DDoS，英文Distributed Denial of Service，即分布式拒絕服務(wù)。DDoS攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。DDoS攻擊會(huì)帶來巨大的損失，而黑客發(fā)起一次攻擊可能只需要幾十元的成本。道高一尺魔高一丈。

一般會(huì)從發(fā)起DDoS攻擊的網(wǎng)絡(luò)層次上進(jìn)行分類，比如：畸形報(bào)文、傳輸層DDoS攻擊、Web應(yīng)用DDoS攻擊、Web應(yīng)用層攻擊、DNS DDoS攻擊、連接型DDoS攻擊(TCP慢速連接攻擊)等。

本文從另一個(gè)維度進(jìn)行分類，將DDoS攻擊分為：

基于流量的 DDoS 攻擊：主要現(xiàn)象是服務(wù)器上流量太大，導(dǎo)致其與Internet的連接完全飽和。從其他地方ping服務(wù)器時(shí)，丟包率很高，有時(shí)您也會(huì)看到非常高的延遲(ping時(shí)間值很高)。

基于負(fù)載的 DDoS 攻擊：主要現(xiàn)象當(dāng)您遇到基于負(fù)載的DDoS時(shí)，您會(huì)注意到負(fù)載平均值異常高(或CPU，RAM或磁盤使用情況，具體取決于您的平臺(tái)和詳細(xì)信息)。雖然服務(wù)器似乎沒有做任何有用的事情，但它非常繁忙。通常，日志中會(huì)有大量條目表明異常情況。這通常來自很多不同的地方并且是DDoS，但情況不一定如此。 甚至不需要很多不同的主機(jī)。

基于漏洞的 DDoS 攻擊：如果您的服務(wù)在啟動(dòng)后會(huì)非?？焖俚乇罎?，特別是如果您可以在崩潰之前建立請(qǐng)求模式并且請(qǐng)求是非典型的或與預(yù)期使用模式不匹配，那么您可能正在體驗(yàn)基于漏洞的DoS。這可以來自只有一個(gè)主機(jī)(幾乎任何類型的互聯(lián)網(wǎng)連接)或許多主機(jī)。

DDoS防御是一種資源對(duì)抗的防御，攻擊者由于采用的是違法手段獲取的失陷主機(jī)(肉雞)，所以攻擊成本遠(yuǎn)遠(yuǎn)小于防御成本，這是攻防不對(duì)等的原因。

一般認(rèn)為防御DDoS攻擊最有效的方式是使用清洗設(shè)備對(duì)所有流量進(jìn)行“清洗”，盡可能的篩去攻擊流量，然后將剩余流量給與到應(yīng)用服務(wù)器。但是不是所有的DDoS攻擊都適用清洗方法。需要根據(jù)不同種類針對(duì)性的分析和解決。

解決方案

1、關(guān)于這個(gè)問題，當(dāng)攻擊已經(jīng)發(fā)生時(shí)你幾乎無能為力。

2、最好的長期解決方案是在互聯(lián)網(wǎng)上的許多不同位置托管您的服務(wù)，這樣對(duì)于攻擊者來說他的DDoS攻擊成本會(huì)更高。

3、這方面的策略取決于您需要保護(hù)的服務(wù); DNS可以使用多個(gè)權(quán)威名稱服務(wù)器，具有備份MX記錄和郵件交換器的SMTP以及使用循環(huán)DNS或多宿主的HTTP進(jìn)行保護(hù)(但是在某段時(shí)間內(nèi)可能會(huì)出現(xiàn)一些明顯的降級(jí))。

4、負(fù)載均衡設(shè)備并不是解決此問題的有效方法，因?yàn)樨?fù)載均衡設(shè)備本身也會(huì)遇到同樣的問題并且只會(huì)造成瓶頸。

5、IPTables或其他防火墻規(guī)則無濟(jì)于事，因?yàn)閱栴}是您的管道已經(jīng)飽和。 一旦防火墻看到連接，就已經(jīng)太晚了 ; 您的網(wǎng)站帶寬已被消耗。你用連接做什么都沒關(guān)系; 當(dāng)傳入流量恢復(fù)正常時(shí)，攻擊會(huì)緩解或完成。

