揭秘图片 DDoS：僵尸网络如何让服务器陷入瘫痪(图文)

什么是图片 DDoS 攻击

图片 DDoS 攻击是利用僵尸网络发送海量请求，导致服务器瘫痪的一种分布式拒绝服务攻击方式。
在网络安全领域，DDoS 攻击一直是热门话题，而图片 DDoS 攻击作为其中的一种特殊形式，也引起了广泛关注。DDoS 攻击，即分布式拒绝服务攻击（Distributed Denial of Service），是指攻击者利用一台或多台不同位置的计算机对一个或多个目标同时发动攻击，消耗目标服务器性能或网络带宽，使服务器运行缓慢或者宕机，从而造成服务器无法正常地提供服务的网络攻击类型。
图片 DDoS 攻击具体来说，是攻击者通过控制大量被恶意软件感染的设备，形成僵尸网络。这些设备可能包括个人计算机、网络摄像头、路由器、智能家居设备等各种联网设备。攻击者利用僵尸网络向目标服务器发送海量的图片请求，迅速占用目标的带宽或处理能力，导致合法用户无法访问服务器中的图片资源，甚至将目标服务器彻底击垮。
攻击者控制大量设备的关键在于僵尸网络的构建和管理。首先，攻击者通过各种手段（如钓鱼邮件、恶意网站、社交工程等）传播恶意软件，诱使用户设备感染。这些恶意软件会在受感染设备上悄悄运行，并将设备连接到攻击者的命令控制（C&C）服务器。一旦设备被控制，攻击者就可以在任意时刻启动它们执行各种攻击命令。一旦僵尸网络规模足够庞大，攻击者就能够随时发动大规模的图片 DDoS 攻击。
僵尸网络发起的图片 DDoS 攻击并不限于简单的流量轰炸。攻击者还可以利用多种方式增强攻击效果，例如反射型攻击，通过伪造源 IP 地址，使得流量反射到目标服务器。比如，利用 DNS 反射、NTP 反射等协议，攻击者能够通过发送小量请求引发大量响应，进一步增加攻击流量。还有慢速攻击（Slowloris），攻击者通过慢速的 HTTP 请求连接占用服务器资源，而不立即发送完整的请求，使得服务器的连接池耗尽，导致拒绝服务。此外，攻击者还可以针对应用层发起攻击，通过大量伪造的合法请求使目标服务器负载过高，导致正常用户无法访问。

二、图片 DDoS 与传统 DDoS 的区别

传统 DDoS 攻击特点

传统 DDoS 攻击主要是通过向攻击目标发起大流量并发式访问，以造成服务不可用、系统瘫痪。这种攻击方式比较容易被识破，因为其流量特征较为明显，通常是大量的数据包在短时间内集中涌向目标服务器。目前市场上已经有成熟的应对方案，例如通过增加服务器带宽、使用专业的 DDoS 防护服务等方式来抵御攻击。

图片 DDoS 攻击特点

图片 DDoS 攻击的流量会伪装成正常流量，绕过防御设备，给企业带来很大困扰。其攻击来源主要有代理、感染肉鸡、云平台服务器。

1. 代理攻击：此类攻击源性价比最高，攻击 IP 易获得且成本低廉，用于攻击时攻击性能较好，所以在所有攻击事件中占比最高。企业在放行业务相关代理的基础上，对无需使用代理访问的网站封禁代理，可在防御中起到 “四两拨千斤” 的效果。

2. 感染肉鸡攻击：攻击源极为分散，且对应 IP 往往为宽带 / 基站出口 IP。这类攻击的攻击源在线情况并不稳定，单个攻击源攻击性能一般。对于这类攻击源发起的攻击，不建议企业采用 IP 粒度的防御方式，而应基于正常业务请求特性，事前封禁不可能出现的请求特征，或事中基于正常业务请求及攻击请求的差异性，动态地调整策略。

3. 云平台服务器攻击：借助各大云平台服务器发起的攻击事件占比最少，且攻击源个数仅为 0.18%。这得益于各大云平台针对 DDoS 攻击做了严格管控，也造成攻击者使用此类攻击源攻击的固定成本较高。如果发现攻击源 IP 来自少数几个 C 段，且正常情况下很少有该 IP 段的请求来访问，可以考虑将其封禁，避免潜在的恶意请求。

三、僵尸网络如何发送海量请求

利用真实 DNS 协议栈发起大量域名查询请求

控制大批僵尸网络利用真实 DNS 协议栈向目标发起海量域名查询请求，是一种常见的攻击手段。攻击者通过操纵被恶意软件感染的设备组成僵尸网络，利用真实的 DNS 协议栈向目标发送大量的域名查询请求。为了防止基于访问控制列表（ACL）的过滤，攻击者会提高数据包的随机性。常用的做法包括在 UDP 层随机伪造源 IP 地址、随机伪造源端口等参数，在 DNS 协议层随机伪造查询 ID 以及待解析域名。随机伪造待解析域名不仅可以防止被过滤，还可以降低命中 DNS 缓存的可能性，尽可能多地消耗 DNS 服务器的 CPU 资源。

