从 IP 访问中找到 DDOS 攻击的方法探索(图文)

DDOS 攻击即分布式拒绝服务攻击，是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。
常见的 DDOS 攻击方式有多种。UDP Flood 攻击是利用 UDP 协议进行的攻击。UDP 属于无连接协议，消耗系统资源较少，容易产生更高流量。攻击者向受害系统发送大量 UDP 数据包，当受害系统发现目的端口不存在等待中的应用程序时，会产生目的地址无法连接的 ICMP 数据包发送给伪造的源地址。若发送足够多的 UDP 数据包，就会造成系统拒绝服务攻击。
SYN Flood 攻击则利用了 TCP 三次握手的机制。攻击者向目标服务器发送大量伪造的 TCP SYN 包，服务器回应 SYN - ACK 包并等待客户端的 ACK 确认，但攻击者不会回应 ACK，使得服务器上有大量半连接状态的资源被占用，耗尽服务器资源，造成网络拥塞和服务中断。
DDOS 攻击对网络造成的危害极大。首先，它会让受害者的网络系统瘫痪或不稳定，例如企业的网络被攻击后，正常生产会受到影响，甚至可能无法运营。其次，会导致网络连接受到严重的负荷问题，用户体验降低，页面加载速度缓慢，无法正常访问网站。此外，DDOS 攻击还可能是为了掩盖黑客的入侵，从而窃取机密数据。例如，2016 年美国主要的 DNS 服务商 Dyn 遭受 DDos 攻击，致使半个美国网络瘫痪，造成了巨大的损失。

二、Linux 系统中查找 DDOS 攻击的方法

（一）安装工具

在 Ubuntu 系统中，安装 netstat 需要安装 net-tools 软件包，可以通过以下命令进行安装：sudo apt install net-tools。安装 nload 工具则使用命令：sudo apt install nload。在 CentOS 系统中，netstat 一般已安装，如果未安装可通过类似的包管理器进行安装。安装 nload 工具可使用命令：sudo dnf install nload。

（二）检查服务器负载

可以使用命令grep processor /proc/cpuinfo | wc -l检查服务器的逻辑处理器数量。服务器可用线程数是服务器可接受负载的一个便捷参考。如果负载等于或大于线程数，则可能表明活动量过高，可能遭到了 DDOS 攻击。比如一台服务器有 4 个可用线程，当平均负载高于 4 时，就表示服务器负载异常高。

（三）检查网络负载

nload 工具可以实时监控网络流量和带宽使用情况。使用时，在终端输入nload，按向左或向右箭头指定到要监控网络接口，终端将会显示所选接口进出网络流量详情。如果网络负载大大超出预期，可能遭到了攻击。

（四）查明连接 IP 地址

可以使用 netstat 命令查明连接到服务器的 IP 地址。命令为netstat -ntu|awk '{print $5}'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r，该命令的输出将列出连接到服务器的每个 IP 地址以及每个 IP 地址的实例数。如果看到一个 IP 地址含有大量实例（超过 100 个），这个地址是罪魁祸首的可能性很大。

（五）防御措施

确定可疑 IP 后，可以使用sudo route add ADDRESS reject命令禁止该 IP 地址，其中 ADDRESS 是可疑对象的 IP 地址。还可以调整 tcp 参数防范攻击，比如打开 SYN cookie 选项，禁止 SYN 攻击，在终端输入echo 1 > /proc/sys/net/ipv4/tcp_syncookies。此设置仅在重启之间生效，可写成脚本，开机自动调用。同时，可以考虑使用 iptables 设置防火墙规则，禁止可疑 IP 的访问。例如，可以使用iptables -A INPUT -s ADDRESS -j DROP命令禁止特定 IP 的访问，其中 ADDRESS 是可疑 IP 地址。

