DDoS介紹

DDoS是英文Distributed Denial of Service的縮寫侥猩，意即“分布式拒絕服務(wù)”秫筏，那么什么又是拒絕服務(wù)（Denial of Service）呢莫杈？可以這么理解互例，凡是能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說拒絕服務(wù)攻擊的目的非常明確筝闹，就是要阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問媳叨，從而達(dá)成攻擊者不可告人的目的。分布式拒絕服務(wù)攻擊一旦被實(shí)施关顷，攻擊網(wǎng)絡(luò)包就會(huì)從很多DOS攻擊源(俗稱肉雞)猶如洪水般涌向受害主機(jī)糊秆，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源议双，因此痘番，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”，常見的DDOS攻擊手段有SYN Flood、ACK Flood汞舱、UDP Flood伍纫、ICMP Flood、TCP Flood昂芜、Connections Flood莹规、Script Flood、Proxy Flood等说铃。

目前而言纤泵，黑客甚至對攻擊進(jìn)行明碼標(biāo)價(jià)栋烤，打1G的流量到一個(gè)網(wǎng)站一小時(shí)，只需50塊錢。DDoS的成本如此之低躁锁，而且攻擊了也沒人管。

關(guān)于DDos攻擊的常見方法

1. SYN Flood：利用TCP協(xié)議的原理超全，這種攻擊方法是經(jīng)典最有效的DDOS方法恬涧，可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK 包舶沿，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)墙杯。

2. HTTP Flood：針對系統(tǒng)的每個(gè)Web頁面，或者資源括荡，或者Rest API高镐，用大量肉雞，發(fā)送大量http request畸冲。這種攻擊主要是針對存在ASP嫉髓、JSP、PHP邑闲、CGI等腳本程序算行，并調(diào)用MSSQLServer、MySQLServer苫耸、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計(jì)的州邢，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢褪子、列表等大量耗費(fèi)數(shù)據(jù)庫資源的調(diào)用量淌，典型的以小博大的攻擊方法。缺點(diǎn)是對付只有靜態(tài)頁面的網(wǎng)站效果會(huì)大打折扣褐筛。

3. 慢速攻擊：Http協(xié)議中規(guī)定类少，HttpRequest以\r\n\r\n結(jié)尾來表示客戶端發(fā)送結(jié)束。攻擊者打開一個(gè)Http 1.1的連接渔扎，將Connection設(shè)置為Keep-Alive硫狞， 保持和服務(wù)器的TCP長連接。然后始終不發(fā)送\r\n\r\n， 每隔幾分鐘寫入一些無意義的數(shù)據(jù)流残吩， 拖死機(jī)器财忽。

4. P2P攻擊：每當(dāng)網(wǎng)絡(luò)上出現(xiàn)一個(gè)熱門事件，比如XX門泣侮， 精心制作一個(gè)種子即彪， 里面包含正確的文件下載， 同時(shí)也包括攻擊目標(biāo)服務(wù)器的IP活尊。這樣隶校，當(dāng)很多人下載的時(shí)候， 會(huì)無意中發(fā)起對目標(biāo)服務(wù)器的TCP連接蛹锰。

DDOS攻擊現(xiàn)象判定方法

1.SYN類攻擊判斷：A.CPU占用很高深胳；B.網(wǎng)絡(luò)連接狀態(tài)：netstat –na,若觀察到大量的SYN_RECEIVED的連接狀態(tài)；C.網(wǎng)線插上后铜犬，服務(wù)器立即凝固無法操作舞终，拔出后有時(shí)可以恢復(fù)，有時(shí)候需要重新啟動(dòng)機(jī)器才可恢復(fù)癣猾。

2.CC類攻擊判斷：A.網(wǎng)站出現(xiàn)service unavailable提示敛劝；B.CPU占用率很高；C.網(wǎng)絡(luò)連接狀態(tài)：netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個(gè)IP高達(dá)幾十條甚至上百條纷宇；D.用戶無法訪問網(wǎng)站頁面或打開過程非常緩慢,軟重啟后短期內(nèi)恢復(fù)正常,幾分鐘后又無法訪問夸盟。

3.UDP類攻擊判斷：A.觀察網(wǎng)卡狀況 每秒接受大量的數(shù)據(jù)包；B.網(wǎng)絡(luò)狀態(tài)：netstat –na TCP信息正常像捶。

4.TCP洪水攻擊判斷：A.CPU占用很高满俗；B.netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個(gè)IP高達(dá)幾十條甚至上百條

DDoS攻擊防御方法：

1. 過濾不必要的服務(wù)和端口：可以使用Inexpress、Express作岖、Forwarding等工具來過濾不必要的服務(wù)和端口，即在路由器上過濾假IP五芝。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較痘儡，并加以過濾。只開放服務(wù)端口成為目前很多服務(wù)器的流行做法枢步，例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略沉删。

