你一定要了解的DDoS攻击原理和防御措施！

凡是能导致合法用户不能够正常访问网络服务的攻击行为，都算是“拒绝服务攻击”。也就是说“拒绝服务攻击”的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者某种不可告人的目的。

拒绝服务攻击，即攻击者想办法让目标机器停止提供正常服务或资源访问，这些资源包括CPU、内存，甚至网络带宽。攻击者通过发动攻击占用大量有效资源，拥塞网络带宽，从而阻止正常合法用户的访问。

一、 攻击原理

DDoS攻击和DoS攻击虽然同样是“拒绝服务攻击”，但还是有所不同。DDoS（分布式拒绝服务）的攻击策略，侧重于通过很多“肉鸡”（被攻击者入侵控制或可间接利用的主机）向受害主机发送大量看似合法的网络数据包，造成网络拥塞或服务器资源耗尽而导致拒绝服务。

分布式拒绝服务攻击一旦被实施，攻击的网络数据包就会犹如洪水般涌向受害主机，从而把合法用户的网络数据包淹没，导致合法用户无法正常访问服务器的网络资源，因此，“分布式拒绝服务攻击”（DDoS攻击）又被称之为“洪水式攻击”。常见的 DDoS攻击手段有：TCP—SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Proxy Flood 等。

DoS攻击则侧重于通过对主机特定漏洞的利用攻击，导致网络栈失效、系统崩溃、主机宕机而无法提供正常的网络服务功能，从而造成拒绝服务。常见的DoS攻击手段有TearDrop攻击、 Land攻击等。

就这两种“拒绝服务攻击”而言，危害较大的主要是DDoS攻击，原因是DDoS攻击难以防范；至于DoS攻击，通过给服务器打补丁或安装防火墙软件，就可以起到很好地防范作用。DDoS攻击的表现形式主要有两种，一种为流量攻击，主要是针对主机的网络带宽进行攻击，即发送大量的攻击包导致网络带宽被阻塞，而合法的网络包被虚假的攻击包淹没因此无法到达主机；另一种为资源耗尽攻击，主要是针对服务器的攻击，即通过大量攻击包导致主机的内存被耗尽，或CPU内核被占用完，导致无法提供正常的网络服务。

二、 如何判断网站是否遭受了DDoS的流量攻击或资源耗尽攻击？

判断网站是否遭受了DDoS的流量攻击？可通过Ping命令来测试，若发现Ping超时或丢包严重(假定平时是正常的)，则有可能是遭受了流量攻击；若此时还发现，和你的主机接在同一交换机上的服务器也访问不了，基本上可以确定是遭受了流量攻击。当然，这样测试的前提是ICMP 协议没有被路由器和防火墙等网络设备屏蔽，否则也可以采取 Telnet（远程登录）服务器的网络服务端口来测试，效果也是一样的。

不过有一点是可以肯定的，假如平时Ping你的服务器和接在同一交换机上的服务器都是正常的，突然间都Ping不通了或者是严重丢包，如果可以排除是网络故障因素的话，则肯定是遭受了流量攻击。遭受了流量攻击的典型现象是，一旦遭受了此类攻击，会发现用远程终端连接网站服务器会失败。

相对于流量攻击而言，资源耗尽攻击要容易判断一些，假如平时Ping网站主机和访问网站都是正常的，突然间发现网站访问非常缓慢或无法访问了，而Ping还可以Ping通，则很可能是遭受了资源耗尽攻击。此时若在服务器上用“Nistat -na命令”观察到有大量的“SYN_RECEIVED”、“TIME_WAIT”、“FIN_WAIT_1” 等状态存在的话，而established（已确立的）状态很少，则可以判定肯定是遭受了资源耗尽攻击。

还有一种属于资源耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己主机在同一交换机上的服务器则正常，造成这种现象的原因是网站主机遭受攻击后，导致系统内核或某些应用程序CPU利用率达到100%，从而无法回应 Ping 命令。这种情况下，网络带宽还是有的，否则你就Ping不通接在同一交换机上的服务器了。

三、 针对DDoS和DoS这两种拒绝服务攻击的防御措施

总体来说，针对DDoS和DoS攻击的防范，主要可以从以下几个方面出发：

1、 尽可能对系统打上最新补丁，并采取有效的合规性配置，降低漏洞利用风险；
2、采取合适的安全域划分，配置防火墙、IDS（入侵检测系统）和IPS（入侵防御系统），以此减缓攻击；
3、采用“分布式组网、负载均衡、提升系统容量”等可靠性措施，来增强主机的总体服务能力。

另外，分享一些可重点参考的防御措施如下：

1、 采用高性能的网络设备

首先要保证网络设备不能成为瓶颈，因此选择“路由器、交换机、硬件防火墙”等网络设备的时候，要尽量选用知名度高、口碑好的产品。再者就是，如果和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生时，请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。

2、 尽量避免NAT（网络地址转换）的使用

无论是路由器还是硬件防火墙，都要尽量避免NAT（网络地址转换）的使用，因为使用此技术会较大降低网络通信能力。其实原因很简单，因为NAT需要对地址进行来回转换，转换过程中需要对网络包进行校验和计算，因此浪费了很多时间。但有些时候必须使用NA T，那就没有办法了。

3、 拥有充足的网络带宽保证

网络带宽直接决定了能抵抗和承受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗例如SYN Flood攻击。因此必须保证服务器拥有充足的网络带宽，来应对一定规模和流量的攻击。

4、 升级服务器的硬件配置

在有充足网络带宽保证的前提下，请尽量提升服务器的硬件配置。若要有效对抗DDoS攻击，起关键作用的主要是CPU和内存。CPU可选择英特尔（intel）新一代至强系列的高性能CPU，内存则要选择DDR4的高速内存。

5、把网站做成静态页面

大量事实证明，把网站尽可能做成静态页面，不仅能大大提高防御DDoS攻击的能力，还能给黑客入侵带来不少麻烦，至少到为止关于HTML的溢出还没出现。如果你需要动态脚本调用，那就把它弄到另外一台单独的主机上去，免得遭受攻击时连累主服务器。此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，很多经验表明使用代理访问你网站的，80%属于恶意行为。

亿速云为用户提供专业抗DDoS攻击、DoS攻击、CC攻击的高防服务器、高防香港服务器、高防裸金属服务器，具有“超大防护带宽、超强清洗能力、全业务场景支持” 的特点与优势，能够更加精准有效地防御DDoS攻击、DoS攻击和CC攻击，真正做到了降低用户的防御成本。

采用“智能硬件防火墙 + 流量牵引技术”，并为用户配置相对应的高防IP，在用户面临DDoS攻击、DoS攻击时，可精准识别出恶意流量，并将恶意流量引流到高防IP。恶意流量在高防IP上进行清洗、过滤后，高防IP会将正常流量返回给源站IP，从而达到“防御DDoS攻击、DoS攻击，保证用户网站正常稳定运行”的目的。