网络安全涨知识：基础网络攻防之DDoS攻击

DDoS对大多数人来说，攻击是非常神秘的，但它是最常见的网络攻击方式！

一、什么是DDoS攻击

DDoS：DistributedDenialofService

中文名称：分布式拒绝服务

所谓分布式拒绝服务攻击，是指不同位置的多个攻击者同时攻击一个或多个目标，或者一个攻击者控制不同位置的多台机器，同时攻击受害者。

由于分布式拒绝服务攻击可以同时攻击许多计算机，使攻击目标无法正常使用，一旦攻击出现，许多大型网站将无法操作。

举个简单的栗子来帮助你理解

一群恶霸试图让对面那家有着竞争关系的商铺（网站/服务器/DNS）不能正常营业，他们会采取什么手段？

恶霸们扮成普通顾客，一直挤在对手的商店里，但真正的购物者无法进入；

或者总是和销售人员有一个搭配，让员工不能正常为客服；

也可以为店铺经营者提供虚假信息。店铺上下忙了一团之后，发现都是空的，最后跑了真正的大客户，损失惨重。

此外，恶霸有时很难单独完成这些坏事，需要打电话给很多人。

因此，当一个网站被抓住时DDoS由于服务器正忙于处理成千上万的其他访问请求，用户无法访问攻击。

二、DDOS攻击的分类

根据不同的分类标准，分布式拒绝服务攻击可以分为七类：

基于自动化程度的分类，主要分为手工分类DDoS攻击，半自动化DDoS攻击，自动化DDoS攻击三种。

基于系统和协议的弱点分类，主要分为洪水攻击、扩大攻击、协议攻击和畸形数据包攻击。

基于攻击速率分类，可分为持续速率和可变速率攻击。

根据影响力进行分类，可分为网络服务彻底崩溃和网络服务攻击减少。

可以根据入侵目标进行分类DDoS攻击分为带宽攻击和连通性攻击。

基于攻击路线的分类，基于攻击路线可分为直接攻击和重复攻击。

基于攻击特征分类，从这一角度，可以将DDoS攻击可以提取攻击行为特征和攻击行为特征。

三、DDOS攻击的表现形式

DDoS主要有两种形式的攻击

一是主要针对网络带宽的流量攻击，使用大量攻击包堵塞网络带宽，导致合法网络包无法到达主机。

另一种是对服务器主机资源耗尽的攻击，通过大量攻击包导致主机内存耗尽或耗尽CPU由于内核和应用程序占用，无法提供网络服务。

受到DDoS网络或服务器在攻击时会表现出以下几点：

有很多人在被攻击的主机上等待TCP连接。

网络中充斥着大量无用的数据包，源地址是假的。

网络拥堵严重，主机无法与外界正常通信。

具体服务请求反复高速发出，但受害主机无法及时处理所有正常请求。

严重时会导致系统死机。

四、DDoS攻击的原理

DDoS攻击需要攻击者控制在线计算机网络进行攻击。连接到互联网的计算机（或相机和其他物联网设备）感染了恶意软件，并被转换为肉鸡（傀儡机）。一旦建立了肉鸡网络，攻击者就可以通过远程控制向每只肉鸡发送更新的指令来控制机器。由于每只肉鸡都是合法的互联网设备，因此可能很难将攻击流量与正常流量分开。

简单地说，它是一种集团行为，由数百台甚至数千台主机在入侵后安装攻击过程。

五、DDOS攻击的危害

DDoS目前被称为最可怕的网络攻击，最大的DDoS攻击是美国著名的安全研究人员BrianKrebs安全博客遭遇DDoS攻击，攻击峰值达到665G。

DDoS攻击成本低，但攻击性和破坏性强，经常被网络黑客利用。DDoS攻击通常会造成以下危害：

可直接导致网站停机、服务器瘫痪、大量带宽或内存消耗、权威损害、品牌羞耻、财产损失等巨大损失，严重威胁全球互联网信息安全的发展。

美国主要在2016年10月DNS服务商Dyn遭受DDos一半的美国网络瘫痪。

六、DDOS攻击防御方法

服务器软件没有漏洞，防止攻击者入侵。

确保服务器采用最新系统，并进行安全补丁，无安全漏洞。删除未使用的服务，关闭未使用的端口。

隐藏服务器的真实性IP地址。

例如，添加服务器前端CDN中转，或购买高防盾或高防ip，隐藏真实的服务器IP，使用域名分析CDN的IP，使用所有分析的子域名CDN的IP地址。此外，服务器上部署的其他域名不能真实使用IP全部使用分析CDN来解析。

防止服务器向外传输信息泄露IP地址，

如果服务器不使用邮件发送功能，因为邮件头会泄露服务器IP邮件可以通过第三方代理发送。

优化路由和网络结构。

合理设置路由器，降低攻击的可能性。优化外部服务主机，限制所有在线公共服务主机。

防御DDoS攻击要从源头入手。

做好个人计算机和物联网设备的保护，不随意下载未知应用程序，定期更新安全补丁，关闭不必要的端口，防止设备恶意连接成肉鸡。

来源:浦东网警