2. 異常流量的清洗過濾：通過DDoS硬件防火墻對異常流量的清洗過濾，通過數(shù)據(jù)包的規(guī)則過濾醉途、數(shù)據(jù)流指紋檢測過濾矾瑰、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)能準(zhǔn)確判斷外來訪問流量是否正常，進(jìn)一步將異常流量禁止過濾隘擎。單臺負(fù)載每秒可防御800-927萬個(gè)syn攻擊包殴穴。

3. 分布式集群防御：這是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDoS攻擊的最有效辦法。分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址（負(fù)載均衡），并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDOS攻擊采幌，如一個(gè)節(jié)點(diǎn)受攻擊無法提供服務(wù)劲够，系統(tǒng)將會(huì)根據(jù)優(yōu)先級設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn)，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn)休傍，使攻擊源成為癱瘓狀態(tài)征绎，從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。

4.云防御：目前磨取，許多的企業(yè)面對大攻擊時(shí)都是采用這種方式來進(jìn)行防御人柿，一方面可以通過云進(jìn)行調(diào)度，另一方面操作也非常的簡單忙厌，并且面對各種類型來勢洶洶的DDoS攻擊都能及時(shí)響應(yīng)凫岖。但缺點(diǎn)是攻擊量大時(shí)是價(jià)格會(huì)比較高，這個(gè)要看企業(yè)對DDoS攻擊的衡量慰毅，是被打垮了損失的費(fèi)用更大還是花錢抗D花費(fèi)的費(fèi)用更大隘截。目前國內(nèi)做的比較好的四大廠商是：知道創(chuàng)宇、阿里云汹胃、騰訊云和綠盟云婶芭，下面我們來分析一下各家優(yōu)勢。

知道創(chuàng)宇：同樣能對互聯(lián)網(wǎng)上各種類型的DDoS攻擊進(jìn)行防護(hù)着饥，并且有自主研發(fā)Anti-CC引擎犀农，在防CC攻擊上有明顯優(yōu)勢，最大防護(hù)達(dá)2T宰掉。他們有免費(fèi)試用和低價(jià)的抗D套餐呵哨，有需要的可以試試。

阿里云：基本上可以防護(hù)各種DDoS攻擊轨奄，并可以根據(jù)用戶的流量大小自動(dòng)調(diào)整防御策略孟害，支持BGP和CDN兩種引流，并在防御應(yīng)用層DDOS上有很大優(yōu)勢挪拟，最大防護(hù)能力達(dá)到T級挨务。

騰訊云：騰訊基于自身能力在游戲和社交產(chǎn)品的防御上獨(dú)具優(yōu)勢，采用BGP防護(hù)帶寬玉组，單IP對接多線路谎柄，線路可靠且覆蓋面廣。

綠盟云：背靠綠盟多年硬件防護(hù)能力惯雳，基于CPE設(shè)備/軟件結(jié)合云端服務(wù)的混合抗D方案朝巫，綠盟當(dāng)前在大客戶有廣泛的ADS及抗D模塊設(shè)備如WAF的部署，可以很容易感知業(yè)務(wù)異常石景，方便和云端聯(lián)動(dòng)和協(xié)作劈猿。

DDoS攻擊的網(wǎng)絡(luò)流量清洗

當(dāng)發(fā)生DDoS攻擊時(shí)拙吉，網(wǎng)絡(luò)監(jiān)控系統(tǒng)會(huì)偵測到網(wǎng)絡(luò)流量的異常變化并發(fā)出報(bào)警。在系統(tǒng)自動(dòng)檢測或人工判斷之后糙臼，可以識別出被攻擊的虛擬機(jī)公網(wǎng)IP地址庐镐。這時(shí)，可調(diào)用系統(tǒng)的防DDoS攻擊功能接口变逃，啟動(dòng)對相關(guān)被攻擊IP的流量清洗必逆。流量清洗設(shè)備會(huì)立即接管對該IP地址的所有數(shù)據(jù)包，并將攻擊數(shù)據(jù)包清洗掉揽乱，僅將正常的數(shù)據(jù)包轉(zhuǎn)發(fā)給隨后的網(wǎng)絡(luò)設(shè)備名眉。這樣，就能保證整個(gè)網(wǎng)絡(luò)正常的流量通行凰棉，而將DDoS流量拒之門外损拢。

采用云DDoS清洗方式，可以為企業(yè)用戶帶來諸多好處撒犀。其表現(xiàn)在不僅可以提升綜合防護(hù)能力福压，用戶能夠按需付費(fèi)，可彈性擴(kuò)展或舞，而且還能夠基于大數(shù)據(jù)來分析預(yù)測攻擊荆姆，同時(shí)能夠免費(fèi)升級。對于企業(yè)用戶來說映凳，則可實(shí)現(xiàn)零運(yùn)維胆筒、零改造。

