ddos攻击背景、什么是ddos攻击、ddos攻击形式以及如何防御ddos攻击

简介近期DDOS攻击越来越广泛，我们的名誉技术顾问、网络安全专家孤独剑客先生被邀请结合多年的抵抗DDOS本文独家撰写攻击经验，不仅简单阐述了分布式拒绝服务攻击DDOS的概念、流行的DDOS是否被攻击和判断DDOS攻击的方法，也结合实际给出了全面的DDOS希望本文能帮助网站站长尽快摆脱实战防御建议DDOS我们热烈欢迎讨论攻击的问题DDOS相关话题。

为什么要解决？DDOS?

随着互联网增加和多种互联网带宽DDOS黑客工具的不断发布，DDOS实施拒绝服务攻击越来越容易，DDOS攻击正在上升。由于商业竞争、打击报复、网络敲诈等多种因素，导致了很多IDC长期以来，托管机房、商业网站、游戏服务器、聊天网络等网络服务提供商一直受到关注DDOS随之而来的是客户投诉、涉及虚拟主机用户、法律纠纷、商业损失等一系列问题DDOS网络服务提供商必须考虑攻击问题。

二、什么是DDOS?

DDOS是英文DistributedDenialofService的缩写，意即「拒绝分布式服务」，那么什么是拒绝服务呢？(DenialofService)呢？可以理解，所有导致合法用户无法访问正常网络服务的行为都被视为拒绝服务攻击。也就是说，拒绝服务攻击的目的非常明确，即防止合法用户访问正常的网络资源，从而达到攻击者的目的。

虽然也拒绝服务攻击，但是DDOS和DOS还是不一样，DDOS攻击策略侧重于很多「殭尸主机」（攻击者入侵或间接使用主机）向受害者主机发送大量看似合法的网络包，导致网络堵塞或服务器资源耗尽，导致拒绝服务，一旦实施分布式拒绝服务攻击，攻击网络包将像洪水一样涌入受害者主机，导致合法用户无法正常访问服务器网络资源。

因此，拒绝服务攻击也被称为「洪水式攻击」，常见的DDOS攻击手段有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等;而DOS重点是网络栈故障、系统崩溃、主机死亡，通过攻击主机特定漏洞而无法提供正常的网络服务功能，导致拒绝服务DOS攻击手段有TearDrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、OOB等。

就这两种拒绝服务攻击而言，危害主要是DDOS至于攻击，高原因很难防范DOS攻击，通过对主机服务器进行补丁或安装防火墙软件，可以很好的防范，后面将详细介绍如何处理DDOS攻击。

三、DDOS攻击形式?

DDOS主要有两种形式，一种是流量攻击，主要是网络带宽攻击，即大量攻击包导致网络带宽堵塞，合法网络包被虚假攻击包淹没，无法到达主机；另一种是资源耗尽攻击，主要是服务器主机攻击，即主机内存耗尽或通过大量攻击包CPU由于内核和应用程序占用，无法提供网络服务。

如何判断网站是否受到流量攻击？可以通过Ping如果发现，命令来测试Ping如果您发现与您的主机连接在同一交换机上的服务器无法访问超时或严重丢包（假设通常是正常的），您可能会遭受流量攻击。当然，测试的前提是你在服务器主机之间ICMP该协议未被路由器、防火墙等设备屏蔽，否则可采用Telnet主机服务器的网络服务端口来测试，效果是一样的。不过有一点可以肯定，假如平时Ping您的主机服务器和连接到同一交换机的主机服务器都是正常的，突然间Ping如果无法通过或严重丢失包，如果可以排除网络故障因素，则必须遭受流量攻击。另一个典型的流量攻击现象是，一旦流量攻击，将发现与远程终端连接的网站服务器将失败。

如果平时的话，资源耗尽攻击比流量攻击更容易判断Ping网站主机和访问网站都很正常，突然发现网站访问非常缓慢或无法访问Ping还可以Ping如果在服务器上使用，很可能会遭受资源耗尽的攻击Netstat-na命令观察到很多SYN_RECEIVED、TIME_WAIT、FIN_WAIT_一等状态存在，而ESTABLISHED很少，可以判断一定是资源耗尽攻击。另一种资源耗尽攻击的现象是，Ping自己的网站主机Ping但是Ping与自己的主机在同一交换机上的服务器是正常的，因为网站主机受到攻击，导致系统内核或某些应用程序CPU100%的利用率无法回应Ping事实上，有一些带宽，否则Ping主机不连接在同一个交换机上。

目前流行的主要有三种DDOS攻击：

1、SYN/ACKFlood攻击：这种攻击方法是经典最有效的DDOS该方法可以杀死各种系统的网络服务，主要通过向受害者主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机缓存资源耗尽或忙于发送回应包，导致拒绝服务。由于源是伪造的，很难跟踪。缺点是很难实施，需要高带宽僵尸主机的支持。少量的攻击会导致主机服务器无法访问，但可以Ping在服务器上使用Netstat-na命令会观察到很多SYN_RECEIVED状态，这种攻击会导致很多Ping失败、TCP/IP栈失效，系统凝固，即键盘和鼠标不响应。大多数普通防火墙无法抵抗这种攻击。

2、TCP全连接攻击:这种攻击是为绕过常规防火墙的检查而设计的。一般来说，常规防火墙大多有过滤TearDrop、Land等DOS攻击能力，但正常TCP许多网络服务程序(如:IIS、Apache等Web可接受的服务器)TCP一旦有大量的连接，连接数是有限的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击是通过许多僵尸主机不断与受害者服务器建立大量的攻击TCP连接，直到服务器内存和其他资源耗尽，导致拒绝服务，这种攻击的特点是绕过一般防火墙的保护，以达到攻击的目的，缺点是需要找到很多僵尸主机，因为僵尸主机IP它是暴露的，所以很容易被追踪。

3、刷Script脚本攻击：这种攻击主要针对存在ASP、JSP、PHP、CGI并调用脚本程序MSSQLServer、MySQLServer、Oracle与服务器建立正常的等数据库网站系统TCP连接，不断向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的攻击方法是小而宽。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的佔用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过Proxy代理向主机服务器提交大量查询指令，只需几分钟就会消耗服务器资源，导致拒绝服务，网站慢如蜗牛，ASP程序失效、PHP数据库连接失败，数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙保护，很容易找到一些Proxy代理可以攻击，缺点是只有静态页面的网站效果会大大降低，而且有些Proxy会暴露攻击者IP地址。

四、如何抵抗DDOS?

对付DDOS它是一个系统工程，只想依靠某个系统或产品来阻止它DDOS这是不现实的，完全杜绝是不现实的DDOS目前不可能，但通过适当的措施抵抗90%DDOS如果以适当的方式增强抵抗力，攻击是可以做到的DDOS能力意味着攻击者的攻击成本增加，所以绝大多数攻击者不会继续放弃，这相当于成功的抵抗DDOS攻击。以下是作者多年来的抵抗DDOS与大家分享经验和建议！

1用高性能网络设备

首先，我们应该确保网络设备不能成为瓶颈。因此，在选择路由器、交换机、硬件防火墙等设备时，应尽量选择知名度高、信誉好的产品。此外，最好与网络提供商有特殊关系或协议。当发生大量攻击时，请在网络连接处对某些类型进行流量限制DDOS攻击非常有效。

2、尽量避免NAT的使用

尽量避免路由器和硬件防护墙设备