DDOS攻擊及分布式拒絕服務攻擊

　　分布式拒絕服務（DDoS:Distributed Denial of Service）攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。

　　DDOS攻擊定義

　　首先從一個比方來深入理解什么是DDOS。

　　一群惡霸試圖讓對面那家有著競爭關系的商鋪無法正常營業，他們會采取什么手段呢？（只為舉例，切勿模仿）惡霸們扮作普通客戶一直擁擠在對手的商鋪，賴著不走，真正的購物者卻無法進入；或者總是和營業員有一搭沒一搭的東扯西扯，讓工作人員不能正常服務客戶；也可以為商鋪的經營者提供虛假信息，商鋪的上上下下忙成一團之后卻發現都是一場空，最終跑了真正的大客戶，損失慘重。此外惡霸們完成這些壞事有時憑單干難以完成，需要叫上很多人一起。嗯，網絡安全領域中DoS和DDoS攻擊就遵循著這些思路。

　　在信息安全的三要素——“保密性”、“完整性”和“可用性”中，DoS（Denial of Service），即拒絕服務攻擊，針對的目標正是“可用性”。該攻擊方式利用目標系統網絡服務功能缺陷或者直接消耗其系統資源，使得該目標系統無法提供正常的服務。

　　DdoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。單一的DoS攻擊一般是采用一對一方式的，當攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項指標不高的性能，它的效果是明顯的。隨著計算機與網絡技術的發展，計算機的處理能力迅速增長，內存大大增加，同時也出現了千兆級別的網絡，這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的“消化能力”加強了不少。這時候分布式的拒絕服務攻擊手段（DDoS）就應運而生了。DDoS就是利用更多的傀儡機（肉雞）來發起進攻，以比從前更大的規模來進攻受害者

　　DDOS攻攻擊方式

　　DDoS攻擊通過大量合法的請求占用大量網絡資源，以達到癱瘓網絡的目的。 這種攻擊方式可分為以下幾種：

　　通過使網絡過載來干擾甚至阻斷正常的網絡通訊；

　　通過向服務器提交大量請求，使服務器超負荷；

　　阻斷某一用戶訪問服務器；

　　阻斷某服務與特定系統或個人的通訊。

　　IP Spoofing

　　IP欺騙攻擊是一種黑客通過向服務端發送虛假的包以欺騙服務器的做法。具體說，就是將包中的源IP地址設置為不存在或不合法的值。服務器一旦接受到該包便會返回接受請求包，但實際上這個包永遠返回不到來源處的計算機。這種做法使服務器必需開啟自己的監聽端口不斷等待，也就浪費了系統各方面的資源。

　　LAND attack

　　這種攻擊方式與SYN floods類似，不過在LAND attack攻擊包中的源地址和目標地址都是攻擊對象的IP。這種攻擊會導致被攻擊的機器死循環，最終耗盡資源而死機。

　　DDOS攻擊示意圖

　　ICMP floods

　　ICMPfloods是通過向未良好設置的路由器發送廣播信息占用系統資源的做法。

　　Application

　　與前面敘說的攻擊方式不同，Application level floods主要是針對應用軟件層的，也就是高于OSI的。它同樣是以大量消耗系統資源為目的，通過向IIS這樣的網絡服務程序提出無節制的資源申請來迫害正常的網絡服務。

　　ddos攻擊攻擊是無解的嗎

　　隨著DDOS攻擊在互聯網上的肆虐泛濫，使得DDOS的防范工作變得更加困難。

　　那么，廣大的網站用戶應該采取怎樣的措施進行有效的防御呢？下面我就介紹一下防御DDoS的基本方法。

　　1、隱藏服務器真實IP

　　服務器前端加CDN中轉（免費的有百度云加速、360網站衛士、加速樂、安全寶等），如果資金充裕的話，可以購買高防的盾機，用于隱藏服務器真實IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務器上部署的其他域名也不能使用真實IP解析，全部都使用CDN來解析。

　　另外，防止服務器對外傳送信息泄漏IP，最常見的是，服務器不使用發送郵件功能，如果非要發送郵件，可以通過第三方代理（例如sendcloud）發送，這樣對外顯示的IP是代理的IP。

　　2、保證服務器系統的安全

　　首先要確保服務器軟件沒有任何漏洞，防止攻擊者入侵。確保服務器采用最新系統，并打上安全補丁。在服務器上刪除未使用的服務，關閉未使用的端口。對于服務器上運行的網站，確保其打了最新的補丁，沒有安全漏洞。

　　3、定期備份數據

　　用磁帶來保存珍貴的數據，但是數據備份也存在巨大的安全漏洞，所以在備份時也應該對備份介質進行有效地保護。

　　4、加強服務器本地文件格式安全級別

　　總之，只要服務器的真實IP不泄露，10G以下小流量DDOS的預防花不了多少錢，免費的CDN就可以應付得了。如果攻擊流量超過20G，那么免費的CDN可能就頂不住了，需要購買一個高防的盾機來應付了，而服務器的真實IP同樣需要隱藏。保護站點抵御包括拒絕服務攻擊，小鳥云遼寧提供20G防御，其他節點提供5G。他們目前官網有活動，建議去看看！