周五下班比較早，我正在家里面玩吃雞游戲，正在瘋狂的跑毒，這時(shí)候坐在旁邊刷著抖音的女朋友問了我一個(gè)奇怪的問題。

分布式拒絕服務(wù)(DDoS：Distributed Denial of Service)攻擊，是指攻擊者利用大量“肉雞”對(duì)攻擊目標(biāo)發(fā)動(dòng)大量的正常或非正常請(qǐng)求、耗盡目標(biāo)主機(jī)資源或網(wǎng)絡(luò)資源，從而使被攻擊的主機(jī)不能為正常用戶提供服務(wù)。

DoS

在介紹DDoS之前，需要先簡(jiǎn)單介紹一下什么是DoS。

DoS（拒絕服務(wù)，Denial of Service）就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。這是早期非�；�本的網(wǎng)絡(luò)攻擊方式。

舉一個(gè)簡(jiǎn)單的例子，小王開了一家商店，店面不大，加上小王一共有三個(gè)服務(wù)員。由于他們這里物美價(jià)廉，工作人員的態(tài)度又比較友善，所以慢慢的生意越來越好。

但是，這家店所在的小鎮(zhèn)上有一個(gè)惡霸，惡霸看到小王的店很賺錢，想要通過一些下作的手段謀取私利。于是他裝扮成普通的顧客，在小王的店里有一搭無一搭的總和店員攀談，問問這個(gè)多少錢，問問那個(gè)怎么賣，還時(shí)不時(shí)的給店員提供一些虛假信息，比如哪里缺貨了之類的信息。使店員們都被他搞的團(tuán)團(tuán)轉(zhuǎn)。

由于惡霸是裝作普通顧客的，小王和店員們又不能徹底不理他，所以就要分出一些精力來服務(wù)他，但是由于店內(nèi)的服務(wù)員有限。這樣一來，很多其他的顧客就可能受到了冷落。

對(duì)于網(wǎng)站來說，其實(shí)也是一樣的，網(wǎng)站就像是小王的商店一樣。對(duì)于一個(gè)網(wǎng)站來說，他是要搭建在服務(wù)器上面的，而由于硬件資源有限，所以服務(wù)能力也是有限的。如果有人頻繁訪問或者長(zhǎng)時(shí)間占用資源，就會(huì)導(dǎo)致其他用戶的體驗(yàn)有所下降。

這種，利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)的行為，就是DoS攻擊。

在信息安全的三要素——保密性、完整性和可用性中，DoS針對(duì)的目標(biāo)正是可用性。該攻擊方式利用目標(biāo)系統(tǒng)網(wǎng)絡(luò)服務(wù)功能缺陷或者直接消耗其系統(tǒng)資源，使得該目標(biāo)系統(tǒng)無法提供正常的服務(wù)。

DDoS

如果只是一個(gè)惡霸的話，只要能夠識(shí)別出來，然后阻止他進(jìn)入店鋪就行了。

隨著惡霸被發(fā)現(xiàn)之后，他也想了一個(gè)辦法，這次他不再自己一個(gè)人跑去店里搗亂了，而是糾集了一群無賴，而這些無賴每天都換，店鋪里面的服務(wù)員根本識(shí)別不出來到底誰是惡霸派來的。

無賴們扮作普通客戶一直擁擠在商場(chǎng)，賴著不走，真正的購(gòu)物者卻無法進(jìn)入；或者總是和營(yíng)業(yè)員有一搭沒一搭的東扯西扯，讓工作人員不能正常服務(wù)客戶；也可以為商鋪的經(jīng)營(yíng)者提供虛假信息，商鋪的上上下下忙成一團(tuán)之后卻發(fā)現(xiàn)都是一場(chǎng)空，最終跑了真正的大客戶，損失慘重。一個(gè)無賴去胡鬧，就是 DoS攻擊，而一群無賴去胡鬧，就是 DDoS攻擊。

一般來說，DDoS 攻擊可以具體分成兩種形式：帶寬消耗型以及資源消耗型。它們都是透過大量合法或偽造的請(qǐng)求占用大量網(wǎng)絡(luò)以及器材資源，以達(dá)到癱瘓網(wǎng)絡(luò)以及系統(tǒng)的目的。

DDoS的危害

當(dāng)服務(wù)器被DDos攻擊時(shí)，一般會(huì)出現(xiàn)以下現(xiàn)象：

被攻擊主機(jī)上有大量等待的TCP連接；

 網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包； 

受害主機(jī)無法正常和外界通訊； 

受害主機(jī)無法處理所有正常請(qǐng)求；嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。 

對(duì)于用戶來說，在常見的現(xiàn)象就是網(wǎng)站無法訪問。

DDoS的防范

為了對(duì)抗 DDoS攻擊，你需要對(duì)攻擊時(shí)發(fā)生了什么有一個(gè)清楚的理解。簡(jiǎn)單來講，DDoS 攻擊可以通過利用服務(wù)器上的漏洞，或者消耗服務(wù)器上的資源(例如 內(nèi)存、硬盤等等)來達(dá)到目的。

一般來說，可以用以下辦法防范：

1、如果可以識(shí)別出攻擊源，如機(jī)器IP等，可以在防火墻服務(wù)器上放置一份 ACL（訪問控制列表) 來阻斷這些來自這些 IP 的訪問。

2、對(duì)于帶寬消耗型攻擊，最有效的辦法那就是增加貸款。

3、提高服務(wù)器的服務(wù)能力，增加負(fù)載均衡，多地部署等。

4、優(yōu)化資源使用提高 web server 的負(fù)載能力。例如，使用 apache 可以安裝 apachebooster 插件，該插件與 varnish 和 nginx 集成，可以應(yīng)對(duì)突增的流量和內(nèi)存占用。

5、使用高可擴(kuò)展性的 DNS 設(shè)備來保護(hù)針對(duì) DNS 的 DDOS 攻擊�？梢钥紤]購(gòu)買 Cloudfair 的商業(yè)解決方案，它可以提供針對(duì) DNS 或 TCP/IP3 到7層的 DDOS 攻擊保護(hù)。

6、啟用路由器或防火墻的反IP欺騙功能。

7、付費(fèi)，使用第三方的服務(wù)來保護(hù)你的網(wǎng)站。

8、監(jiān)控網(wǎng)絡(luò)和 web 的流量。時(shí)刻觀察流量變化

9、保護(hù)好 DNS 避免 DNS 放大攻擊。

對(duì)于網(wǎng)絡(luò)攻擊，沒有任何辦法徹底阻止和避免 ，只能盡最大努力不斷提高黑客攻擊成本。（來源微信公眾號(hào)：漫畫編程）

天下數(shù)據(jù)提供美國(guó)高防服務(wù)器、香港高防服務(wù)器、韓國(guó)高防服務(wù)器等；其中佛山高防服務(wù)器提供集群420G，單IP最大可加至240G的秒解防御，無限秒解不封機(jī)。該高防機(jī)房很好的解決各種CC、流量等DDOS攻擊，另還有DDos高防IP為您的業(yè)務(wù)保駕護(hù)航。詳詢?cè)诰�客服！

本文鏈接：http://www.51huadong.com/cloundnews/11002753.html