利用工具软件伪造源 IP 发送海量 DNS 查询

攻击者还可以利用工具软件伪造源 IP 地址发送海量 DNS 查询，对目标服务器造成压力。这种攻击方式同样是通过操纵僵尸网络，利用工具软件伪造源 IP 地址，向目标服务器发送大量的 DNS 查询请求。由于源 IP 地址是伪造的，目标服务器很难确定攻击的真正来源，从而增加了防御的难度。这种攻击方式可以与利用真实 DNS 协议栈发起大量域名查询请求相结合，进一步增强攻击效果。

四、图片 DDoS 导致服务器瘫痪案例

ChatGPT 遭攻击案例

OpenAI 的 ChatGPT 遭黑客组织 DDoS 攻击，大面积瘫痪。虽然 OpenAI 并未透露 DDoS 攻击的来源，但一个名为 “苏丹匿名者” 的黑客组织在周三声称对这些攻击负责，攻击原因是 OpenAI “对以色列的袒护以及反对巴勒斯坦”。自 10 月初哈马斯以色列发生冲突以来，全球有近百个黑客组织宣布支持巴勒斯坦，“苏丹匿名者” 便是其中之一。该组织在攻击中使用了 SkyNet 机器人网络，自 10 月以来一直在提供 “压力测试服务”，并于上周增加了对应用层的 DDoS 攻击。在应用层 DDoS 攻击中，攻击者以应用程序为目标，通过大量请求淹没服务，导致服务因无法处理所有请求而挂起。本周四，数以千万计的 ChatGPT 用户发现无法正常访问 ChatGPT 服务，会看到 “似乎出了点问题”、“生成回应时出错” 或者 “网络故障” 的错误提示。OpenAI 官方确认了服务中断的原因是遭遇 DDoS 攻击，导致其 API 和 ChatGPT 服务在过去 24 小时内遭受了 “周期性中断”。

游戏、电商网站被攻击案例

游戏、电商行业易成为 DDoS 攻击目标。最高检公布了国内首例全链条打击黑客跨境网络攻击案，涉及黑客圈内知名的 “暗夜” 攻击小组。目前黑市上仍有大量通过此类网络 DDoS 攻击牟取利益的黑客团伙。在黑灰产交易平台中，网络攻击成为了明码标价的 “商品”，不少雇主直接发布想要攻击的网站地址或 APP 名称，雇佣黑客攻击，导致目标无法访问，服务瘫痪。根据目标网站的安全防御力不同，攻击的价格也有所不同。进行攻击的黑客、为黑客供应 “弹药” 的流量提供方、用来测试攻击力的 “墙”、同业竞争的雇主等，构成了网络攻击黑产产业链。例如，台州某智能科技公司遭攻击一案中，公司陆续接到不少游戏玩家投诉，反映在玩游戏时出现频频掉线等状况，后证实遭到了黑客 DDoS 攻击。为了应对攻击，公司专门花费 5 万多元购买 DDoS 防护包，但效果并不显著。最终公安机关抓获了涉事黑客骆某，发现其以 300 元的价格从雇主处接单，并租用了一台中控服务器，抓 “肉鸡”，使用 DDoS 攻击技术攻击了该公司的服务器。

吉安某网站被攻击案例

吉安居民宋某利用 DDoS 攻击脚本对国内某网站发起攻击，导致该网站瘫痪，同时宋某还建立非法定信道进行国际联网。近日，吉安网警在日常工作中发现，辖区居民宋某在网上对某网站发起 DDoS 攻击，涉嫌危害网络安全。获得该线索后，网安民警随即对涉案人员开展摸排并通过分析研判锁定嫌疑人宋某具体位置，并在第一时间迅速将其传唤至公安机关接受调查。经调查，嫌疑人宋某在网上为他人搭建网站的过程中，获取了 DDoS 攻击的脚本。于是其便使用虚拟器搭建了 DDoS 攻击程序，对国内某网站发起了 DDoS 攻击，导致该网站瘫痪。并且宋某曾建立非法定信道进行国际联网（即搭建翻墙 VPN）供自己及他人使用。经审讯，嫌疑人宋某如实供述了其利用 DDoS 程序攻击网站、及非法定信道进行国际联网的违法事实。目前，嫌疑人宋某已被公安机关依法处以行政拘留并罚款。该案件正在进一步侦办中。

