近期，媒體報道了多起大型反射類DDoS攻擊事件。2018年3月，美國知名代碼托管網站 GitHub 遭遇了史上最大規(guī)模的 DDoS 網絡攻擊，攻擊者利用 Memcache 協(xié)議進行DDoS 反射放大攻擊。2017年12月，百度智云盾成功防御了一次峰值為144Gbps的SSDP型反射攻擊，持續(xù)時間超過2天。反射類型的 DDoS 攻擊正在荼毒全球用戶，且愈演愈烈。

　　反射類DDoS攻擊易以小搏大，成攻擊者強力武器

　　反射型的 DDoS 攻擊是當前最流行的一種DDoS攻擊方式，又被稱為DRDoS(Distributed Reflection Denial os Service，分布式反射拒絕服務)攻擊，是指攻擊者利用路由器，服務器等公共的開放式服務對欺騙性質請求產生應答，從而反射攻擊流量并隱藏攻擊來源的一種分布式拒絕服務攻擊技術。

　　近年來，反射類攻擊越來越受到攻擊者的追捧，一方面是反射類型的 DDoS 攻擊可以更好的隱藏攻擊者的行蹤。因為攻擊者并不直接攻擊目標服務 IP，而是利用互聯(lián)網的提供公共開放服務的服務器。攻擊者通過偽造被攻擊者的 IP 地址、向有開放服務的服務器發(fā)送構造的請求數(shù)據(jù)包，該服務器會將響應數(shù)據(jù)包發(fā)送到被攻擊 IP，從而對后者間接形成 DDoS 攻擊。

　　另一方面反射類攻擊容易帶來巨大攻擊流量，反射攻擊真正的威脅在于利用反射原理進行的放大攻擊。放大攻擊是一種特殊的反射攻擊，其特殊之處在于反射器對于網絡流量具有放大作用，開放的網絡范圍內，可被利用的服務很多，同時放大倍率高，從而讓攻擊者可以通過以小搏大的方式發(fā)起攻擊。

　　反射服務攻擊實際放大倍數(shù)，受到具體服務端性能和中間網絡過濾等因數(shù)影響，實際無法達到理論值。

　　智云盾加強反射類攻擊監(jiān)測，保護用戶免受威脅

　　針對反射類DDoS攻擊大幅上升的情況，百度安全智云盾加強了對反射類DDoS攻擊事件監(jiān)測，據(jù)數(shù)據(jù)顯示，2017年被反射攻擊利用IP地址達45萬個，中國范圍內的反射源最多占比86.5%。智云盾通過對反射攻擊所利用的協(xié)議統(tǒng)計發(fā)現(xiàn)，被利用最多的反射協(xié)議是SSDP。其次新型反射攻擊也不斷涌現(xiàn)，就在2018年3月，一次峰值2Gbps未知反射類型的DDoS攻擊，整個攻擊持續(xù)了15分20秒，通過對智云盾的安全數(shù)據(jù)分析，認定這是一次新類型的使用了IPMI協(xié)議進行的反射攻擊。

　　根據(jù)監(jiān)測數(shù)據(jù)，全國被利用最多發(fā)起反射攻擊的服務器歸屬于青島，共參與了22558次反射攻擊事件。智云盾防護的DDoS反射攻擊監(jiān)測數(shù)據(jù)中，動輒上百 Gbps 的攻擊已十分常見，反射型DDoS 攻擊正變得越來越嚴重。而且，隨著攻擊者掌握越來越多的互聯(lián)網資源，攻擊復雜性也一直在增加，相應的企業(yè)用戶所面臨的DDoS 威脅也不斷增多。

　　當被攻擊者看到流量異常時，攻擊流量已經阻塞了用戶的下行流量端口。所以針對反射類DDoS攻擊，除了需要各方通力合作對互聯(lián)網上的設備和服務進行安全管理和安全配置消除反射源之外，還需要在服務端做好防御準備，比如增加 ACL 過濾規(guī)則和 DDoS 清洗服務。此外，百度智云盾通過設置開放服務白名單的方式對所有入向流量進行校驗，不符合白名單的開放服務地址來源流量都被黑洞，有效的遏制了反射攻擊的危害。

　　未來，基于百度安全成熟的防御技術，智云盾將繼續(xù)完善安全威脅檢測和防御能力，加強數(shù)據(jù)中心安全基礎設施建設，為數(shù)據(jù)中心安全保駕護航。