单粗暴
- 容易被防火墙拦截
- 现代攻击较少使用

四、协议型攻击(L4)

4.1 SYN Flood

原理：利用TCP三次握手,耗尽连接数

攻击流程：

1. 攻击者发送SYN包
2. 服务器回复SYN-ACK
3. 攻击者不回复ACK
4. 服务器等待超时(默认60秒)
5. 连接表被占满

影响：
- 防火墙连接表满
- 负载均衡器瘫痪
- 正常用户无法连接

防御：
- SYN Cookie：不保存半连接状态
- 降低超时时间：从60秒降到3秒
- 增加连接表大小

4.2 ACK Flood

原理：发送大量ACK包,绕过SYN防御

特点：
- 伪造已建立连接的ACK包
- 服务器需要查表验证
- 消耗CPU资源

4.3 TLS握手攻击

原理：TLS握手消耗大量CPU

成本对比：
- 客户端：1次握手 = 0.1ms CPU
- 服务器：1次握手 = 10ms CPU
- 放大倍数：100倍

五、应用层攻击(L7)

5.1 HTTP Flood

原理：发送大量HTTP请求,耗尽Web线程

攻击方式：

# 简单HTTP Flood
while true; do
    curl https://example.com/search?q=expensive_query
done

特点：
- 请求看起来正常
- 难以区分真实用户
- 消耗数据库资源

5.2 Slowloris

原理：慢速发送HTTP请求,占住连接

攻击流程：

1. 建立HTTP连接
2. 发送部分HTTP头
3. 每10秒发送1字节
4. 保持连接不断开
5. 占满Web服务器连接数

影响：
- Apache默认150个连接
- 150个Slowloris连接即可打垮
- Nginx不受影响(异步IO)

5.3 HTTP/2 Rapid Reset

原理：快速创建和重置HTTP/2流

攻击规模：
- 2023年Google遭受：3.98亿 RPS
- 传统HTTP Flood：1000万 RPS
- 放大倍数：40倍

防御：
- 限制RST_STREAM速率
- 升级HTTP/2实现
- 使用CDN防护

六、压测工具 ≠ DDoS

6.1 合法压测工具

常用工具：
- wrk：HTTP压测
- k6：现代化压测
- ab：Apache Bench

特点：
- 真实IP
- 完整TCP握手
- 遵守HTTP协议

6.2 DDoS攻击

特点：
- 伪造源IP
- 跳过握手
- 分布式僵尸网络

法律风险：
- 压测自己的服务器：合法
- 压测别人的服务器：违法(未授权)
- 使用僵尸网络：严重违法

七、现代DDoS趋势

7.1 混合攻击

组合拳：

L3 UDP Flood(打爆带宽)
  ↓
L4 SYN Flood(打爆连接)
  ↓
L7 HTTP Flood(打爆业务)

7.2 新协议攻击

QUIC/HTTP3攻击：
- 基于UDP
- 绕过传统防火墙
- 防御难度更高

7.3 经济型DDoS(EDoS)

原理：攻击云服务,让受害者付巨额账单

案例：
- 攻击AWS Lambda
- 触发百万次调用
- 账单从$100飙升到$10万

八、小结

核心要点：
1. DDoS三大类：流量型(L3/L4)、协议型(L4)、应用层(L7)
2. 历史最大攻击：1.35 Tbps(GitHub 2018)
3. 现代趋势：混合攻击、新协议、经济型DDoS
4. 压测工具≠DDoS：合法压测需授权

防御策略：
- L3/L4：CDN + 清洗中心
- L4：SYN Cookie + 连接限速
- L7：WAF + 行为分析 + 验证码

成本对比：
- 发起DDoS：$50/小时(租僵尸网络)
- 防御DDoS：$5000/月(企业级CDN)
- 攻击成本远低于防御成本

参考资料：
- Cloudflare DDoS报告
- Akamai安全白皮书
- OWASP DDoS防御指南