当流量成为武器：深入了解DDoS攻击

到底什么是DDoS？

DDoS全称是分布式拒绝服务攻击。听着挺唬人，但理解起来很简单：

正常的网络访问就像顾客挨个走进一家餐厅，服务员能轻松接待。DoS攻击相当于派几百个人同时挤进餐厅，只问路不点餐，把门堵死。而DDoS攻击呢？更狠。黑客先控制了分布在世界各地的几千台电脑或智能设备，然后命令它们在同一时间，一起冲向你的餐厅。真正的顾客根本挤不进来，你的生意就黄了。

它不是偷你的数据，也不是破解你的密码。它就是用蛮力，把你从互联网上“挤下去”。

第一拳：打你的带宽—— volumetric attacks（洪水攻击）

这是最经典、最暴力的方式。攻击者用海量数据直接撑爆你的网络管道。

想象你的网络带宽是一条高速公路，平时车辆顺畅通行。洪水攻击就是在同一秒内，往这条路上塞了几十万辆报废车。正常数据包根本找不到缝隙通过。常见的DNS放大攻击就是这种，攻击者伪装成你的IP地址，向全世界的DNS服务器发送小请求，这些服务器却会返回大几十倍的响应，瞬间把流量放大数百倍。

第二拳：打你的连接——协议攻击

这种更阴，它不靠流量大，而是利用网络协议本身的弱点。

SYN洪水是典型代表。正常的TCP连接需要三次握手：客户端说“在吗”（SYN），服务器说“在”（SYN-ACK），客户端再说“好嘞”（ACK），连接建立。但SYN洪水只发第一步，服务器回了“在”之后，对方就消失了。服务器得傻等这个回应，等待期间资源一直被占用。几十万个这样的半开连接，就能把服务器的连接表塞爆，正常的连接请求全被丢弃。

第三拳：打你的应用——应用层攻击

这是最“聪明”的攻击方式，专门针对网站程序本身。

比如HTTP慢速攻击。它不和你在连接速度上较劲，而是和服务器建立正常连接后，故意把请求数据以一个字节一个字节的速度发送——“请……给……我……首……页……”服务器就得一直等着它念完。几千个这样的连接，就能耗尽服务器的线程资源。更狠的是直接针对搜索功能、数据库查询这些消耗资源大的页面，发起正常访问量的请求就能把服务器搞崩，因为每次请求都要消耗大量CPU和内存。

谁在发动攻击？黑暗森林里的各类角色

最开始我以为这都是黑客炫技，后来发现DDoS早就形成了完整的黑色产业链。

底层是工具贩卖者。花几百块就能在暗网买到DDoS攻击服务，有包月套餐，还带“售后服务”。买到服务的人，可能只是看不惯某个游戏里打败自己的对手，或者某个论坛上意见不合的网友。往上是商业竞争者。再往上还有政治动机的黑客组织。他们攻击政府机构、新闻媒体，制造混乱。最上层则是国家背景的网络部队，把DDoS当作网络战中的常规武器。

互联网丛林里的猎食者，随手就能拿到猎枪。

历史上那些载入史册的恐怖攻击

了解历史才能感受这种攻击的真正威力。

2016年10月，美国东海岸大面积断网。不是某一家公司，是整个地区。攻击者瞄准了DNS服务商Dyn，当时流量峰值达到1.2Tbps（1Tbps等于1000Gbps）。这个数字有多可怕？我们公司被30Gbps的攻击打到生活不能自理，那次是1.2Tbps，相当于四万倍的体量。攻击的武器更让人心寒，不是传统服务器，而是数百万台被劫持的智能摄像头、路由器、智能门锁这些物联网设备。

2018年GitHub遭遇的1.35Tbps攻击也让我记忆深刻。攻击者利用了Memcached放大技术，可以将攻击流量放大五万倍。也就是说，攻击者自己只需要发出很小流量的请求，就能换来灾难性的回击效果。

2020年，AWS直接扛下2.3Tbps的攻击。虽然顶住了，但这个记录让人害怕。攻击规模一直在以指数级增长，防护技术如果跟不上，后果不堪设想。