三、公众号平台应对 DDOS 攻击的措施

（一）嗅探目标与隔离流量
在公众号防 DDOS 攻击中，嗅探目标是至关重要的第一步。通过对网络流量进行实时监测，可以及时发现异常流量模式，特别是在对服务器的请求数量和承载能力方面。常见的迹象包括缓慢或根本无法访问公众号页面、网络阻塞等。一旦发现这些情况，就可能意味着公众号正在遭受 DDOS 攻击。
为了保证服务正常运行，需要隔离网络流量。将服务分离为不同的服务节点，避免 DDOS 攻击对整个服务的影响。例如，可以将公众号的不同功能模块部署在不同的服务器节点上，这样即使某个节点受到攻击，其他节点仍然可以正常提供服务。同时，通过合理的网络流量隔离，保证网络服务的正常运行。可以使用防火墙等技术手段，对网络流量进行筛选和过滤，只允许合法的流量通过，阻止恶意流量的进入。

（二）负载均衡与授权控制

负载均衡在公众号应对 DDOS 攻击中起着重要作用。将请求分散到多个服务器上可以减少被攻击服务器的压力。例如，可以使用 Nginx 等软件负载均衡器，根据特定策略将请求转发给后端的多个服务器，从而实现负载均衡。常见的负载均衡算法包括轮询、加权轮询、随机、最少连接等，这些算法可以根据不同的策略来选择合适的服务器处理请求。
授权控制也是防止未经授权访问的重要方法。在应用程序中，可以使用授权密钥或令牌来验证用户和应用程序。授权可以防止未经授权的访问，从而避免 DDOS 攻击。例如，可以使用 OAuth2.0 等授权框架，对用户进行身份验证和授权，只有经过授权的用户才能访问公众号的资源。

（三）系统补丁与防御 App

及时更新系统补丁对于公众号的安全至关重要。在 DDoS 攻击中，攻击者通常会利用操作系统的漏洞来进行攻击。及时更新系统补丁可以修复这些漏洞，从而提高系统的安全性，减少 DDoS 攻击的风险。公众号运营者应定期检查系统更新，确保及时安装最新的安全补丁。
开发 DDoS 防御 App 也是一种有效的防御措施。这种 App 针对 DDoS 攻击设计，通过多层次网络智能识别和分析系统，可在第一时间发现和阻止 DDoS 攻击，并提供优秀的防护方案。将这种 App 安装到手机或电脑上，可在确保网络安全和稳定的同时，使用户的网络连接更加顺畅、无障碍。例如，一些专业的网络安全公司推出的 DDoS 防御 App，可以实时监测网络流量，一旦发现异常流量，立即采取相应的防御措施。

（四）高防 IP 的运用

高防 IP 即高防护 IP，是一种通过网络安全技术对 IP 地址进行防护和保护的产品。在公众号应对 DDOS 攻击中，高防 IP 可以发挥重要作用。
高防 IP 能够防御多种类型的攻击，包括 DDoS 攻击和 CC 攻击等。其工作原理是当用户的服务器遭受攻击时，攻击流量会首先涌向用户服务器原本的 IP 地址。而配置了高防 IP 后，会在网络层面进行智能的流量牵引，将这些流量全部导向高防 IP。高防系统会对这些涌入的流量进行实时的深度监测和全面分析，通过复杂的算法和模型，识别出其中的恶意攻击流量。对于识别出的恶意流量，高防系统会采用多种先进且有效的技术手段进行处理，如流量清洗技术、黑洞牵引技术、限速技术等。
高防 IP 还具有发现攻击、过滤攻击和监控数据等功能。它能够实时监测网络流量，一旦发现攻击，立即启动防御策略，将恶意流量和清洗后的合法流量进行分离，以确保公众号正常运转。同时，高防 IP 还能对传输的数据进行加密，保障数据的安全传输。此外，高防 IP 还可以提供详细的监控数据，帮助公众号运营者了解网络安全状况，及时调整防御策略。

