史上大型DDoS攻擊每秒5億個數據包

謝真山

2019年初，Imperva應客戶要求緩解了一起每秒數據包數量超5億個的DDoS攻擊，可能是按數據包規模計的史上最大型DDoS攻擊。

1月10號的攻擊是所謂的SYN洪水攻擊——攻擊者通過發送超出目標計算機處理能力的TCP連接請求令該主機掉線。Imperva稱，本次攻擊中所用洪水數據包既有正常SYN包，也有大小在800～900字節之間的超大SYN包，源P地址和端口也是高度隨機的。

攻擊者往往綜合采用正常包和超大包攻擊，正常SYN包耗盡CPU等服務器資源，而超大SYN包用于阻塞網絡。

Imperva的調查發現，1月初的攻擊采用了兩個已知工具，一個用于發起正常SYN流量洪水，另一個制造超大SYN包攻擊。這兩個工具似乎是不同作者編寫，然后被人組合使用在互聯網歷史上最密集的網絡基礎設施DDoS攻擊上。

公司企業和媒體往往傾向于關注DDoS攻擊的規模，但實際上，規模并不是攻擊緩解難度或破壞程度的最佳反映，每秒包數量（PPS）是更好的指標。

2018年GitHub遭受的攻擊，其峰值流量達到1.35 3713每

使用惡意DNS解析程序和惡意根證書，你的隱私和安全性將完全受到損害。

可以采取的動作

不要安裝第三方根證書！只有非常少的例外情況才需要這樣做，并且它們都不適用于一般最終用戶。

不要被廣告攔截、軍事級安全或類似的營銷噱頭所吸引，有一些方法可以自行使用DNS解析器來增強你的隱私，但安裝第三方根證書永遠不會有意義，你正在將自己置身于陷阱之中。

警告

有位友好的系統管理員提供了一個現場演示，你可以實時看到自己，這是真事。千萬不要輸入私人數據！之后務必刪秒，堪稱史上最大帶寬密集型DDoS攻擊，該攻擊吸引了大量關注，常被當作大型DDoS攻擊可致巨大挑戰的典型例子。

從緩解的立場看，提供足夠的網絡帶寬可以減弱這種攻擊。當下的DDoS攻擊緩解及防護服務傾向于提供遠超目前最大型DDoS攻擊規模的帶寬，這使得攻擊規模不再成為令公司企業頭痛的問題。

但處理涉超高PPS的攻擊就是另一碼事了，因為評估每個包所需的計算處理能力才是個中關鍵。限制網絡路由器、交換機和服務提供商用以緩解DDoS攻擊的設備的，不是數據包的大小，而是其產生速度。緩解高PPS攻擊需要的處理能力，遠遠超出了當前絕大多數網絡設備路由或交換數據包的能力。

公司企業提供帶寬容量，所以大小往往成為衡量DDoS攻擊的標準度量。但高PPS攻擊才是公司企業更應該關注的方向。比如說，GitHub攻擊案例中，DDoS流量主要由不同服務器的相同端口發出的大數據包組成，PPS速率相對較低，為1.296億。而本月初Imperva緩解的這起攻擊，從隨機源地址發出的包數量幾乎是GitHub攻擊的4倍。

高PPS攻擊更難以產生，因為需要更多的計算資源，同理，其緩解也需要更多計算資源。

DDoS攻擊的影響最終取決于攻擊方式和目標企業的脆弱性。運用得當的話，無論是高帶寬的攻擊還是高PPS的攻擊，都能造成災難性后果。提前預測多方式DDoS攻擊的發展是不可能的。不同方式帶來不同的緩解挑戰。比如，高PPS攻擊不會像高帶寬攻擊那樣頻繁地阻塞鏈路，高帶寬攻擊往往對無辜路人造成連帶傷害，用網絡擁塞將他們一起擠掉線。除證書和該DNS！如果你不知道如何操作，那就不要安裝它。雖然我們相信朋友，但不要隨便安裝隨機和未知的第三方根證書。