Dos：Denial of Service,（拒絕服務)，一種常用來使服務器或網絡癱瘓的網絡攻擊手段，是指故意的攻擊網絡協議實現的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源，目的是讓目标計算機或網絡無法提供正常的服務或資源訪問，使目标系統服務系統停止響應甚至崩潰。

DDos：Distributed Denial of Service（分布式拒絕服務攻擊），即是利用網絡上已被攻陷的電腦作為"僵屍"，向某一特定的目标電腦發動密集式的"拒絕服務"要求。說白了就是一個人搞不定的事情找一群人來做，任你服務器負載能力再強，總會把你搞垮。在攻擊的過程中，黑客通過将一個個"喪屍"或者稱為"肉雞"組成僵屍網絡（即Botnet）來發動大規模DDoS網絡攻擊。而這些"肉雞"恰好就是我們這些普通的小白用戶。結果就是我們的電腦在我們自己不知情的情況下被黑客拿來當武器來攻擊服務器了。當然黑客也可以利用一些攻擊工具（HULK，RUDy等）模拟僵屍網絡來達到攻擊的目的

分布式拒絕服務攻擊的精髓是：利用分布式的客戶端，向目标發起大量看上去合法的請求，消耗或者占用大量資源，從而達到拒絕服務的目的。

其主要攻擊方法有4種：

1、 攻擊帶寬

跟帝都的交通堵塞情況一樣，大家都該清楚，當網絡數據包的數量達到或者超過上限的時候，會出現網絡擁堵、響應緩慢的情況。DDoS就是利用這個原理，發送大量網絡數據包，占滿被攻擊目标的全部帶寬，從而造成正常請求失效，達到拒絕服務的目的。

攻擊者可以使用ICMP洪水攻擊（即發送大量ICMP相關報文）、或者UDP洪水攻擊（即發送用戶數據報協議的大包或小包），使用僞造源IP地址方式進行隐匿，并對網絡造成擁堵和服務器響應速度變慢等影響。

2、 攻擊系統

創建TCP連接需要客戶端與服務器進行三次交互，也就是常說的"三次握手"。這個信息通常被保存在連接表結構中，但是表的大小有限，所以當超過了存儲量，服務器就無法創建新的TCP連接了。

攻擊者就是利用這一點，用受控主機建立大量惡意的TCP連接，占滿被攻擊目标的連接表，使其無法接受新的TCP連接請求。如果攻擊者發送了大量的TCP SYN報文，使服務器在短時間内産生大量的半開連接，連接表也會被很快占滿，導緻無法建立新的TCP連接，這個方式是SYN洪水攻擊，很多攻擊者都比較常用。

3、 攻擊應用

由于DNS和Web服務的廣泛性和重要性，這兩種服務就成為了消耗應用資源的分布式拒絕服務攻擊的主要目标。

比如向DNS服務器發送大量查詢請求，從而達到拒絕服務的效果，如果每一個DNS解析請求所查詢的域名都是不同的，那麼就有效避開服務器緩存的解析記錄，達到更好的資源消耗效果。當DNS服務的可用性受到威脅，互聯網上大量的設備都會受到影響而無法正常使用。

近些年，Web技術發展非常迅速，如果攻擊者利用大量的受控主機不斷地向Web服務器惡意發送大量HTTP請求，要求Web服務器處理，就會完全占用服務器資源，讓正常用戶的Web訪問請求得不到處理，導緻拒絕服務。一旦Web服務受到這種攻擊，就會對其承載的業務造成緻命的影響。

4、 混合攻擊

在實際的生活中，攻擊者并不關心自己使用的哪種攻擊方法管用，隻要能夠達到目的，一般就會發動其所有的攻擊手段，盡其所能的展開攻勢。對于被攻擊目标來說，需要面對不同的協議、不同資源的分布式拒絕服務攻擊，分析、響應和處理的成本就會大大增加。

随着僵屍網絡向着小型化的趨勢發展，為降低攻擊成本，有效隐藏攻擊源，躲避安全設備，同時保證攻擊效果，針對應用層的小流量慢速攻擊已經逐步發展壯大起來。因此，從另一個角度來說，DDoS攻擊方面目前主要是兩個方面：UDP及反射式大流量高速攻擊、和多協議小流量及慢速攻擊。

1、設置高性能設備

要保證網絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火牆等設備的時候要盡量選用知名度高、口碑好的産品。再就是假如和網絡提供商有特殊關系或協議的話就更好了，當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDoS攻擊是非常有效的。

2、帶寬得保證

網絡帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什麼措施都很難對抗現在的SYN Flood攻擊。所以，最好選擇100M的共享帶寬，當然是挂在1000M的主幹上了。

3、不要忘記升級

在有網絡帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包。而且最好可以進行優化資源使用，提高web server 的負載能力。

4、異常流量的清洗

通過DDoS硬件防火牆對異常流量的清洗過濾，通過數據包的規則過濾、數據流指紋檢測過濾、及數據包内容定制過濾等頂尖技術能準确判斷外來訪問流量是否正常，進一步将異常流量禁止過濾。

5、考慮把網站做成靜态頁面

把網站盡可能做成靜态頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，最好在需要調用數據庫的腳本中，拒絕使用代理的訪問，經驗表明，使用代理訪問你網站的80%屬于惡意行為。

6、分布式集群防禦

這是目前網絡安全界防禦大規模DDoS攻擊的最有效辦法。分布式集群防禦的特點是在每個節點服務器配置多個IP地址，并且每個節點能承受不低于10G的DDoS攻擊，如一個節點受攻擊無法提供服務，系統将會根據優先級設置自動切換另一個節點，并将攻擊者的數據包全部返回發送點，使攻擊源成為癱瘓狀态，從更為深度的安全防護角度去影響企業的安全執行決策。

就DDoS防禦方面來說，目前主要是兩個方面，大流量攻擊可以交給運營商及雲端清洗，小流量攻擊可以在企業本地進行設備防護，這個分界點根據行業及業務特性的不同會有所差異，大概的量級應該在百兆BPS左右。相關的緩解與治理，有興趣的童鞋可以看看鮑旭華的《破壞之王》，會有不小的啟示。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!