DDoS攻擊，對(duì)于大多數(shù)人而言非常神秘，它卻是一種最常見的網(wǎng)絡(luò)攻擊方式！

一、什么是DDoS攻擊

DDoS：Distributed Denial of Service

中文名：分布式拒絕服務(wù)

所謂分布式拒絕服務(wù)攻擊是指處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)攻擊，或者一個(gè)攻擊者控制了位于不同位置的多臺(tái)機(jī)器并利用這些機(jī)器對(duì)受害者同時(shí)實(shí)施攻擊。

由于分布式拒絕服務(wù)攻擊可以使很多的計(jì)算機(jī)在同一時(shí)間遭受到攻擊，使攻擊的目標(biāo)無法正常使用，因此，該攻擊一旦出現(xiàn)會(huì)導(dǎo)致很多的大型網(wǎng)站都出現(xiàn)無法進(jìn)行操作的情況。

舉個(gè)簡單的栗子幫助大家理解

一群惡霸試圖讓對(duì)面那家有著競爭關(guān)系的商鋪（網(wǎng)站/服務(wù)器/DNS）無法正常營業(yè)，他們會(huì)采取什么手段呢？

惡霸們扮作普通客戶一直擁擠在對(duì)手的商鋪，賴著不走，真正的購物者卻無法進(jìn)入；

或者總是和營業(yè)員有一搭沒一搭的東扯西扯，讓工作人員不能正常服務(wù)客戶；

也可以為商鋪的經(jīng)營者提供虛假信息，商鋪的上上下下忙成一團(tuán)之后卻發(fā)現(xiàn)都是一場空，最終跑了真正的大客戶，損失慘重。

此外，惡霸們完成這些壞事有時(shí)憑單干難以完成，需要叫上很多人一起。

所以，當(dāng)一個(gè)網(wǎng)站被DDoS攻擊時(shí)會(huì)造成用戶無法訪問，這是因?yàn)榉��?wù)器正忙著處理成千上萬的其他訪問請(qǐng)求。

二、DDOS攻擊的分類

基于不同的分類標(biāo)準(zhǔn)，可以對(duì)分布式拒絕服務(wù)攻擊進(jìn)行不同的分類，通常來說，該類攻擊大體上分為七類：

基于自動(dòng)化程度分類，此分類主要分為手工的DDoS攻擊、半自動(dòng)化的DDoS攻擊、自動(dòng)化的DDoS攻擊三種。

基于系統(tǒng)及協(xié)議的弱點(diǎn)分類，此分類主要分為洪水攻擊、擴(kuò)大攻擊、利用協(xié)議的攻擊和畸形數(shù)據(jù)包攻擊四種。

基于攻擊速率分類，基于速率上可以分為持續(xù)速率和可變速率的攻擊。

基于影響力進(jìn)行分類，基于影響力方面可以分為網(wǎng)絡(luò)服務(wù)徹底崩潰和降低網(wǎng)絡(luò)服務(wù)的攻擊。

基于入侵目標(biāo)分類，基于入侵目標(biāo)可以將DDoS攻擊分為帶寬攻擊和連通性攻擊。

基于攻擊路線分類，基于攻擊路線可以分為直接攻擊和反復(fù)式攻擊。

基于攻擊特征分類，從這一角度，可以將DDoS攻擊分為攻擊行為特征可提取和攻擊行為特征不可提取兩類。

三、DDOS攻擊的表現(xiàn)形式

DDoS攻擊的表現(xiàn)形式主要有兩種

一種是主要針對(duì)網(wǎng)絡(luò)帶寬的流量攻擊，利用大量攻擊包使網(wǎng)絡(luò)帶寬被阻塞，導(dǎo)致合法網(wǎng)絡(luò)包無法到達(dá)主機(jī)的行為。

另一種是針對(duì)服務(wù)器主機(jī)的資源耗盡攻擊，通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。

