從20世紀90年代需要自己動手部署的拒絕服務，到今年的利用Memcached超級DRDoS，分布式拒絕服務(DDoS)在復雜性和數量上都達到了前所未有的新高度。

對于分布式拒絕服務而言，今年是具有重要里程碑意義的一年，因為在今年出現了兩場流量峰值超過1Tbps的DDoS。根據 Arbor Networks 的數據顯示，2月下旬，知名代碼托管網站GitHub和一家未知名的在線游戲提供商網站遭遇了史上最大規模的DDoS，帶寬分別達到了1.35T和1.7T。

盡管，DDoS所消耗的帶寬并不一定是決定其是否難以緩解的準確度量標準。但是，這種規模不斷增長的趨勢表明了DDoS帶來的威脅正在不斷升級。目前，大多數公司的互聯網基礎設施已經能夠處理大概10到50Gbps的數據流，但這與T級別的流量相比仍然相差甚遠。

大多數DDoS都是過度的，這就好比用大炮來打蚊子。

從攻擊者群起發動的手動Dos，到由連接設備構成的僵尸網絡，再到利用服務器協議漏洞的自動攻擊。可以說，在過去的25年里，DDoS技術已經發生了顯著的變化。

一開始的都是始于多用戶系統，然后再轉移至服務器。后來開始利用工作站和家用電腦。而最近，攻擊者又瞄準了兩個新目標，使用大量不安全的物聯網設備組成僵尸網絡來發動DDoS，或是利用易受攻擊的網絡協議來放大和反射DDoS。

以下是DDoS技術演化過程中的一些關鍵點：

最早階段：利用大型主機操作系統安全性的缺乏

有關最早的DDoS事件只是一個未被驗證的傳聞，在這個廣為流傳的故事中，一名高中生于1974年使用早期的大型主機OS PLATO在小型終端網絡中發起。

這名高中生使用了一個稱為“ext”的PLATO命令，來引導連接到大型主機的其他終端嘗試連接到不存在的外部設備中。該命令最終導致系統崩潰，房間內的其他31名用戶不得不關閉機器。然而，由于PLATO系統管理員在1973年末就已經對系統中的“ext”漏洞利用進行了修復，所以有關該傳聞的具體時間尚待商榷。

80年代初：蠕蟲

時間來到20世紀80年代初，Xerox PARC 公司兩名研究人員 John Shoch 和 John Hupp 為“自動從系統擴展到系統的程序”創造了一個術語“蠕蟲”。這個蠕蟲能夠將自身復制到一個研究網絡中的每個系統上，而且借助一個系統漏洞，最終每個設備都迅速崩潰了，這一過程就相當于拒絕服務的雛形。

1995年：手動DoS

到了20世紀90年代，一些活動組織開始使用互聯網作為虛擬抗議(sit-ins)的一種方式，他們通過搞癱網站作為其抗議某種政治行為的一種形式。而第一個開創這種形式的組織應該算是 Strano Network，該組織是由一群反對法國政府核政策的人士組成。

當時，Strano Network 組織并沒有借助任何程序來重復連接到目標網站，而是要求參與者通過手動訪問并反復重新加載目標網站的方式最終搞垮了法國政府網站。

1998年：工具FloodNet出現

在Strano手動發起DDoS幾年后，另一組行為藝術家和抗議者開發了一款名為”FloodNet“的工具，參與者可以自行下載并在自己的計算機上運行該工具。隨后，該攻擊工具就會使用EDT提供的目標列表來自動DDoS特定的網站。

該工具的第一個主要用途就是在1998年支持來自墨西哥的“Zapatista軍隊“目標是政府網站，后來又在1999年參與攻擊世界貿易組織(WTO)。

1998年：第一個真正意義上的放大反射Smurf

1998年，當網絡犯罪分子還在利用自身能力，讓其他服務器使用互聯網控制消息協議(ICMP)“ping“一個目標時，第一個真正意義上的放大和反射也在此時出現了，它就是” Smurf“。Smurf通過使用將回復地址設置成受害網絡的廣播地址的ICMP應答請求(ping)數據包，將發送的數據包數量放大255倍，來淹沒受害主機，最終導致該網絡的所有主機都對此ICMP應答請求做出答復，導致網絡阻塞。更加復雜的Smurf還會將源地址改為第三方的受害者，最終導致第三方崩潰。

1998年，該技術被用于對付明尼蘇達大學，結果造成連鎖反應，導致大量服務中斷以及30%的數據包丟失。

1999年：第一個服務器僵尸網絡Trinoo

遭到Smurf的明尼蘇達大學在第二年仍然沒有得到喘息的機會。1999年8月，該大學再次遭遇了使用Trinoo僵尸程序的網絡攻擊，據悉，該僵尸程序被安裝在了至少227臺受損的Solaris服務器上。

Trinoo正是在服務器拒絕服務攻擊方面掀起了一股潮流。之后，一位化名為“Mixter“的人又創建了一個名為”Stacheldraht“的流行程序，然后供其他人用于DDoS各種網站。另一個名為”Tribe Flood Network“的項目也與Trinoo十分類似，它被一個黑客組織“MafiaBoy”用于攻陷當時一些非常主流的網站，包括亞馬遜、CNN以及雅虎等。

