DDoS攻擊，對于大多數(shù)人而言非常神秘，它卻是一種最常見的網(wǎng)絡(luò)攻擊方式！

一、什么是DDoS攻擊

DDoS：Distributed Denial of Service

中文名：分布式拒絕服務(wù)

所謂分布式拒絕服務(wù)攻擊是指處于不同位置的多個攻擊者同時向一個或數(shù)個目標發(fā)動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊。

由于分布式拒絕服務(wù)攻擊可以使很多的計算機在同一時間遭受到攻擊，使攻擊的目標無法正常使用，因此，該攻擊一旦出現(xiàn)會導(dǎo)致很多的大型網(wǎng)站都出現(xiàn)無法進行操作的情況。

舉個簡單的栗子幫助大家理解

一群惡霸試圖讓對面那家有著競爭關(guān)系的商鋪（網(wǎng)站/服務(wù)器/DNS）無法正常營業(yè)，他們會采取什么手段呢？

惡霸們扮作普通客戶一直擁擠在對手的商鋪，賴著不走，真正的購物者卻無法進入；

或者總是和營業(yè)員有一搭沒一搭的東扯西扯，讓工作人員不能正常服務(wù)客戶；

也可以為商鋪的經(jīng)營者提供虛假信息，商鋪的上上下下忙成一團之后卻發(fā)現(xiàn)都是一場空，最終跑了真正的大客戶，損失慘重。

此外，惡霸們完成這些壞事有時憑單干難以完成，需要叫上很多人一起。

所以，當一個網(wǎng)站被DDoS攻擊時會造成用戶無法訪問，這是因為服務(wù)器正忙著處理成千上萬的其他訪問請求。

二、DDOS攻擊的分類

基于不同的分類標準，可以對分布式拒絕服務(wù)攻擊進行不同的分類，通常來說，該類攻擊大體上分為七類：

基于自動化程度分類，此分類主要分為手工的DDoS攻擊、半自動化的DDoS攻擊、自動化的DDoS攻擊三種。

基于系統(tǒng)及協(xié)議的弱點分類，此分類主要分為洪水攻擊、擴大攻擊、利用協(xié)議的攻擊和畸形數(shù)據(jù)包攻擊四種。

基于攻擊速率分類，基于速率上可以分為持續(xù)速率和可變速率的攻擊。

基于影響力進行分類，基于影響力方面可以分為網(wǎng)絡(luò)服務(wù)徹底崩潰和降低網(wǎng)絡(luò)服務(wù)的攻擊。

基于入侵目標分類，基于入侵目標可以將DDoS攻擊分為帶寬攻擊和連通性攻擊。

基于攻擊路線分類，基于攻擊路線可以分為直接攻擊和反復(fù)式攻擊。

基于攻擊特征分類，從這一角度，可以將DDoS攻擊分為攻擊行為特征可提取和攻擊行為特征不可提取兩類。

三、DDOS攻擊的表現(xiàn)形式

DDoS攻擊的表現(xiàn)形式主要有兩種

一種是主要針對網(wǎng)絡(luò)帶寬的流量攻擊，利用大量攻擊包使網(wǎng)絡(luò)帶寬被阻塞，導(dǎo)致合法網(wǎng)絡(luò)包無法到達主機的行為。

另一種是針對服務(wù)器主機的資源耗盡攻擊，通過大量攻擊包導(dǎo)致主機的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。

受到DDoS攻擊時，網(wǎng)絡(luò)或服務(wù)器會表現(xiàn)出以下幾點：

被攻擊主機上有大量等待的TCP連接。

網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假。

存在高流量無用數(shù)據(jù)，網(wǎng)絡(luò)擁塞嚴重，主機無法正常和外界通訊。

反復(fù)高速地發(fā)出特定的服務(wù)請求，但受害主機無法及時處理所有正常請求。

嚴重時會造成系統(tǒng)死機。

四、DDoS攻擊的原理

DDoS攻擊需要攻擊者控制在線計算機網(wǎng)絡(luò)才能進行攻擊。連入互聯(lián)網(wǎng)的計算機（或攝像頭等物聯(lián)網(wǎng)設(shè)備）感染了惡意軟件，被轉(zhuǎn)變成肉雞（傀儡機）。一旦肉雞網(wǎng)絡(luò)建立，攻擊者就可以通過遠程控制方法向每個肉雞發(fā)送更新的指令來控制機器。由于每臺肉雞都是合法的互聯(lián)網(wǎng)設(shè)備，因此將攻擊流量與正常流量分開可能很困難。

簡單來說，它是借助數(shù)百、甚至數(shù)千臺被入侵后安裝了攻擊進程的主機同時發(fā)起的集團行為。

五、DDOS攻擊的危害

DDoS被稱為最恐怖的網(wǎng)絡(luò)攻擊，目前最大的DDoS攻擊事件是美國知名安全研究人員Brian Krebs的安全博客遭遇的DDoS攻擊，攻擊峰值達到665G。

DDoS攻擊的成本低但攻擊性和破壞性卻很強，因此經(jīng)常被網(wǎng)絡(luò)黑客利用。DDoS攻擊通常可以造成以下危害：

可以直接導(dǎo)致網(wǎng)站宕機、服務(wù)器癱瘓、消耗大量帶寬或內(nèi)存、造成權(quán)威受損、品牌蒙羞、財產(chǎn)流失等巨大損失，嚴重威脅著全球互聯(lián)網(wǎng)信息安全的發(fā)展。

2016年10月，美國主要的DNS服務(wù)商Dyn遭受DDos攻擊，致使半個美國網(wǎng)絡(luò)癱瘓。

六、DDOS攻擊的防御方法

01、要確保服務(wù)器軟件沒有任何漏洞，防止攻擊者入侵。

確保服務(wù)器采用最新系統(tǒng)，并打上安全補丁，沒有安全漏洞。在服務(wù)器上刪除未使用的服務(wù)，關(guān)閉未使用的端口。

02、隱藏服務(wù)器的真實IP地址。

譬如服務(wù)器前端加CDN中轉(zhuǎn)，或者購買高防的盾機或高防ip，用于隱藏服務(wù)器真實IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務(wù)器上部署的其他域名也不能使用真實IP解析，全部都使用CDN來解析。

03、防止服務(wù)器對外傳送信息泄漏IP地址，

如服務(wù)器不要使用發(fā)送郵件功能，因為郵件頭會泄漏服務(wù)器的IP地址，可以通過第三方代理發(fā)送郵件。

04、優(yōu)化路由及網(wǎng)絡(luò)結(jié)構(gòu)。

對路由器進行合理設(shè)置，降低攻擊的可能性。優(yōu)化對外提供服務(wù)的主機，對所有在網(wǎng)上提供公開服務(wù)的主機都加以限制。

05、防御DDoS攻擊還要從源頭做起。

做好個人計算機及物聯(lián)網(wǎng)設(shè)備的防護工作，不隨意下載來路不明的應(yīng)用，定期更新安全補丁，并關(guān)閉不不必要的端口，防止設(shè)備被惡意連接，變成肉雞。

來源：浦東網(wǎng)警

本文鏈接：http://m.51huadong.com/cloundnews/11003681.html