6、內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)以及專業(yè)安全與網(wǎng)絡(luò)性能公司的DDoS清理服務(wù)。這將是緩解這些類型的攻擊的積極措施，并且在許多不同的地方擁有大量的可用帶寬。請(qǐng)注意：要隱藏服務(wù)器的IP。

7、此外一些托管服務(wù)提供商、云計(jì)算廠商在減輕這些攻擊方面比其他提供商更好。因?yàn)橐?guī)模越大，會(huì)擁有更大帶寬，自然也會(huì)更有彈性。

每年的各種網(wǎng)絡(luò)攻擊數(shù)據(jù)調(diào)查都會(huì)明明白白地顯示著：游戲行業(yè)是DDoS重災(zāi)區(qū)。

“游戲又上不去了”“一直卡在登錄界面”……伴隨著玩家們的聲聲抱怨，近日知名游戲公司美國藝電公司(EA)在社交媒體上公布，由于遭遇了DDoS攻擊，旗下多款游戲無法登錄。在緊急維護(hù)2個(gè)小時(shí)后，這家去年?duì)I收近50億美元的游戲巨頭才讓服務(wù)器恢復(fù) 正常。

該公司遭受的，是游戲行業(yè)聞之色變、整個(gè)互聯(lián)網(wǎng)領(lǐng)域臭名昭著的DDoS攻擊。作為一種有著“悠久歷史”的攻擊方式，DDoS伴隨著互聯(lián)網(wǎng)發(fā)展，給人們留下的只有噩夢(mèng)和其“網(wǎng)絡(luò)打手”的罵名。

前段時(shí)間，著名的全國首例全鏈條打擊黑客跨境攻擊案的“姚曉杰等11人破壞計(jì)算機(jī)信息系統(tǒng)案”入選最高檢指導(dǎo)性案例，姚曉杰等人招募多名網(wǎng)絡(luò)技術(shù)人員，在境外成立“暗夜小組”黑客組織。“暗夜小組”購買大量服務(wù)器資源，再利用木馬軟件操控控制端服務(wù)器，實(shí)施DDoS攻擊。

2017年持續(xù)對(duì)某互聯(lián)網(wǎng)公司云服務(wù)器上運(yùn)營的三家游戲公司的客戶端IP進(jìn)行DDoS攻擊，攻擊導(dǎo)致三家游戲公司IP被封堵，出現(xiàn)游戲無法登陸、用戶頻繁掉線，游戲無法正常運(yùn)行等問題。為恢復(fù)云服務(wù)器的正常運(yùn)營，某互聯(lián)網(wǎng)公司組織人員對(duì)服務(wù)器進(jìn)行了搶修并為此支付4萬余元。

其實(shí)，受害者不僅是游戲公司！

DDoS攻擊，全稱為分布式拒絕服務(wù)(Distributed Denial of Service)攻擊，是最常見的網(wǎng)絡(luò)攻擊手法之一。攻擊者通過操控不同區(qū)域的多臺(tái)計(jì)算機(jī)對(duì)目標(biāo)服務(wù)器發(fā)起攻擊，目的是迫使對(duì)方網(wǎng)絡(luò)或系統(tǒng)的資源耗盡，被迫暫停服務(wù)，導(dǎo)致正常用戶無法訪問。

打個(gè)通俗的比方，服務(wù)器好比一家飯店，攻擊者叫來50個(gè)人占據(jù)了所有的餐桌卻不點(diǎn)餐，反而讓服務(wù)員端茶遞水，導(dǎo)致飯店無法正常營業(yè)。DDoS的攻擊往往持續(xù)數(shù)日甚至數(shù)周之久，危害可想而知。

游戲網(wǎng)站最大的特點(diǎn)在于用戶對(duì)服務(wù)器的需求是全天候的。游戲公司通常會(huì)選擇在凌晨更新版本，以避免過多用戶無法登陸。而DDoS攻擊超過3天，游戲玩家數(shù)量就會(huì)大幅下降。

