从DoS到APDoS：DDoS攻击进化史

　　什么是DDoS攻击？

　　分布式拒绝服务（DDoS）攻击是指攻击者利用合理服务请求占用过多的资源，致使目标系统无法提供正常服务。这可以通过阻止各类访问请求来实现：服务器、设备、服务、网络、应用程序，甚至程序内的特定事务等。DoS攻击是一个系统发送恶意数据或请求，而DDoS攻击可以来自多个系统。

　　通常，DDoS攻击是通过请求数据来攻击淹没系统的。它可能是向Web服务器发送大量请求致使页面崩溃，或者是一个包含大量查询命令的数据库。后果是可用的互联网带宽、CPU和RAM容量不堪重负，其影响范围可能是应用程序和网站体验服务的中断，甚至导致整个业务宕机。

　　DDoS攻击的症状

　　DDoS攻击看起来和一些非恶意事件一样，例如：服务器或系统崩溃、过多的合法请求、甚至电缆被切断等等。通常需通过流量分析才能确定症结所在。

　　DDoS攻击的发展史

　　然而，DDoS攻击的危害让人们改变了对它的看法。在2000年年初，加拿大高中生迈Michael Calce通过一个分布式拒绝服务(DDoS)攻击，设法关闭了当时全球最主要门户网站之一雅虎(Yahoo)的服务。在接下来的一周中，Calce又成功地中断了Amazon、CNN和eBay等其他网站。

　　当然这并不是DDoS攻击的第一次实施，但是一连串高调且成功的攻击使得DDoS从新奇、轻微的滋扰转变成首席信息安全官和首席信息官维护业务安全运营的噩梦。

　　从那时起，DDoS攻击已成为一种频繁发生的威胁。通常用于目标明确的报复，进行敲诈勒索，甚至发动网络战。

　　经过多年的发展和演变，DDoS攻击的功能和危害也变得越来越大。20世纪90年代中期的攻击每秒可能只有150次请求，但这足以让许多系统瘫痪。如今他们传播的速度甚至超过1000Gbps。这在很大程度上是由现代僵尸网络的庞大规模所推动的。

　　2016年10月，互联网基础架构服务提供商Dyn DNS（现在的Oracle DYN）遭到数以千万计的IP地址的DNS查询服务的袭击。通过僵尸网络病毒“Mirai”实施的这次攻击据报道感染了超过十万台物联网设备，包括IP摄像机和打印机。在其爆发的高峰期，“Mirai”僵尸网络病毒感染了40万台以上的机器人。包括Amazon、Netflix、Reddit、Spotify、Tumblr和Twitter在内的服务都遭到攻击。

　　在2018年初，一种新的DDoS技术开始出现。2月28日，GitHub遭遇了可能是迄今为止最大的DDoS攻击，最高访问量为1.35Tbps。尽管Github经历了两次间歇性不可访问，但在20分钟内击退了攻击。这次攻击的规模令人担忧，因为它超过了Dyn攻击（1.2Tbps）。

　　对这次攻击技术的分析显示，它在某些方面比其他攻击更简单。虽然Dyn攻击是Mirai僵尸网络的产物，它需要恶意软件来攻击成千上万的物联网设备，但GitHub攻击利用了运行Memcached内存缓存系统的服务器，该系统可以响应简单的请求返回非常大的数据块。

　　Memcached是一个高性能的分布式内存对象缓存系统，用于动态Web应用以减轻数据库负载。

　　Memcached仅用于在内部网络上运行的受保护服务器上，并且通常几乎没有安全性来防止恶意攻击者欺骗IP地址和向毫无戒心的受害者发送大量数据。不幸的是，成千上万的Memcached服务器正在开放的互联网上，并且它们在DDoS攻击中的使用率已大幅上升。不能说服务器被“劫持”，因为它们会在不提出数据请求的情况下兴奋地发送数据包。

　　在GitHub攻击发生几天后，另一个基于Memecached的DDoS攻击猛烈涌入美国服务提供商，每秒数据为1.7TB。

　　与大多数DDoS攻击不同，“Mirai”僵尸网络的特点在于主要攻击安全防护比较脆弱的物联网设备，而非电脑和服务器。据调研机构BI Intelligence的调查到2020年将有340亿台互联网连接设备，而大多数(240亿台)将是物联网设备。

　　不幸的是，“Mirai”不会是最后一个物联网的僵尸网络。Akamai、Cloudflare、Flashpoint、Google、RiskIQ和Team Cymru等安全团队的调查发现了一个类似规模的僵尸网络——WireX，由100个国家内10万台安全设备组成的僵尸网络。而这次调查是针对内容提供商和内容传送网络的一系列大型DDoS攻击所促成的。

　　当今的DDoS攻击