四、知乎平台识别 DDOS 攻击的方法

（一）攻击迹象与 Web 访问流程分析

在知乎平台上，识别 DDoS 攻击可以通过多种方式。首先，流量分析工具可以帮助发现一些明显的迹象。如果知乎平台出现访问突然缓慢、无法打开页面、长时间尝试访问被拒绝等情况，可能是遭受了 DDoS 攻击。例如，特定时间段内，来自单个 IP 地址或 IP 范围的可疑流量突然增加，或者来自共享单个行为特征（如设备类型、地理位置或 Web 浏览器版本）的用户大量请求知乎页面，都可能是攻击的迹象。
从 Web 访问流程分析，一次 Web 访问通常涉及多个协议。DDoS 攻击针对知乎服务器的攻击可能从这些流程入手。当用户访问知乎的资源时，首先通过浏览器发送请求，经过网络传输到达服务器。如果此时攻击者发动 DDoS 攻击，可能会通过发送大量虚假请求，使服务器无法处理正常用户的请求，从而导致知乎平台无法正常访问。

（二）DDoS 防护 ADS 服务介绍

1. Anti-DDoS 流量清洗：Anti-DDoS 流量清洗通过对互联网访问公网 IP 的业务流量进行实时监测，及时发现异常 DDoS 攻击流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉攻击流量。同时，为用户生成监控报表，清晰展示网络流量的安全状况。Anti-DDoS 流量清洗免费防护知乎平台使用的公网 IP（IPv4/IP6）资源，业务部署即可享用。

2. DDoS 原生高级防护：华为云推出的针对云服务直接提升其 DDoS 防御能力的安全服务。对于知乎平台在华为云上的 IP 生效，无需更换 IP 地址，通过简单配置，提供的安全能力就可以直接加载到云服务上，提升安全防护能力。例如，采用畸形报文过滤针对违反协议标准的报文进行检查和丢弃；利用特征过滤使用华为强大的指纹学习和匹配算法，识别带有指纹的攻击流量，并可针对自定义报文特征如 IP、端口等信息对报文进行过滤。

3. DDoS 高防：DDoS 高防服务通过高防 IP 代理源站 IP 对外提供服务，将所有的公网流量都引流至高防 IP，进而隐藏源站，避免知乎平台（用户业务）遭受大流量 DDoS 攻击。

（三）DDoS 原生高级防护 / 高防架构剖析

1. DDoS 原生高级防护原理：检测中心根据用户配置的安全策略，检测网络访问流量。当发生攻击时，将数据引流到清洗设备进行实时防御，清洗异常流量，转发正常流量。例如，当知乎平台受到攻击时，检测中心会迅速检测到异常流量，将数据引流到清洗设备，经过清洗后，将正常流量转发回知乎服务器，确保平台正常运行。

2. 流量清洗机制：畸形报文过滤针对违反协议标准的报文进行检查和丢弃；特征过滤使用华为强大的指纹学习和匹配算法，可识别带有指纹的攻击流量，同时可针对自定义报文特征，如 IP、端口等信息对报文进行过滤；虚假源认证和应用层源认证能验证流量源 IP 的访问意图和真实性；会话分析和行为分析能针对 TCP 连接和应用 DDoS 攻击的慢速、访问频率恒定、访问资源单一的特点进行统计分析，对具有较强躲避效果的僵尸网络 DDoS 攻击有良好的防范效果；智能限速则可以针对大流量正常行为进行限制和控制，保证服务器的可用性。