據(jù)統(tǒng)計(jì)，除游戲公司外，政府網(wǎng)站、企業(yè)服務(wù)網(wǎng)站，甚至金融公司，長期以來都是DDoS偏好的攻擊目標(biāo)。在遭受攻擊期間，網(wǎng)絡(luò)游戲不能正常登錄，網(wǎng)絡(luò)支付卡頓甚至不能成交。如果攻擊長年累月持續(xù)，會(huì)使用戶體驗(yàn)下降，轉(zhuǎn)而尋求其他供應(yīng)商服務(wù)，這樣就會(huì)影響網(wǎng)絡(luò)游戲公司或者互聯(lián)網(wǎng)服務(wù)提供商的直接利益。

作為一個(gè)深根互聯(lián)網(wǎng)安全可信行業(yè)近10年的企業(yè)，葫蘆娃集團(tuán)會(huì)不時(shí)被游戲公司及其他各行業(yè)企業(yè)咨詢關(guān)于如何防護(hù)網(wǎng)站被攻擊，也服務(wù)過成千萬的企業(yè)用戶。面對(duì)如此嚴(yán)峻的攻擊事實(shí)，DDoS防御對(duì)于每一個(gè)網(wǎng)絡(luò)運(yùn)營者來說都是相當(dāng)重要的。伴隨著網(wǎng)絡(luò)攻擊的升級(jí)，葫蘆娃集團(tuán)也提供方各類安全防護(hù)措施，專業(yè)抗DDoS防火墻，滲透測(cè)試、等級(jí)保護(hù)測(cè)評(píng)等等，當(dāng)然想完全杜絕DDoS不太可能，但是如果部署正確的防御措施還是可以做到抵御90%的DDoS攻擊的。

一. 什么叫DDOS

分布式拒絕服務(wù)（Distributed Denial of Service，簡稱DDoS）指借助于客戶機(jī)/服務(wù)器模式，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。

通常，攻擊者使用一個(gè)非法賬號(hào)將DDoS主控程序安裝在一臺(tái)計(jì)算機(jī)上，并在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上安裝了代理程序。在所設(shè)定的時(shí)間，主控程序?qū)⑴c大量代理程序進(jìn)行通訊，代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶機(jī)/服務(wù)器模式，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。

常見的DDoS攻擊類型包括畸形報(bào)文、傳輸層DDoS攻擊、DNS DDoS攻擊、連接型DDoS攻擊、Web應(yīng)用層DDoS攻擊 ，關(guān)于每種類型的具體介紹，請(qǐng)參見下文說明。

1. 畸形報(bào)文

畸形報(bào)文攻擊指通過向目標(biāo)系統(tǒng)發(fā)送有缺陷的IP報(bào)文，使得目標(biāo)系統(tǒng)在處理這樣的報(bào)文時(shí)出現(xiàn)崩潰，從而達(dá)到拒絕服務(wù)的攻擊目的。

畸形報(bào)文主要包括以下類型：Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形報(bào)文、TCP畸形報(bào)文、UDP畸形報(bào)文

2. 傳輸層DDoS攻擊

傳輸層DDoS攻擊主要是指Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等攻擊。

以Syn Flood攻擊為例，它利用了TCP協(xié)議的三次握手機(jī)制，當(dāng)服務(wù)端接收到一個(gè)Syn請(qǐng)求時(shí)，服務(wù)端必須使用一個(gè)監(jiān)聽隊(duì)列將該連接保存一定時(shí)間。因此，通過向服務(wù)端不停發(fā)送Syn請(qǐng)求，但不響應(yīng)Syn+Ack報(bào)文，從而消耗服務(wù)端的資源。當(dāng)監(jiān)聽隊(duì)列被占滿時(shí)，服務(wù)端將無法響應(yīng)正常用戶的請(qǐng)求，達(dá)到拒絕服務(wù)攻擊的目的。

3. DNS DDoS攻擊

DNS DDoS攻擊主要是指DNS Request Flood、DNS Response Flood、虛假源+真實(shí)源DNS Query Flood、權(quán)威服務(wù)器攻擊和Local服務(wù)器攻擊。

以DNS Query Flood攻擊為例，其本質(zhì)上執(zhí)行的是真實(shí)的Query請(qǐng)求，屬于正常業(yè)務(wù)行為。但如果多臺(tái)傀儡機(jī)同時(shí)發(fā)起海量的域名查詢請(qǐng)求，服務(wù)端無法響應(yīng)正常的Query請(qǐng)求，從而導(dǎo)致拒絕服務(wù)。

