DDOS攻擊及分布式拒絕服務攻擊

　　分布式拒絕服務（DDoS:Distributed Denial of Service）攻擊指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。

　　DDOS攻擊定義

　　首先從一個比方來深入理解什么是DDOS。

　　一群惡霸試圖讓對面那家有著競爭關系的商鋪無法正常營業(yè)，他們會采取什么手段呢？（只為舉例，切勿模仿）惡霸們扮作普通客戶一直擁擠在對手的商鋪，賴著不走，真正的購物者卻無法進入；或者總是和營業(yè)員有一搭沒一搭的東扯西扯，讓工作人員不能正常服務客戶；也可以為商鋪的經(jīng)營者提供虛假信息，商鋪的上上下下忙成一團之后卻發(fā)現(xiàn)都是一場空，最終跑了真正的大客戶，損失慘重。此外惡霸們完成這些壞事有時憑單干難以完成，需要叫上很多人一起。嗯，網(wǎng)絡安全領域中DoS和DDoS攻擊就遵循著這些思路。

　　在信息安全的三要素——“保密性”、“完整性”和“可用性”中，DoS（Denial of Service），即拒絕服務攻擊，針對的目標正是“可用性”。該攻擊方式利用目標系統(tǒng)網(wǎng)絡服務功能缺陷或者直接消耗其系統(tǒng)資源，使得該目標系統(tǒng)無法提供正常的服務。

　　DdoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。單一的DoS攻擊一般是采用一對一方式的，當攻擊目標CPU速度低、內存小或者網(wǎng)絡帶寬小等等各項指標不高的性能，它的效果是明顯的。隨著計算機與網(wǎng)絡技術的發(fā)展，計算機的處理能力迅速增長，內存大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡，這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的“消化能力”加強了不少。這時候分布式的拒絕服務攻擊手段（DDoS）就應運而生了。DDoS就是利用更多的傀儡機（肉雞）來發(fā)起進攻，以比從前更大的規(guī)模來進攻受害者

　　DDOS攻攻擊方式

　　DDoS攻擊通過大量合法的請求占用大量網(wǎng)絡資源，以達到癱瘓網(wǎng)絡的目的。 這種攻擊方式可分為以下幾種：

　　通過使網(wǎng)絡過載來干擾甚至阻斷正常的網(wǎng)絡通訊；

　　通過向服務器提交大量請求，使服務器超負荷；

　　阻斷某一用戶訪問服務器；

　　阻斷某服務與特定系統(tǒng)或個人的通訊。

　　IP Spoofing

　　IP欺騙攻擊是一種黑客通過向服務端發(fā)送虛假的包以欺騙服務器的做法。具體說，就是將包中的源IP地址設置為不存在或不合法的值。服務器一旦接受到該包便會返回接受請求包，但實際上這個包永遠返回不到來源處的計算機。這種做法使服務器必需開啟自己的監(jiān)聽端口不斷等待，也就浪費了系統(tǒng)各方面的資源。

　　LAND attack

　　這種攻擊方式與SYN floods類似，不過在LAND attack攻擊包中的源地址和目標地址都是攻擊對象的IP。這種攻擊會導致被攻擊的機器死循環(huán)，最終耗盡資源而死機。

　　DDOS攻擊示意圖

　　ICMP floods

　　ICMPfloods是通過向未良好設置的路由器發(fā)送廣播信息占用系統(tǒng)資源的做法。

　　Application

　　與前面敘說的攻擊方式不同，Application level floods主要是針對應用軟件層的，也就是高于OSI的。它同樣是以大量消耗系統(tǒng)資源為目的，通過向IIS這樣的網(wǎng)絡服務程序提出無節(jié)制的資源申請來迫害正常的網(wǎng)絡服務。

　　ddos攻擊攻擊是無解的嗎

　　隨著DDOS攻擊在互聯(lián)網(wǎng)上的肆虐泛濫，使得DDOS的防范工作變得更加困難。

　　那么，廣大的網(wǎng)站用戶應該采取怎樣的措施進行有效的防御呢？下面我就介紹一下防御DDoS的基本方法。

　　1、隱藏服務器真實IP

　　服務器前端加CDN中轉（免費的有百度云加速、360網(wǎng)站衛(wèi)士、加速樂、安全寶等），如果資金充裕的話，可以購買高防的盾機，用于隱藏服務器真實IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務器上部署的其他域名也不能使用真實IP解析，全部都使用CDN來解析。

　　另外，防止服務器對外傳送信息泄漏IP，最常見的是，服務器不使用發(fā)送郵件功能，如果非要發(fā)送郵件，可以通過第三方代理（例如sendcloud）發(fā)送，這樣對外顯示的IP是代理的IP。

　　2、保證服務器系統(tǒng)的安全

　　首先要確保服務器軟件沒有任何漏洞，防止攻擊者入侵。確保服務器采用最新系統(tǒng)，并打上安全補丁。在服務器上刪除未使用的服務，關閉未使用的端口。對于服務器上運行的網(wǎng)站，確保其打了最新的補丁，沒有安全漏洞。

　　3、定期備份數(shù)據(jù)

　　用磁帶來保存珍貴的數(shù)據(jù)，但是數(shù)據(jù)備份也存在巨大的安全漏洞，所以在備份時也應該對備份介質進行有效地保護。

　　4、加強服務器本地文件格式安全級別

　　總之，只要服務器的真實IP不泄露，10G以下小流量DDOS的預防花不了多少錢，免費的CDN就可以應付得了。如果攻擊流量超過20G，那么免費的CDN可能就頂不住了，需要購買一個高防的盾機來應付了，而服務器的真實IP同樣需要隱藏。保護站點抵御包括拒絕服務攻擊，小鳥云遼寧提供20G防御，其他節(jié)點提供5G。他們目前官網(wǎng)有活動，建議去看看！