CC攻擊介紹

CC攻擊（Challenge Collapsar）是DDoS（分布式拒絕服務(wù)）的一種诈豌，前身名為Fatboy攻擊仆救，也是一種常見的網(wǎng)站攻擊方法。攻擊者通過代理服務(wù)器或者肉雞向向受害主機(jī)不停地發(fā)大量數(shù)據(jù)包矫渔，造成對方服務(wù)器資源耗盡彤蔽，一直到宕機(jī)崩潰。相比其它的DDoS攻擊CC似乎更有技術(shù)含量一些庙洼。這種攻擊你見不到真實(shí)源IP铆惑，見不到特別大的異常流量，但造成服務(wù)器無法進(jìn)行正常連接送膳。最讓站長們憂慮的是這種攻擊技術(shù)含量低，利用更換IP代理工具和一些IP代理一個(gè)初丑蛤、中級的電腦水平的用戶就能夠?qū)嵤┕簟?/p>

CC攻擊防御方法

1. 利用Session做訪問計(jì)數(shù)器：利用Session針對每個(gè)IP做頁面訪問計(jì)數(shù)器或文件下載計(jì)數(shù)器叠聋，防止用戶對某個(gè)頁面頻繁刷新導(dǎo)致數(shù)據(jù)庫頻繁讀取或頻繁下載某個(gè)文件而產(chǎn)生大額流量。（文件下載不要直接使用下載地址受裹，才能在服務(wù)端代碼中做CC攻擊的過濾處理）

2. 把網(wǎng)站做成靜態(tài)頁面：大量事實(shí)證明碌补，把網(wǎng)站盡可能做成靜態(tài)頁面虏束，不僅能大大提高抗攻擊能力，而且還給駭客入侵帶來不少麻煩厦章，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)镇匀，看看吧！新浪袜啃、搜狐汗侵、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，若你非需要?jiǎng)討B(tài)腳本調(diào)用群发，那就把它弄到另外一臺單獨(dú)主機(jī)去晰韵，免的遭受攻擊時(shí)連累主服務(wù)器。

3. 在存在多站的服務(wù)器上熟妓，嚴(yán)格限制每一個(gè)站允許的IP連接數(shù)和CPU使用時(shí)間：這是一個(gè)很有效的方法雪猪。CC的防御要從代碼做起，其實(shí)一個(gè)好的頁面代碼都應(yīng)該注意這些東西起愈，還有SQL注入只恨，不光是一個(gè)入侵工具，更是一個(gè)DDOS缺口抬虽，大家都應(yīng)該在代碼中注意官觅。舉個(gè)例子吧，某服務(wù)器斥赋，開動(dòng)了5000線的CC攻擊缰猴，沒有一點(diǎn)反應(yīng)，因?yàn)樗械脑L問數(shù)據(jù)庫請求都必須一個(gè)隨機(jī)參數(shù)在Session里面疤剑，全是靜態(tài)頁面滑绒，沒有效果。突然發(fā)現(xiàn)它有一個(gè)請求會(huì)和外面的服務(wù)器聯(lián)系獲得隘膘，需要較長的時(shí)間疑故，而且沒有什么認(rèn)證，開800線攻擊弯菊，服務(wù)器馬上滿負(fù)荷了纵势。代碼層的防御需要從點(diǎn)點(diǎn)滴滴做起，一個(gè)腳本代碼的錯(cuò)誤管钳，可能帶來的是整個(gè)站的影響钦铁，甚至是整個(gè)服務(wù)器的影響!

4. 服務(wù)器前端加CDN中轉(zhuǎn)(免費(fèi)的有加速樂、百度云加速才漆、安全寶等)牛曹，如果資金充裕的話，可以購買高防服務(wù)器醇滥，用于隱藏服務(wù)器真實(shí)IP黎比，域名解析使用CDN的IP超营，所有解析的子域名都使用CDN的IP地址。此外阅虫，服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析演闭，全部都使用CDN來解析。?

另外颓帝，防止服務(wù)器對外傳送信息泄漏IP地址米碰，最常見的情況是，服務(wù)器不要使用發(fā)送郵件功能躲履，因?yàn)猷]件頭會(huì)泄漏服務(wù)器的IP地址见间。如果非要發(fā)送郵件，可以通過第三方代理(例如sendcloud)發(fā)送工猜，這樣對外顯示的IP是代理的IP地址米诉。?

總之，只要服務(wù)器的真實(shí)IP不泄露篷帅，10G以下小流量DDoS的預(yù)防花不了多少錢史侣，免費(fèi)的CDN就可以應(yīng)付得了。如果攻擊流量超過20G魏身，那么免費(fèi)的CDN可能就頂不住了惊橱，需要購買一個(gè)高防的盾機(jī)來應(yīng)付了，而服務(wù)器的真實(shí)IP同樣需要隱藏

資料參考：

https://zhuanlan.zhihu.com/p/29784472

https://zhuanlan.zhihu.com/p/30150531