3. DDoS 原生高级防护业务架构：异常流量监管（DDoS 防御）系统，主要包括检测中心、清洗中心和管理中心三大组件。通常检测中心负责对分光或镜像流量做检测，发现防护目标 IP 流量异常通知管理中心，再由管理中心通知清洗中心引流。

4. DDoS 高防原理：DDoS 高防服务通过高防 IP 代理源站 IP 对外提供服务，将所有的公网流量都引流至高防 IP，进而隐藏源站，避免源站（知乎平台用户业务）遭受大流量 DDoS 攻击。

5. DDoS 高防业务架构：DDoS 高防服务采用分层防御、分布式清洗，通过精细化多层过滤防御技术，可以有效检测和过滤攻击流量。

（四）DDoS 高防功能特性

1. UDP Flood：UDP 攻击是攻击者利用 UDP 协议的交互过程特点，通过僵尸网络，向知乎服务器发送大量各种类型的 UDP 异常报文，造成服务器的网络带宽资源被耗尽，从而导致服务器的处理能力降低、运行异常。

2. SYN Flood：SYN Flood 攻击是一种典型的 DoS 攻击，利用 TCP 协议缺陷，发送大量伪造的 TCP 连接请求，使知乎服务器资源耗尽（CPU 满负荷或内存不足）。该攻击将使服务器 TCP 连接资源耗尽，停止响应正常的 TCP 连接请求。

3. NTP Reply Flood：NTP 反射放大攻击是一种分布式拒绝服务攻击，其中攻击者利用网络时间协议（NTP）服务器功能，用一定数量的 UDP 流量压倒目标网络或服务器，使常规流量无法访问知乎平台及周围的基础设施。

4. DNS Reflect Flood：DNS 反射放大攻击主要是利用 DNS 回复包比请求包大的特点，放大流量，伪造请求包的源 IP 地址作为受害者 IP，将应答包的流量引入受害的知乎服务器，受害者查不到攻击者的真实 IP。

五、头条平台防范 DDOS 攻击的措施

（一）高防 IP 的出招

高防 IP 是指网络安全服务商给要接入防御的用户所提供的一个带有防御的 IP，主要针对网络中的 DDoS 攻击进行保护。在头条平台上，高防 IP 可以防御多种类型的攻击，包括但不限于 SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、Ping Sweep、CC 等攻击。
其工作原理是当头条平台遭受攻击时，攻击流量会首先涌向平台原本的 IP 地址。而配置了高防 IP 后，会在网络层面进行智能的流量牵引，将这些流量全部导向高防 IP。高防系统会对涌入的流量进行实时的深度监测和全面分析，通过复杂的算法和模型，识别出其中的恶意攻击流量。对于识别出的恶意流量，高防系统会采用多种先进且有效的技术手段进行处理，如流量清洗技术、黑洞牵引技术、限速技术等。
高防 IP 还具有以下功能：

1. 发现攻击：7*24 小时主动实时监控数据馈送来检测 DDoS 攻击，对使用假 IP、TCP-SYN、UDP 或 ICMP 数据包等异常流量会自动识别和预警，并及时发送信息给运维人员。

2. 过滤攻击：一旦检测到攻击，清洗平台就会确定攻击源并分析恶意数据包。预定义过滤规则自动启动，它们分析恶意数据包或强制执行速率限制，以限制服务影响。由防护抓夹自定义安全策略并配置检测到的恶意流量的调节和过滤方式。

3. 监控数据：在进行流量清洗的同时可以实时观察 DDOS 攻击数据流量以及实时的流量清洗报表、实时连接数、请求数、带宽报表等数据，方便运维人员及时对这些数据进行分析。

