DDOS攻擊及分布式拒絕服務(wù)攻擊

　　分布式拒絕服務(wù)（DDoS:Distributed Denial of Service）攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺，對一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。

　　DDOS攻擊定義

　　首先從一個(gè)比方來深入理解什么是DDOS。

　　一群惡霸試圖讓對面那家有著競爭關(guān)系的商鋪無法正常營業(yè)，他們會采取什么手段呢？（只為舉例，切勿模仿）惡霸們扮作普通客戶一直擁擠在對手的商鋪，賴著不走，真正的購物者卻無法進(jìn)入；或者總是和營業(yè)員有一搭沒一搭的東扯西扯，讓工作人員不能正常服務(wù)客戶；也可以為商鋪的經(jīng)營者提供虛假信息，商鋪的上上下下忙成一團(tuán)之后卻發(fā)現(xiàn)都是一場空，最終跑了真正的大客戶，損失慘重。此外惡霸們完成這些壞事有時(shí)憑單干難以完成，需要叫上很多人一起。嗯，網(wǎng)絡(luò)安全領(lǐng)域中DoS和DDoS攻擊就遵循著這些思路。

　　在信息安全的三要素——“保密性”、“完整性”和“可用性”中，DoS（Denial of Service），即拒絕服務(wù)攻擊，針對的目標(biāo)正是“可用性”。該攻擊方式利用目標(biāo)系統(tǒng)網(wǎng)絡(luò)服務(wù)功能缺陷或者直接消耗其系統(tǒng)資源，使得該目標(biāo)系統(tǒng)無法提供正常的服務(wù)。

　　DdoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。單一的DoS攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)指標(biāo)不高的性能，它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了-目標(biāo)對惡意攻擊包的“消化能力”加強(qiáng)了不少。這時(shí)候分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運(yùn)而生了。DDoS就是利用更多的傀儡機(jī)（肉雞）來發(fā)起進(jìn)攻，以比從前更大的規(guī)模來進(jìn)攻受害者

　　DDOS攻攻擊方式

　　DDoS攻擊通過大量合法的請求占用大量網(wǎng)絡(luò)資源，以達(dá)到癱瘓網(wǎng)絡(luò)的目的。 這種攻擊方式可分為以下幾種：

　　通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊；

　　通過向服務(wù)器提交大量請求，使服務(wù)器超負(fù)荷；

　　阻斷某一用戶訪問服務(wù)器；

　　阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊。

　　IP Spoofing

　　IP欺騙攻擊是一種黑客通過向服務(wù)端發(fā)送虛假的包以欺騙服務(wù)器的做法。具體說，就是將包中的源IP地址設(shè)置為不存在或不合法的值。服務(wù)器一旦接受到該包便會返回接受請求包，但實(shí)際上這個(gè)包永遠(yuǎn)返回不到來源處的計(jì)算機(jī)。這種做法使服務(wù)器必需開啟自己的監(jiān)聽端口不斷等待，也就浪費(fèi)了系統(tǒng)各方面的資源。

　　LAND attack

　　這種攻擊方式與SYN floods類似，不過在LAND attack攻擊包中的源地址和目標(biāo)地址都是攻擊對象的IP。這種攻擊會導(dǎo)致被攻擊的機(jī)器死循環(huán)，最終耗盡資源而死機(jī)。

　　DDOS攻擊示意圖

　　ICMP floods

　　ICMPfloods是通過向未良好設(shè)置的路由器發(fā)送廣播信息占用系統(tǒng)資源的做法。

　　Application

　　與前面敘說的攻擊方式不同，Application level floods主要是針對應(yīng)用軟件層的，也就是高于OSI的。它同樣是以大量消耗系統(tǒng)資源為目的，通過向IIS這樣的網(wǎng)絡(luò)服務(wù)程序提出無節(jié)制的資源申請來迫害正常的網(wǎng)絡(luò)服務(wù)。

　　ddos攻擊攻擊是無解的嗎

　　隨著DDOS攻擊在互聯(lián)網(wǎng)上的肆虐泛濫，使得DDOS的防范工作變得更加困難。

　　那么，廣大的網(wǎng)站用戶應(yīng)該采取怎樣的措施進(jìn)行有效的防御呢？下面我就介紹一下防御DDoS的基本方法。

　　1、隱藏服務(wù)器真實(shí)IP

　　服務(wù)器前端加CDN中轉(zhuǎn)（免費(fèi)的有百度云加速、360網(wǎng)站衛(wèi)士、加速樂、安全寶等），如果資金充裕的話，可以購買高防的盾機(jī)，用于隱藏服務(wù)器真實(shí)IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析，全部都使用CDN來解析。

　　另外，防止服務(wù)器對外傳送信息泄漏IP，最常見的是，服務(wù)器不使用發(fā)送郵件功能，如果非要發(fā)送郵件，可以通過第三方代理（例如sendcloud）發(fā)送，這樣對外顯示的IP是代理的IP。

　　2、保證服務(wù)器系統(tǒng)的安全

　　首先要確保服務(wù)器軟件沒有任何漏洞，防止攻擊者入侵。確保服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁。在服務(wù)器上刪除未使用的服務(wù)，關(guān)閉未使用的端口。對于服務(wù)器上運(yùn)行的網(wǎng)站，確保其打了最新的補(bǔ)丁，沒有安全漏洞。

　　3、定期備份數(shù)據(jù)

　　用磁帶來保存珍貴的數(shù)據(jù)，但是數(shù)據(jù)備份也存在巨大的安全漏洞，所以在備份時(shí)也應(yīng)該對備份介質(zhì)進(jìn)行有效地保護(hù)。

　　4、加強(qiáng)服務(wù)器本地文件格式安全級別

　　總之，只要服務(wù)器的真實(shí)IP不泄露，10G以下小流量DDOS的預(yù)防花不了多少錢，免費(fèi)的CDN就可以應(yīng)付得了。如果攻擊流量超過20G，那么免費(fèi)的CDN可能就頂不住了，需要購買一個(gè)高防的盾機(jī)來應(yīng)付了，而服務(wù)器的真實(shí)IP同樣需要隱藏。保護(hù)站點(diǎn)抵御包括拒絕服務(wù)攻擊，小鳥云遼寧提供20G防御，其他節(jié)點(diǎn)提供5G。他們目前官網(wǎng)有活動(dòng)，建議去看看！