五、图片 DDoS 攻击原理

容量耗尽攻击

容量耗尽攻击是图片 DDoS 攻击的常见方式之一。这种攻击通常借助僵尸网络和放大技术，通过向终端资源注入大量流量来阻止正常用户对终端资源的访问。常见的类型有 UDP 洪水攻击和 ICMP 洪水攻击。
就像写作素材中提到的那样，黑客使用大量的互联网控制消息协议（ICMP）请求或 ping 命令，试图耗尽被受害者服务器带宽，这就是 ICMP 洪水攻击。而 UDP 洪水攻击则是黑客将大量的用户数据报协议（UDP）数据包发送到受害主机，受害主机的资源由于 UDP 报文泛滥而耗尽，导致设备无法处理和响应对合法流量的服务。
这种攻击方式的目的是让目标服务器的带宽被大量虚假流量占据，使得正常用户无法访问服务器。例如，一个酒店的房间数量是有限的，当大量恶意客人涌入，占据了所有房间且不退房，就会导致真正的客人无法入住，酒店的正常服务被破坏。在网络世界中，容量耗尽攻击就如同这些恶意客人，让目标服务器无法为正常用户提供服务。

协议攻击

协议攻击是利用协议工作方式的漏洞发起攻击，常见类型有 SYN 洪水攻击、死亡之 Ping 攻击等。
SYN 洪水攻击利用了 TCP 三次握手机制的漏洞。客户端将 SYN 数据包发送到服务器，接收服务器返回的 SYN - ACK 数据包，但是永远不会将 ACK 数据包发送回服务器。因此，受害者的服务器留下了许多未完成的 SYN - ACK 请求，并最终导致崩溃。就如同写作素材中所说，攻击者会利用一些特殊工具制造大量的非法数据包，把原地址伪装成为一个实际不存在的地址，致使服务方根本得不到 ACK 回应。
死亡之 Ping 攻击则是黑客使用简单的 Ping 命令发送超大数据包，从而导致受害者的系统冻结或崩溃。
这些协议攻击方式通过针对协议的漏洞，让目标服务器陷入混乱，无法正常处理合法用户的请求。

应用程序攻击

应用程序攻击利用协议栈中的漏洞针对特定应用程序发起攻击，常见类型有 HTTP 洪水攻击、Slowloris 攻击等。
HTTP 洪水攻击是黑客利用大量的标准 GET 和 POST 请求淹没应用程序或 Web 服务器。由于这些请求通常显示为合法流量，因此检测 HTTP 洪水攻击是一个相当大的挑战。Slowloris 攻击则是攻击者按一定时间间隔向受害者的服务器发送 HTTP 请求。服务器一直在等待这些请求完成，最终，这些未完成的请求耗尽了受害者的带宽，使合法用户无法访问服务器。
应用程序攻击针对特定的应用程序，让目标服务器在处理这些看似合法的请求时陷入困境，从而影响正常用户的使用。

六、防范图片 DDoS 攻击方法

定期扫描网络主节点

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

配置防火墙

在骨干节点配置防火墙，防火墙本身能抵御 DDoS 攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是 linux 以及 unix 等漏洞少和天生防范攻击优秀的系统。

用足够机器承受攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和中小企业网络实际运行情况不相符。

充分利用网络设备

所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了 DDoS 的攻击。

过滤不必要服务和端口

可以使用 Inexpress、Express、Forwarding 等工具来过滤不必要的服务和端口，即在路由器上过滤假 IP。比如 Cisco 公司的 CEF（Cisco Express Forwarding）可以针对封包 Source IP 和 Routing Table 做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，例如 WWW 服务器那么只开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。

检查访问者来源

使用 Unicast Reverse Path Forwarding 等通过反向路由器查询的方法检查访问者的 IP 地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假 IP 地址方式迷惑用户，很难查出它来自何处。因此，利用 Unicast Reverse Path Forwarding 可减少假 IP 地址的出现，有助于提高网络安全性。

限制 SYN/ICMP 流量

用户应在路由器上配置 SYN/ICMP 的最大流量来限制 SYN/ICMP 封包所能占有的最高频宽，这样，当出现大量的超过所限定的 SYN/ICMP 流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制 SYN/ICMP 流量是最好的防范 DOS 的方法，虽然该方法对于 DDoS 效果不太明显了，不过仍然能够起到一定的作用。

使用第三方防御

当用户自身硬件设备不能满足抵御需求，选用第三方的清洗，便是一种经济、便捷的防御手段。免去数据迁移。现在常见的第三方防御有，高防 ip、高防 dns、高防 cdn、ddos 云盾。对比以上的几种第三防护，相对来说高仿 ip 是防御比较全面，通过服务器集群防御、清洗流量、隐藏源站 ip。集成了云 waf 功能。能抵御 ddos 混合攻击，覆盖 OSI 七层模型，进行防御。

 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。