（二）从 IP 源地址角度预防攻击

在头条平台上，可以从 IP 源地址角度预防 DDOS 攻击。当 DDoS 攻击发生时或结束后，可以根据相关信息定位攻击的来源，找到攻击者的位置或攻击来源。IP 地址来源定位在 DDoS 攻击防御过程中起到承上启下的关键作用。精准的 IP 地址定位结果既可以为进一步追踪真正攻击者提供线索，也可以为其他的防御措施，如流量限速、过滤等措施提供信息，还可以在法律上为追究攻击者责任提供证据。
基于 IP 源地址数量及分布变化来看，DDoS 攻击时，访问 IP 数量大幅度增加是攻击的一个明显特征。且此特征无法隐藏。如果能够对 IP 地址进行实时监测与判定，便能够有效地检测 DDoS 攻击，特别是攻击源地址分布均匀的 DDoS 攻击，采用新源地址出现速率作为攻击是否发生的依据，通过监测访问流数量变化，实现对 Flash Crowd 和 DDoS 攻击的有效区分。
同时，伪造源地址 DDoS 攻击发生时，IP 源地址的流数量熵值和目标地址流数量熵值均会发生较大变化，大量流汇聚导致目的地址的熵值大幅度下降，而攻击流的均匀使得源地址熵值会有所增加。通过训练出的阈值，可以检测 DDoS 攻击。而当无攻击发生时，对某一目标地址访问的源地址分布是稳定的，且通常成簇，而 DDoS 攻击发生时，IP 源地址的分布趋于离散。可以根据 IP 源地址这一特性，识别 DDoS 攻击的方法。
此外，通过对源地址、目的地址、端口进行监控，构建 TIR 树，可有效识别 DDoS、蠕虫和病毒邮件三种攻击。对一个服务器而言，以前访问的用户往往还会再次出现。在 DDoS 发生时，为这些用户提供服务，能够有效地抵御攻击。基于历史 IP 的过滤方法，根据正常访问源地址出现的频率和相应的数据包数构建 IP 地址数据库，并且采用滑动窗口进行过期地址淘汰。

（三）常规防范方法

在头条平台上，防范 DDOS 攻击的常规方法有以下几种：

1. 定期扫描：要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。

2. 配置防火墙：防火墙本身能抵御 DDoS 攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是 linux 以及 unix 等漏洞少和天生防范攻击优秀的系统。

3. 用足够机器承受黑客攻击：如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和中小企业网络实际运行情况不相符。

4. 充分利用网络设备保护网络资源：网络设备如路由器、防火墙等负载均衡设备，可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了 DDoS 的攻击。

5. 过滤不必要的服务和端口：在路由器上过滤假 IP，只开放服务端口成为很多服务器的流行做法，例如 WWW 服务器那么只开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。

6. 检查访问者的来源：使用 Unicast Reverse Path Forwarding 等通过反向路由器查询的方法检查访问者的 IP 地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假 IP 地址方式迷惑用户，很难查出它来自何处。因此，利用 Unicast Reverse Path Forwarding 可减少假 IP 地址的出现，有助于提高网络安全性。

7. 过滤所有 RFC1918 IP 地址：RFC1918 IP 地址是内部网的 IP 地址，像 10.0.0.0、192.168.0.0 和 172.16.0.0，它们不是某个网段的固定的 IP 地址，而是 Internet 内部保留的区域性 IP 地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部 IP 过滤，这样也可以减轻 DDoS 的攻击。

8. 限制 SYN/ICMP 流量：用户应在路由器上配置 SYN/ICMP 的最大流量来限制 SYN/ICMP 封包所能占有的最高频宽，这样，当出现大量的超过所限定的 SYN/ICMP 流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制 SYN/ICMP 流量是最好的防范 DOS 的方法，虽然该方法对于 DDoS 效果不太明显了，不过仍然能够起到一定的作用。

墨者安全已为游戏、电商、社交、金融等数千家互联网企业解决安全问题。通过云计算、大数据和人工智能技术助力企业打造更加智能、敏捷的风控系统，有效规避多种安全风险，使其免受因攻击带来的经济损失。例如，在某金融机构遭受 DDoS 攻击时，墨者安全迅速响应，利用其强大的防护能力和专业的技术团队，成功抵御了攻击，保障了金融机构的业务正常运行，避免了巨大的经济损失。
综上所述，墨者安全以其专业的技术、强大的团队和优质的服务，为企业提供了专业级的网络安全防御，是企业在网络安全领域的可靠合作伙伴。