震惊！二狗子的火锅店被隔壁老王 DDoS 攻击了

Posted 2023-05-23 又拍云

近两年，游戏出海已经成为了出海热潮中的一员。在“后宅经济时代”的影响下，也得益于海外市场的互联网人口，游戏出海涨势非常迅猛。部分游戏在短时间内走红后，就会遭到了一些“有心人”发起的恶意网络攻击，其中最为常见的一种就是 DDoS 攻击。

在聊 DDoS 攻击之前，我们先来看看什么是 DoS。

DoS和DDoS

当个别 IT 基础设施组件负载过高时，通常会发生拒绝服务的情况，我们称之为 DoS（拒绝服务）。如果是这是因为攻击者用大量请求淹没目标链接，以致于服务器无法再处理所有请求时，即为 DoS 攻击。DoS 攻击会造成设备、操作系统和单个服务器服务只能以延迟的方式响应请求（如果还没完全宕机的话）。
DoS 的一种常见形式称为 “分布式拒绝服务” （DDoS，Distributed Denial of Service）。

以游戏 App 为例，DDoS 攻击的发起者不是只使用一台计算机，他们通过用大量不同机器的请求去 “轰炸” 这个游戏的服务器，最终导致服务器负载过重，运行的系统就会变慢甚至完全崩溃。这样，真正的游戏用户就无法再快乐地玩耍这个游戏。

举个具体的例子，让大家更清楚地了解什么是 DDoS 攻击。二狗子开了一家有 50 个座位的火锅店，用料上成食材新鲜，生意特别红火，而隔壁老王家的火锅店却无人问津。隔壁老王为了对付二狗子，叫了 50 个人去二狗子的店里坐着，找二狗子问这问那，然而他们就是不点菜，还占着座位赖着不走。二狗子和他的火锅店都崩溃了，因为真正的顾客进店连坐的地方都没有，也得不到热情的服务。

DDoS 攻击的基础基本是庞大的计算机群体。这些计算机攻击源组合在一起形成了巨大的僵尸网络，这样巨大的网络会产生比单个系统执行的简单 DoS 攻击更多的流量。DDoS 攻击会对网站管理造成相当严重的影响，因为定位攻击源的希望通常很渺茫。攻击者往往会向保护措施不足的计算机植入代码程序，即计算机病毒，这些计算机会在管理员不知情的情况下被攻击者控制。如今，路由器、监控摄像头或数字视频录像机等 IoT（物联网）设备使用也越来越频繁，这些设备也可能被利用变为 “僵尸主机”。

DDoS攻击类型

与其他种类的网络入侵不同，DDoS 攻击不会去试图渗透系统。相反，它可能会成为其他入侵中的一部分。例如，当一个系统瘫痪时，攻击可以用来分散服务器管理员的注意力，这样就容易忽略系统的其他地方正在被入侵。DDoS 攻击背后的策略可分为三类：

• 带宽过载
• 系统资源过载
• 利用软件错误和安全漏洞

1. 带宽过载

超载带宽的目的是令计算机无法访问。DoS 和 DDoS 攻击直接针对系统网络及其各自的连接设备。路由器一次只能处理一定数量的数据，如果超出此容量，其他用户将无法再使用服务。超载带宽中典型的 DDoS 攻击是 Smurf 攻击。
Smurf 攻击：这种 DDoS 攻击利用了 Internet 控制报文协议（ICMP），ICMP 的主要作用在于在计算机网络中交换信息和错误报告。攻击者将经过篡改的 ICMP 应答请求数据包（Ping）发送到网络的广播地址，使用目标的 IP 地址作为发件人地址；然后广播请求从路由器转发到所有连接的设备，导致该网络的所有设备都对此 ICMP 应答请求做出答复，进而淹没受害主机，导致网络阻塞。更加复杂的 Smurf 将源地址改为第三方的受害者，最终导致第三方崩溃。

2. 系统资源过载

针对 Web 服务器的 DDoS 攻击 是最为常见的。攻击者利用了 Web 服务器只能建立有限的数量连接。如果这些链接被无效请求占用，那么就能有效地阻止正常用户请求。这就是 Flood 泛洪。针对系统资源的经典 DDoS 攻击模式有 Ping Flood、SYN Flood 和 UDP Flood。
HTTP Flood：这是最简单的 DDoS 资源过载攻击的变体。攻击者通过大量 HTTP 请求淹没目标的 Web 服务器。他们只需访问网页中任何一个元素，就能让服务器因请求量过载而崩溃。

Ping Flood：此类攻击下，攻击者会使用 ICMP 应答请求数据包令服务器过载。这些请求通常由僵尸网络大规模发送。由于这些请求必须用来自目标系统的数据包来回答，数量过多就会消耗主机资源，主机资源耗尽后就会瘫痪或者无法提供其他服务。

SYN Flood：这种攻击属于滥用了 TCP 三次握手连接。TCP（传输控制协议）是一种网络协议，它与 IP 一起确保互联网上的数据流量通畅。TCP 连接在三步验证中建立，该过程从客户端向服务器发送同步数据包（SYN）开始；然后服务器接收到它，服务器用自己的同步数据包（SYN）和确认（ACK）确认请求；最后连接过程以客户端确认（ACK）结束。SYN flood 会在服务器上创建大量的半开连接，比如一直停留在最后一步，服务器会将这些没有最终确认的连接存储在内存中，直到服务器资源被完全耗尽。

