DDos攻击解析

保密性、完整性和可用性是信息安全的三要素，DoS(DenialofService)，即拒绝服务攻击，针对的目标正是“可用性”。该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源，使得该目标系统无法提供正常的服务。

Ddos攻击的方法有很多，最基本的Dos攻击是利用合理的服务请求占用过多的服务资源，使合法用户无法得到服务响应。单一的DoS攻击通常是一对一的，当攻击目标CPU性能低、内存小或网络带宽小，效果明显。随着计算机和网络技术的发展，计算机的处理能力迅速增长，内存大大增加，也出现了千兆网络，这使得DoS攻击的难度增加了——恶意攻击包的目标"消化能力"加强了很多。此时，分布式拒绝服务攻击(DDoS)应运而生。DDoS利用更多的傀儡机发起攻击，以比以前更大的规模攻击受害者。

一、攻击方式

1.Synflood

攻击将多个随机源主机地址发送到目的主机SYN在收到目的主机包SYNACK之后没有回应，所以目的主机为这些源主机建立了大量的连接队列，因为没有收到ACK这些队列一直在维护，导致大量资源消耗，最终导致拒绝服务。

2.Smurf

该攻击向子网的广播地址发送具体请求(例如ICMP回应请求)包，并将源地址伪装成要攻击的主机地址。子网络上所有主机都回应了广播包的请求，并将其包装到被攻击的主机中，以攻击主机。

3.Land-based

攻击者将包的源地址和目的地址设置为目标主机的地址，然后通过包IP欺骗的方式发送给被攻击的主机，会导致被攻击的主机因试图与自己建立联系而陷入死循环，从而大大降低系统性能。

4.PingofDeath

根据TCP/IP一个包的最大长度是65536字节。虽然一个包的长度不能超过6536字节，但可以叠加一个包分成的多个片段。当主机收到一个长度超过6536字节的包时，就会收到PingofDeath攻击会导致主机停机。

5.Teardrop

IP在网络传输中，数据包可分为较小的片段。攻击者可以通过发送两个(或更多)数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二包偏移小于N。合并这些数据段，TCP/IP堆栈将分配非凡的巨大资源，导致系统资源的缺乏，甚至机器的重启。

6.PingSweep

使用ICMPEcho多个主机轮询。

7.Pingflood

在短时间内向目的主机发送大量攻击ping包，造成网络堵塞或主机资源耗尽。

二、防御方法

1.按攻击流量规模分类

(1)流量小:

小于1000Mbps，而且在服务器硬件和应用接受范围内，不影响业务:使用iptables或者DDoS实现软件层保护的防护应用。

(2)大流量:

大于1000Mbps，但在DDoS在清洗设备性能范围内，且小于机房出口，可能影响同一机房的其他业务：使用iptables或者DDoS实现软件层保护，或在机房出口设备上直接配置黑洞等防护策略，或同时切换域名，将提供外部服务IP修改为高负载Proxy集群外网IP，或者CDN高仿IP，或者公有云DDoS网关IP，由其代理到RealServer;或直接访问DDoS清洗设备。

(3)超大规模流量:

在DDoS除清洁设备性能范围外，但在机房出口性能内，可能影响同一机房的其他业务，或大于同一机房的所有业务或大部分业务：联系运营商检查分组限流配置部署，观察业务恢复。

2.按攻击流量协议分类

(1)syn/fin/ack等tcp协议包：

设置预警阀值和响应阀值，前者根据流量大小和影响程度调整防护策略和防护手段，逐步升级。

(2)UDP/DNSquery等UDP协议包：

对于大多数游戏业务来说，都是TCP协议可以根据业务协议制定TCP协议白名单，如果遇到大量UDP请求可直接在系统层面/HPPS或丢弃清洁设备UDP包。

(3)httpflood/CC攻击需要与数据库互动：

这通常会导致数据库或数据库webserver负载高或连接数过高，在限制流量或清洗流量后，可能需要重启服务来释放连接数，因此更倾向于在系统资源支持的情况下降低大支持的连接数。相对而言，这种攻击和保护相对困难，消耗了保护设备的性能。

(4)其他：

icmp包可以直接丢弃。首先，在机房出口以下各个层面制定丢弃或限流策略。现在这种攻击很少见，对业务的破坏力有限。

微云网络为游戏、金融、网站等用户遭受大流量DDoS如果攻击后服务不可用，就推出DDoS高防ip服务付费增值服务，用户可以通过配置高防IP，将ddos将攻击流引流到高防IP，确保源站稳定可靠！详细询问在线客服！