4. 連接型DDoS攻擊

連接型DDoS攻擊主要是指TCP慢速連接攻擊、連接耗盡攻擊、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻擊。

以Slowloris攻擊為例，其攻擊目標(biāo)是Web服務(wù)器的并發(fā)上限，當(dāng)Web服務(wù)器的連接并發(fā)數(shù)達(dá)到上限后，Web服務(wù)即無法接受新的請(qǐng)求。具體來說，Web服務(wù)接收到新的HTTP請(qǐng)求時(shí)，建立新的連接來處理請(qǐng)求，并在處理完成后關(guān)閉這個(gè)連接；如果該連接一直處于連接狀態(tài)，收到新的HTTP請(qǐng)求時(shí)則需要建立新的連接進(jìn)行處理；而當(dāng)所有連接都處于連接狀態(tài)時(shí)，Web將無法處理任何新的請(qǐng)求。

Slowloris攻擊利用HTTP協(xié)議的特性來達(dá)到攻擊目的。HTTP請(qǐng)求以標(biāo)識(shí)Headers的結(jié)束，如果Web服務(wù)端只收到，則認(rèn)為HTTP Headers部分沒有結(jié)束，將保留該連接并等待后續(xù)的請(qǐng)求內(nèi)容。

5. Web應(yīng)用層DDoS攻擊

Web應(yīng)用層攻擊主要是指HTTP Get Flood、HTTP Post Flood、CC等攻擊。

通常應(yīng)用層攻擊完全模擬用戶請(qǐng)求，類似于各種搜索引擎和爬蟲一樣，這些攻擊行為和正常的業(yè)務(wù)并沒有嚴(yán)格的邊界，難以辨別。

Web服務(wù)中一些資源消耗較大的事務(wù)和頁面。例如，Web應(yīng)用中的分頁和分表，如果控制頁面的參數(shù)過大，頻繁的翻頁將會(huì)占用較多的Web服務(wù)資源。尤其在高并發(fā)頻繁調(diào)用的情況下，類似這樣的事務(wù)就成了早期CC攻擊的目標(biāo)。

由于現(xiàn)在的攻擊大都是混合型的，因此模擬用戶行為的頻繁操作都可以被認(rèn)為是CC攻擊。例如，各種刷票軟件對(duì)網(wǎng)站的訪問，從某種程度上來說就是CC攻擊。

CC攻擊瞄準(zhǔn)的是Web應(yīng)用的后端業(yè)務(wù)，除了導(dǎo)致拒絕服務(wù)外，還會(huì)直接影響Web應(yīng)用的功能和性能，包括Web響應(yīng)時(shí)間、數(shù)據(jù)庫服務(wù)、磁盤讀寫等。

二. 主要防御方式

目前最有效和最有功的策略就是，流量清洗，過濾每個(gè)請(qǐng)求，削減流量，將正常的請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)的服務(wù)器，將不合法的請(qǐng)求直接截取掉

硬件方面可以考慮“服務(wù)”前面，增加高吞吐量的負(fù)載均衡設(shè)備，后端采用分布式部署。

軟件方面：可以考慮購買CDN加速服務(wù)。

當(dāng)然一些安全設(shè)備與策略也是必不可少的，其實(shí)你的問題是一個(gè)整體的解決方案。展開講會(huì)很復(fù)雜。

如果，如果覺得成本太高可以考慮遷移到公有云上購買相應(yīng)的服務(wù)即可。這也是最省心的。

1.建議讓機(jī)房增加防火墻抵御性能。

2.服務(wù)器上增加對(duì)ddos和cc的抵御軟件，軟件名就不推薦了，可以自行查找。

3.將服務(wù)器切換到高防服務(wù)器上，用做抵御。

4.增加cdn，至少三個(gè)點(diǎn)以上，增加存活和分散抗力。需要關(guān)注cdn的能力和存活，謹(jǐn)防打回源。

5.做集群管理，分散流量。

6.找尋分析攻擊來源，建立防火墻策略抵御。

7.找尋自身漏洞，做轉(zhuǎn)發(fā)機(jī)制。

8.必要時(shí)可以做降權(quán)處理。（針對(duì)集群）

9.報(bào)警。。。。。