2000年：越來越多地利用域名服務器

從2000年開始，美國計算機應急響應小組(CERT)協調中心警告稱，越來越多的人已經開始使用DNS作為放大帶寬的手段。

該組織在2000年4月發布的一份安全公告中表示，“我們已經發現，入侵者在這種類型的攻擊中，能夠利用多個不同網絡上的多個域名服務器，來實現針對受害者站點的分布式拒絕服務。“

不過遺憾的是，大多數公司并沒有認真聽取這份報告的警告和建議。所以，在6年后發布的另一項安全公告中，美國計算機應急響應小組(CERT)指出，75%至80%的服務器仍然允許遞歸(程序調用自身的編程技巧稱為遞歸)，該DNS服務器功能將會允許放大或反射技術。

2003年：Windows的普及放大了蠕蟲的惡果

本世紀前十年是電腦蠕蟲的鼎盛時期。諸如Code Red、Nimda以及Blaster等惡意程序，都在感染網絡和為系統管理員造成麻煩等方面取得了重大成功。這些懂得自我傳播的惡意程序，在一定意義上，也推動了微軟公司將關注重點從開發Windows操作系統新功能轉向專注Windows操作系統安全性。

2003年，全球遭遇了SQL Slammer(也被稱為“Sapphire”或“Helkern“蠕蟲)的肆虐破壞，這種蠕蟲僅有376字節大小，完全可以裝入1個網絡包中，讓它可以在發動時達到快速傳播的效果。其傳播速度之快，可以達到每隔8.5秒就能使感染系統數量增長一倍，并在3分鐘內飽和本地網絡寬帶。

據悉，在開始傳播5分鐘后，Slammer蠕蟲每秒可以傳播高達8000萬個數據包，這一水平在接下來的10年內也是鮮少出現。此外，該蠕蟲還可以向 UDP 1434 端口發送格式化的請求，造成受感染路由器開始向隨機IP地址發送該惡意代碼，令目標陷入拒絕服務狀態。

2009年：出現以政治目的發動的DDoS

2009年，大約5萬臺感染了MyDoom蠕蟲的計算機被用于打擊美國政府、金融和商業網站以及韓國政府網站。據悉，此次DDoS峰值帶寬速率高達13Gbps，雖然造成停機的時間很短，但是卻促使政治家們紛紛指責朝鮮政府。

之后，MyDoom蠕蟲的變種又被用于針對Unix軟件公司SCO集團官網發起DDoS，據悉，該公司之所以遭到打擊是因為該公司在一次訴訟案件中宣稱Linux操作系統是為其所有的。之后的5年內，微軟也遭受了同樣的打擊，這證明了利用大量消費者電腦針對網站和網絡發起DDoS的有效性。

2016年：物聯網成為僵尸程序利用目標

據安全公司Imperva稱，在2016年的9月至10月期間，來自一百六十多個國家的近50000個物聯網設備用高達280Gbps的流量淹沒了多個目標網絡。這種DDoS主要使用數字攝像機以及錄像機等物聯網設備向受害者的網絡發送相對復雜的流量，最終造成系統崩潰。

根據Akamai的數據顯示，針對安全研究人員兼記者Brian Krebs以及基礎設施服務提供商DynDNS網站所發動的DDoS峰值高達620Gbps。不僅是攻擊峰值帶寬超過了之前的記錄，其每秒數據包數量超過100Mbps這一事實也為防御者帶來了更多問題。要知道，為網絡增加更多的寬帶，在資源具備的情況下，是件非常輕松的事情，但是實時做出有關數據包的決策卻要困難得多。

2018年：Memcached漏洞令DDos成長為巨獸

2018年2月28日，知名代碼托管網站GitHub遭遇了史上最大規模的DDoS ，導致服務中斷100分鐘。根據該公司工程團隊發布的報告顯示，在UTC時間17:21到17:30之間，一名使用放大攻擊的惡意行為者針對GitHub網站發起了大規模的DDoS，據悉，該流量的峰值高達每秒 1.35 Tbps。

在此次活動中，黑客利用 Memcached 協議(可將攻擊放大到高達51,000倍)，發送大量帶有被害者 IP 地址的 UDP 數據包給放大器主機，然后放大器主機對偽造的IP地址源做出回應，從而形成 DRDoS 反射。

據悉，盡管Memcached 服務器的設計初衷是提升內部網絡的訪問速度，而且應該是不暴露在互聯網中的。但是實際上，此類服務器根本沒有認證協議，連接到互聯網中意味著任何人都可以查詢它們。實際上Memcached協議可謂是用于放大攻擊的最佳協議!由于缺乏認證協議，數據得以以驚人的速度交付給用戶。此外，還能夠以很少的請求獲得很大的響應(高達1MB)。

針對Github的事件并非標志著拒絕服務升級的結束，在Github之后幾天內，一家未知名的網絡游戲公司又成為受害者，此次DDoS消耗了1.7Tbps的帶寬，給這家游戲公司帶來巨大損失。

未來：DDoS還將繼續進化

由于各公司紛紛實施保護受損服務器在內的緩解措施，利用Memcached漏洞的DDoS規模，目前已經開始呈現下降趨勢。然而，隨著整體網絡帶寬的增長，作為拒絕服務一部分的數據包量將會不斷增長，而且作惡者也會發現新的DDoS技術。

要知道，DDoS攻擊的主要抑制因素就是可用寬帶。但是根據目前寬帶不斷增長的現象來看，我們沒有理由相信，DDoS規模仍將繼續放大的趨勢不會到來。