UDP Flood：这种类型的攻击主要依赖于无连接的用户数据报协议（UDP）。与 TCP 协议传输不同，数据可以通过 UDP 传输而无需事先建立连接。对于 DDoS 攻击，UDP 数据包被发送到目标系统上的随机端口。系统会尝试确定哪些应用程序正在等待传输数据，确认未成功的情况下，会将 ICMP 数据包连同消息 “ Destination Unreachable（目的地无法到达）” 一起发送回发送方。当请求量过大时，系统资源过载，就会影响普通用户的请求。

3. 利用软件错误和安全漏洞

如果黑客在操作系统或程序中发现某些安全漏洞，他们也可以策划 DoS 或 DDoS 攻击来引发系统崩溃。此类攻击的类型包括死亡之 Ping 和 LAND（局域网拒绝服务）攻击等。
Ping of death：这种攻击的目的是造成系统崩溃。这是一种基于 IP 的攻击，这种攻击主要是由于单个包的长度超过了 IP 协议规范所规定的包长度。IP 数据包通常作为片段发送，如果组装后的 IP 数据包大于了 64 KB 的最大允许值，就会导致缓冲区溢出。包当中的额外数据就会被写入其他正常区域。这很容易导致系统进入非稳定状态，是一种典型的缓存溢出（Buffer Overflow）攻击。在一级防火墙中对于这种攻击进行检测是相当难的，因为每个分片包看起来都很正常。

LAND 攻击：这种类型的攻击通过发送精心构造的、具有相同源地址和目标地址的欺骗数据包，致使缺乏相应防护机制的目标设备瘫痪。攻击者发送符合 TCP 三次握手的 SYN 数据包，SYN 数据包与要攻击的服务器具有相同的目标和源地址，使目标机器开启一个源地址与目标地址均为自身 IP 地址的空连接，持续地自我应答，消耗系统资源直至崩溃。

如何预防和减少DDoS攻击的影响

了解了各种类型的 DDoS 攻击，然而我们并没有什么非常完美的办法阻止黑客发起攻击，只能提前加以防范。具体如何采取措施进行预防呢？一种方法是识别疑似攻击 IP 地址进行处理，同时关闭和修复任何已知的系统安全漏洞。此外，有条件的情况下可以使用专业的硬件和软件资源来阻挡攻击。

• IP 黑名单：添加 IP 黑名单可以识别关键 IP 地址并拒绝发出的数据包。这种措施可以手动添加，也可以通过防火墙策略自动添加黑名单。不过请求还是会落到主机上，如果请求量庞大还是会对系统造成影响。
• 过滤：过滤不必要的服务和端口，过滤掉不规则的数据包，也可以定义指定时间段内的访问数量限制，或对请求进行限速。
• SYN cookie：是对 TCP 服务器端的三次握手协议作一些修改，专门用来防范 SYN Flood 攻击的一种手段。有关 SYN 数据包的信息将不再保存在服务器上，而是作为加密 cookie 发送给客户端。SYN Flood 攻击会占用一些计算机容量，但不至于使系统的内存过载。
• 专业的高防服务：高防服务器主要是指独立单个硬防防御应对 DDOS 攻击和 CC 攻击 100G 以上的服务器，可以为用户提供安全维护，根据各个 IDC 机房的环境不同，有的提供硬防，有的使用软防。简单来说，就是能够帮助网站抵御拒绝服务攻击，并且定时扫描现有的网络主节点，查找可能存在的安全漏洞。目前除了高防服务器，还有高防 IP、高防 CDN 等更专业的产品。

如果您的网站在使用又拍云 CDN ，又拍云还提供了各种访问控制功能，包括各种防盗链、IP 访问限制、CC 防护、WAF 防护、限速等多种功能，大家可以根据自己的需求自行开启~

二狗子 初恋及HTTPS

最近二狗子宅在老家，最悠闲的就是泡壶茶看着院子的风景发呆一下午。今天，二狗子看到了对面自己暗恋的小翠花，看着美好的小翠花二狗子不禁想起了自己美好的初恋。

二狗子的初恋在初中，那个时候学校禁止带手机。上课交流靠三宝，脚踢屁股、笔戳后背和传纸条。最危险的就是传纸条，尤其是早恋，被老师抓到就是一首《凉凉》，然后叫家长，又是一首《爸爸妈妈的爱》。

二狗子很聪明，就跟初恋商量了一下，加密一下小纸条上面的内容，这样就算被班主任抓到也奈何不了。二狗子将英文字母和数字一一对应，组成一个密码本，这样小纸条上只写数字，收到后要将数字翻译成对应字母，再拼成拼音才能解密。

