谢真山

2019年初，Imperva应客户要求缓解了一起每秒数据包数量超5亿个的DDoS攻击，可能是按数据包规模计的史上最大型DDoS攻击。

1月10号的攻击是所谓的SYN洪水攻击——攻击者通过发送超出目标计算机处理能力的TCP连接请求令该主机掉线。Imperva称，本次攻击中所用洪水数据包既有正常SYN包，也有大小在800～900字节之间的超大SYN包，源P地址和端口也是高度随机的。

攻击者往往综合采用正常包和超大包攻击，正常SYN包耗尽CPU等服务器资源，而超大SYN包用于阻塞网络。

Imperva的调查发现，1月初的攻击采用了两个已知工具，一个用于发起正常SYN流量洪水，另一个制造超大SYN包攻击。这两个工具似乎是不同作者编写，然后被人组合使用在互联网历史上最密集的网络基础设施DDoS攻击上。

公司企业和媒体往往倾向于关注DDoS攻击的规模，但实际上，规模并不是攻击缓解难度或破坏程度的最佳反映，每秒包数量（PPS）是更好的指标。

2018年GitHub遭受的攻击，其峰值流量达到1.35 3713每

使用恶意DNS解析程序和恶意根证书，你的隐私和安全性将完全受到损害。

可以采取的动作

不要安装第三方根证书！只有非常少的例外情况才需要这样做，并且它们都不适用于一般最终用户。

不要被广告拦截、军事级安全或类似的营销噱头所吸引，有一些方法可以自行使用DNS解析器来增强你的隐私，但安装第三方根证书永远不会有意义，你正在将自己置身于陷阱之中。

警告

有位友好的系统管理员提供了一个现场演示，你可以实时看到自己，这是真事。千万不要输入私人数据！之后务必删秒，堪称史上最大带宽密集型DDoS攻击，该攻击吸引了大量关注，常被当作大型DDoS攻击可致巨大挑战的典型例子。

从缓解的立场看，提供足够的网络带宽可以减弱这种攻击。当下的DDoS攻击缓解及防护服务倾向于提供远超目前最大型DDoS攻击规模的带宽，这使得攻击规模不再成为令公司企业头痛的问题。

但处理涉超高PPS的攻击就是另一码事了，因为评估每个包所需的计算处理能力才是个中关键。限制网络路由器、交换机和服务提供商用以缓解DDoS攻击的设备的，不是数据包的大小，而是其产生速度。缓解高PPS攻击需要的处理能力，远远超出了当前绝大多数网络设备路由或交换数据包的能力。

公司企业提供带宽容量，所以大小往往成为衡量DDoS攻击的标准度量。但高PPS攻击才是公司企业更应该关注的方向。比如说，GitHub攻击案例中，DDoS流量主要由不同服务器的相同端口发出的大数据包组成，PPS速率相对较低，为1.296亿。而本月初Imperva缓解的这起攻击，从随机源地址发出的包数量几乎是GitHub攻击的4倍。

高PPS攻击更难以产生，因为需要更多的计算资源，同理，其缓解也需要更多计算资源。

DDoS攻击的影响最终取决于攻击方式和目标企业的脆弱性。运用得当的话，无论是高带宽的攻击还是高PPS的攻击，都能造成災难性后果。提前预测多方式DDoS攻击的发展是不可能的。不同方式带来不同的缓解挑战。比如，高PPS攻击不会像高带宽攻击那样频繁地阻塞链路，高带宽攻击往往对无辜路人造成连带伤害，用网络拥塞将他们一起挤掉线。除证书和该DNS！如果你不知道如何操作，那就不要安装它。虽然我们相信朋友，但不要随便安装随机和未知的第三方根证书。