曾建广厦千万间，布网络基础设施，筑在线业务系统，却屡遭攻击，不得老板员工俱欢颜？今天，来一起探究DDoS攻与防的缘起缘灭，看我们如何做到防百种攻击，保业务永续。

　　故事要从2013年12月30日，电竞界发生的一起“追杀”事件讲起。

　　木秀于林，风必摧之，竞技直播正盛的PhantomL0rd忽然被黑客组织DERP Trolling盯上，凡是PhantmL0rd参加的网络游戏，都不同程度地遭到了DERP Trolling的DDoS攻击。英雄联盟、EA官网、暴雪战网、DOTA2官网、企鹅俱乐部等游戏网站都因遭到DDoS攻击而瘫痪。

　　直播个游戏而已，怎么就被盯上了？杀两次还不够，还抗起了DDoS攻击这柄大刀，把知名的游戏门户砍了个遍。随着事件不断被曝光，一个令人意外的真相浮出水面，PhantomL0rd为了保住自己“王”的地位，偷偷地和DERP Trolling串通一气！一旦比赛过程中PhantomL0rd打不过对手，DERP Trolling就登场，向游戏服务器发动DDoS攻击使比赛异常终止，PhantomL0rd本人才是攻击的主导者！

　　事件的曝光让PhantomL0rd颜面尽失，却令DERP Trolling使用的DDoS攻击手段——NTP反射放大攻击“火”了一把。据悉，DERP Trolling是第一个利用NTP服务器进行大规模反射放大攻击的黑客组织。这次“追杀”事件之后，仅2014年第一周内，NTP反射放大攻击占到了DDoS攻击流量的69%。

什么是NTP反射放大攻击？

　　了解NTP反射放大攻击前，先来看看什么是NTP。

　　Network Time Protocol，网络时间协议，是一种用于保证网络中的计算机时间同步的协议。NTP协议采用服务器-客户端模型，提供了高精准度的时间校正机制，通过逐层传播的结构，实现时间同步。

　　NTP服务器会记录与其进行过时间同步的客户端IP地址，客户端可以通过Monlist请求索要这些记录。每个NTP服务器可以记录最后600个NTP客户端的IP地址。

　　当收到Monlist请求时，NTP服务器会返回这600个客户端IP地址，响应包按照每6个IP地址进行分割，最多可以返回100个响应包。“我只问了一句，你咋说了那么多？“记住这个知识点，大有文章。

　　下面说说NTP反射放大攻击的两个关键点——反射和放大。

　　反射

　　反射，就是把源IP地址伪造成被攻击IP地址，进行“传瞎话”的无耻行为。缺少源IP认证机制的协议最容易被利用，所以反射攻击均为基于UDP的无状态连接协议。NTP正是基于UDP协议进行传输，又赶上黑客把请求包的源IP地址篡改为攻击目标的IP地址，那么服务器返回的响应包就会被送到攻击目标，“反射”攻击发生了。

▲ 反射：冒充别人传瞎话

放大

　　放大，顾名思义，就是我假冒你的名义打他一拳，他要还给你100拳。黑客通常是利用互联网的ICT基础设施作为免费的“放大器”来进行放大攻击。

▲ 放大：四两拨千斤

攻击来了怎么破？

　　防御UDP反射攻击的有效方式就是围绕这两点进行防御：

　　?无状态防御

　　?大流量防御

　　华为Anti-DDoS系统具有一套完整、灵活的过滤机制和强大的设备处理能力，可以完美解决UDP反射放大攻击。应对UDP反射放大攻击最有效、最直接的防御手段就是特征过滤。

　　根据攻击报文的特征，自定义过滤条件，将已知的攻击特征，直接配置到过滤器的参数中。配置了静态指纹过滤后，AntiDDoS会对收到的报文进行特征匹配，对匹配到攻击特征的报文，再进行丢弃、限流等下一步操作。

高性能防护

　　单单只有技术，没有资源也是不行的。对于这种大流量的反射放大攻击，对防御系统的性能要求也非常高。AntiDDoS8000是业界唯一一款分布式AntiDDoS设备，具有大容量、高可靠、可扩展性强的特点。

　　?单槽位防御性能最大支持160Gbps/60Mpps，整机扩容能力强，其中AntiDDoS8160可以最大支持1.44T容量。

　　?所有关键组件均1：1备份，转发与控制分离。

　　?系统扩容只需要直接插入接口板或者业务板，接口板会自动分流到各业务板；业务板所有CPU互为备份，负载均衡。

　　在互联网初创时期，互联是第一要务，协议设计对安全性考虑不周，留下了非常多的安全隐患。反射放大攻击就是充分利用了网络协议的这一落后状态，以及互联网基础设施本身的超大体量，制造了一次又一次DDoS攻击事件。

　　近几年，基于UDP协议的各种反射放大攻击纷纷成为黑客新宠，所占比例也呈现逐年上升的势头，了解UDP反射放大攻击原理并具备相应的防御能力，也变得愈发重要了。