密码本成就了二狗子美好的初恋，后来二狗子长大了，成了一名程序员，他才发现，网络数据传输中的 HTTPS 其实也是类似的原理。

HTTPS的加密算法

聊 HTTPS 之前，我们先来看下 HTTP 协议，HTTP 协议（HyperText Transfer Protocol），即超文本传输协议，是客户端浏览器或其他程序与 Web 服务器之间的应用层通信协议 。

HTTPS，则是 HTTP over SSL，即 HTTP+SSL/TLS，可以理解为 HTTP 下加入 SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL，用于安全的 HTTP 数据传输。

上文中提到的传小纸条，其实也算是一种加密算法，而在 HTTPS 中应用的加密算法主要有以下几种：

1、对称加密

有流式、分组两种，加密和解密都是使用的同一个密钥。

例如：DES、AES-GCM、ChaCha20-Poly1305 等

2、非对称加密

加密使用的密钥和解密使用的密钥是不相同的，分别称为：公钥、私钥，公钥和算法都是公开的，私钥是保密的。非对称加密算法性能较低，但是安全性超强，由于其加密特性，非对称加密算法能加密的数据长度也是有限的。

例如：RSA、DSA、ECDSA、 DH、ECDHE

3、哈希算法

将任意长度的信息转换为较短的固定长度的值，通常其长度要比信息小得多，且算法不可逆。

例如：MD5、SHA-1、SHA-2、SHA-256 等

4、数字签名

签名就是在信息的后面再加上一段内容（信息经过 hash 后的值），可以证明信息没有被修改过。hash 值一般都会加密后（也就是签名）再和信息一起发送，以保证这个hash值不被修改。

HTTPS 为什么安全

HTTP 请求过程中，客户端与服务器之间没有任何身份确认的过程，数据全部明文传输，“裸奔”在互联网上，所以很容易遭到黑客的攻击。

图中可以看到，客户端发出的请求很容易被黑客截获，如果此时黑客冒充服务器，则其可返回任意信息给客户端，而不被客户端察觉，所以我们经常会听到一词“劫持”。

上图是 HTTPS 握手流程，可以看到相比 HTTP，HTTPS 传输更加安全。

• 所有信息都是加密传播，黑客无法窃听。

• 具有校验机制，一旦被篡改，通信双方会立刻发现。

• 配备身份证书，防止身份被冒充。

而 HTTPS 一整套的加解密和校验方案，主要从下面三个方面确保传输的安全。

1. 身份认证

传输之前首先通过数字证书来确认身份，各大 CA 厂商干的就是这个事情。这里涉及到一个名词：数字证书。数字证书分为公钥和私钥，CA 厂商会用自己的私钥来给证书申请者签发一套包含私钥和公钥的客户证书，客户的公钥证书谁都可以获取，里面包含了客户站点和证书的基本信息，用来确保访问者访问的就是他想要访问的站点。

这个证书不可以伪造吗？答案是真的不可以。

原因一：系统早已内置了各大 CA 厂商的公钥来校验证书是否是对应的站点的证书，如果不是，就会给出证书不匹配的提示，除非你给别人的设备强行植入假的 CA 公钥。

原因二：这个证书是 CA 厂商通过哈希并加密得到的，基本无法逆向破解并伪造一个新的，除非是你黑进 CA 获取了 CA 的私钥，那这家 CA 也基本可以倒闭了。

2. 数据保密

数据保密包括会话秘钥传输时候的保密和数据的加密传送。具体的加密方式就不再赘述了。

3. 数据完整

身份认证成功后，到了数据加密传输的阶段，所有数据都以明文（HTTP）收发，只不过收发的是加密后的明文。这时候也遇到了一个问题，虽然中间人很难破解加密后的数据，但是如果他对数据进行了篡改，那该怎么办？此时加密套件验证数据一致性的哈希算法就派上用场了，哈希算法有多种，比如 MD5 ，SHA1 或者 SHA2 等，上面举例的加密套件使用的是 SHA2 中的 SHA256 来对数据进行哈希计算。这样就使得任何的数据更改都会导致通信双方在校验时发现问题，进而发出警报并采取相应的措施。

如何将 HTTP 升级为 HTTPS？

部署 HTTPS 需要以下三个必要条件或步骤：

• 申请 SSL 证书，你可以选择收费或者免费的的 SSL 证书，不同类型的 SSL 证书安全程度不尽相同。

• 部署 SSL 证书，又拍云提供一键部署，平台全局自动化管理，采用了最优质的 HTTPS 加速解决方案，可帮助用户以最低的成本，享受最优的服务，完成网站 HTTP 到 HTTPS 的转换。

• 将网站所有 HTTP 链接更换为 HTTPS。

又拍云是众多云厂商中唯一一家提供两款免费的 SSL 证书的云厂商，同时也提供各种付费证书的购买。最近全新上线了 GlobalSign SSL 证书，GlobalSign 成立于 1996 年，是一家声誉卓著，备受信赖的 CA 中心和 SSL 数字证书提供商，在全球总计颁发超过 2000 万张数字证书。偷偷的告诉你，最近 GlobalSign SSL 证书全新上线，有非常大的促销力度哦~

推荐阅读

凡人自保指南：武汉肺炎的个人防护、装备选择与使用建议

为什么 HTTPS 比 HTTP 安全