散布式谢绝服务攻击(DDoS)是一种特殊情势的谢绝服务攻击。它是利用多台已被攻击者所控制的机器对某一台单机发起攻击，在带宽相对的情况下，被攻击的主机很容易失去反应能力。作为一种散布、协作的大范围攻击方式，散布式谢绝服务攻击(DDoS)主要瞄准比较大的站点，像商业公司，搜索引擎和政府部门的站点。由于它通过利用一批受控制的机器向一台机器发起攻击，来势迅猛，而且常常使人难以防备，具有极大的破坏性。
高级黑客采取名为“脉冲波”的新型DDoS攻击，利用装备优先混合减缓解决方案中的漏洞锁定多个目标。

新出炉的报告中，Incapsula正告称，一种新型残暴DDoS攻击采取“脉冲波”攻击多个目标。脉冲波DDoS，是高级黑客设计出来的新攻击战术，能利用在“装备优先云其次”混合DDoS减缓解决方案中的弱点，倍增僵尸网络的输出。

脉冲波攻击由一系列类时钟脉冲的短暂爆发构成，在我们在2017年第二季度减缓的最残暴DDoS攻击占据了一定份额。最极真个案例中，攻击延续了数天，峰值可达350Gbps。

2017第二季度脉冲式DDoS攻击实例

无需逐步增幅便可到达峰值流量的特点，首先引发了Incapsula的注意。由于这类攻击仅需数秒便达峰值。同时，该攻击的攻击模式具有高重复度，由“每10分钟一次或屡次脉冲”构成。攻击延续时间最少1小时，但通常会延续数小时乃至数天。

Incapsula从未见过如此直接且精准重复的高强度峰值攻击。攻击者能在数秒以内调动 300 Gbps 的僵尸网络，再结合脉冲重现的精准持久性，无一不显示出攻击者对其攻击资源的高度掌控。

脉冲波DDoS攻击的攻击机制和受害者

Incapusla称，脉冲波DDoS事件，最有多是高级黑客划分攻击资源以同时发起多个攻击的结果。每一个脉冲之间的时间，可能用于对区别目标发起二次攻击。随着有效DDoS进程，乃至能发起更多同步攻击——进一步增进资源利用和攻击者的底线。

装备优先混合减缓解决方案对脉冲波攻击毫无抗力。事实上，Incapsula称，这些攻击就是混合解决方案防御下的网络遭受的最坏情况。

装备优先的DDoS攻击减缓方案

大多数DDoS攻击都是缓慢爬升至峰值，让装备优先混合减缓解决方案有数分钟的时间来完成云激活和流量故障转移。但是，脉冲波DDoS攻击的首次爆发便会立即切断所有同步，阻塞所有网络管道。流量激增过后，装备和云没法通讯；装备没法通知云开始转移流量。脉冲期间，全部网络完全瘫痪。而到恢复之时，另外一次脉冲再次袭来，如此反复，不厌其烦。

同时，装备和云间的通讯缺失，意味着装备没法提供创建攻击特点所需的信息。

脉冲波DDoS背后的高级攻击者

Incapsula认为，出于多种缘由，脉冲波背后是技术纯熟的高级黑客。他们精通技术，足以理解减缓解决方案，设计出精心构造的攻击来利用装备漏洞。

其次，脉冲式DDoS的攻击火力也很能说明问题；明显不是放大式的数百Gbps攻击，而需要成熟而强大的僵尸网络支持。

最后，脉冲波攻击那类似时钟的重复度，及其数秒内便可升至峰值流量的能力，也凸显出攻击者对其攻击资源的掌控程度。

过去几个月里，Incapsula见证了脉冲波DDoS对高价值目标下手，比如游戏和金融科技公司。不幸的是，其他黑客将掌握分裂攻击流量并锁定多个目标的好处，然后模仿此类攻击，预期受攻击目标将会扩大。

引发上述不足的根本缘由在于运营商的各个安全系统之间是相互独立的，没法实现各个系统之间业务及服务的串连，缺少一个核心系统将各安全系统进行整合后统一对外提供运营服务。

小刀网络介绍新推出的“立体式”DDOS安全防护体系的几大亮点：

亮点一：多重整合

有着十年IDC运营、八年专业DDOS安全防护、在国内掌握顶尖与领先DDOS攻击防范水准的小刀网络，数以万计的DDOS攻击防范克服经验证明了其防御体系的技高一筹。小刀网络花巨额资金搭建了国内目前为止防御系数最高的全新“立体式”安全架构体系，由“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB利用防火墙” “小刀云盾” “移动安全” “数据风控” “要挟感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”等多个安全产品整合而成，从多层面、多角度、多结构集成一套多元化、高智能的完善安全防护体系。

亮点二：智能防御

小刀的“立体式”安全防护体系通过网络监控实现定期扫描网络主节点，利用智能DNS解析系统设置监测端口，时刻防备可能存在的安全漏洞，如果一个节点遭受攻击时将会自动切换至另外一节点。在面临攻击要挟时，小刀采取的是目前较为理想的一种应对策略，以海量的容量和资源拖垮黑客的攻击，小刀的“立体式”安全防护体系能完全有效处理超过1000G以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood的DDOS攻击，并能有效处理连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击等。而面对黑客DDOS攻击时，小刀组建的是散布式集群防御，可根据需求增加节点数量提高防御力度，宕机检测系统会快速响应更换已瘫痪的节点服务器保证网站正常状态。还可以把攻击者发出的数据包全部返回到发送点，使攻击源变成瘫痪状态，从而削减攻击能力。

再就是定制的商用DDoS解决方案。

针对超大流量的攻击或复杂的游戏CC攻击，可以斟酌采取专业的DDoS解决方案。目前，通用的游戏行业安全解决方案，做法是在IDC机房前端部署防火墙或流量清洗的一些装备，或采取大带宽的高防机房来清洗攻击。

当宽带资源充足时，此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈：例如单点的IDC很容易被打满，对游戏公司本身的本钱要求也比较高。

在小刀网络，我们团队去颠覆带宽“军备比赛”的策略，是提供一个可信的访问网络，这也是游戏盾诞生的初衷。

游戏盾风控模式的初衷，是从收到访问的第一刻起，便判断它是“好”或者“坏”，从而决定它是不是是可以访问到它想访问的资源；而当攻击真的产生时，也能够通过智能流量调度，将所有的业务流量切换到一个正常运作的机房，保证游戏正常运行。

某棋牌行业基于游戏盾的架构示意图

所以，通过风控理论和SDK接入技术，游戏盾可以有效地将黑客和正常玩家进行拆分，可以防御超过300G以上的超大流量攻击。

风控理论需要用到大量的云计算资源和网络资源，小刀网络天然的优势为游戏盾带来了很好的土壤，当游戏盾能调度10万以上节点进行快速计算和快速调度的时候，那给攻击者的感觉是这个游戏已从他们的攻击目标里面消失。

游戏盾，是小刀网络的人工智能技术与调度算法，在安全行业中的成功实践。

而随着攻防进程的推动，网络层和接入层逐渐壮大，我们希望“游戏盾”的风控模式，会逐渐延展到各个行业中，建立起一张安全、可信的网络。这张网络中，传输着干净的流量，而攻击被前置到网络的边沿处。所有的端，在接入这张网络时，都会经过“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB利用防火墙” “小刀云盾” “移动安全” “数据风控” “要挟感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”风险控制的辨认，网内的风控系统，也让坏人没法访问到他锁定资源。

未来，以资源为基础的DDoS防护时期终将被打破，演进出对DDoS真正免疫的风控架构。