受到DDoS攻擊時(shí)，網(wǎng)絡(luò)或服務(wù)器會(huì)表現(xiàn)出以下幾點(diǎn)：

被攻擊主機(jī)上有大量等待的TCP連接。

網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假。

存在高流量無用數(shù)據(jù)，網(wǎng)絡(luò)擁塞嚴(yán)重，主機(jī)無法正常和外界通訊。

反復(fù)高速地發(fā)出特定的服務(wù)請(qǐng)求，但受害主機(jī)無法及時(shí)處理所有正常請(qǐng)求。

嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。

四、DDoS攻擊的原理

DDoS攻擊需要攻擊者控制在線計(jì)算機(jī)網(wǎng)絡(luò)才能進(jìn)行攻擊。連入互聯(lián)網(wǎng)的計(jì)算機(jī)（或攝像頭等物聯(lián)網(wǎng)設(shè)備）感染了惡意軟件，被轉(zhuǎn)變成肉雞（傀儡機(jī)）。一旦肉雞網(wǎng)絡(luò)建立，攻擊者就可以通過遠(yuǎn)程控制方法向每個(gè)肉雞發(fā)送更新的指令來控制機(jī)器。由于每臺(tái)肉雞都是合法的互聯(lián)網(wǎng)設(shè)備，因此將攻擊流量與正常流量分開可能很困難。

簡單來說，它是借助數(shù)百、甚至數(shù)千臺(tái)被入侵后安裝了攻擊進(jìn)程的主機(jī)同時(shí)發(fā)起的集團(tuán)行為。

五、DDOS攻擊的危害

DDoS被稱為最恐怖的網(wǎng)絡(luò)攻擊，目前最大的DDoS攻擊事件是美國知名安全研究人員Brian Krebs的安全博客遭遇的DDoS攻擊，攻擊峰值達(dá)到665G。

DDoS攻擊的成本低但攻擊性和破壞性卻很強(qiáng)，因此經(jīng)常被網(wǎng)絡(luò)黑客利用。DDoS攻擊通常可以造成以下危害：

可以直接導(dǎo)致網(wǎng)站宕機(jī)、服務(wù)器癱瘓、消耗大量帶寬或內(nèi)存、造成權(quán)威受損、品牌蒙羞、財(cái)產(chǎn)流失等巨大損失，嚴(yán)重威脅著全球互聯(lián)網(wǎng)信息安全的發(fā)展。

2016年10月，美國主要的DNS服務(wù)商Dyn遭受DDos攻擊，致使半個(gè)美國網(wǎng)絡(luò)癱瘓。

六、DDOS攻擊的防御方法

01、要確保服務(wù)器軟件沒有任何漏洞，防止攻擊者入侵。

確保服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁，沒有安全漏洞。在服務(wù)器上刪除未使用的服務(wù)，關(guān)閉未使用的端口。

02、隱藏服務(wù)器的真實(shí)IP地址。

譬如服務(wù)器前端加CDN中轉(zhuǎn)，或者購買高防的盾機(jī)或高防ip，用于隱藏服務(wù)器真實(shí)IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析，全部都使用CDN來解析。

03、防止服務(wù)器對(duì)外傳送信息泄漏IP地址，

如服務(wù)器不要使用發(fā)送郵件功能，因?yàn)猷]件頭會(huì)泄漏服務(wù)器的IP地址，可以通過第三方代理發(fā)送郵件。

04、優(yōu)化路由及網(wǎng)絡(luò)結(jié)構(gòu)。

對(duì)路由器進(jìn)行合理設(shè)置，降低攻擊的可能性。優(yōu)化對(duì)外提供服務(wù)的主機(jī)，對(duì)所有在網(wǎng)上提供公開服務(wù)的主機(jī)都加以限制。

05、防御DDoS攻擊還要從源頭做起。

做好個(gè)人計(jì)算機(jī)及物聯(lián)網(wǎng)設(shè)備的防護(hù)工作，不隨意下載來路不明的應(yīng)用，定期更新安全補(bǔ)丁，并關(guān)閉不不必要的端口，防止設(shè)備被惡意連接，變成肉雞。

來源：浦東網(wǎng)警

本文鏈接：http://m.51huadong.com/cloundnews/11003681.html