DDoS介紹

DDoS是英文Distributed Denial of Service的縮寫，意即“分布式拒絕服務(wù)”，那么什么又是拒絕服務(wù)（Denial of Service）呢？可以這么理解，凡是能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問，從而達成攻擊者不可告人的目的。分布式拒絕服務(wù)攻擊一旦被實施，攻擊網(wǎng)絡(luò)包就會從很多DOS攻擊源(俗稱肉雞)猶如洪水般涌向受害主機，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。

目前而言，黑客甚至對攻擊進行明碼標價，打1G的流量到一個網(wǎng)站一小時，只需50塊錢。DDoS的成本如此之低，而且攻擊了也沒人管。

關(guān)于DDos攻擊的常見方法

1. SYN Flood：利用TCP協(xié)議的原理，這種攻擊方法是經(jīng)典最有效的DDOS方法，可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK 包，導(dǎo)致主機的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)。

2. HTTP Flood：針對系統(tǒng)的每個Web頁面，或者資源，或者Rest API，用大量肉雞，發(fā)送大量http request。這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計的，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用，典型的以小博大的攻擊方法。缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣。

3. 慢速攻擊：Http協(xié)議中規(guī)定，HttpRequest以\r\n\r\n結(jié)尾來表示客戶端發(fā)送結(jié)束。攻擊者打開一個Http 1.1的連接，將Connection設(shè)置為Keep-Alive， 保持和服務(wù)器的TCP長連接。然后始終不發(fā)送\r\n\r\n， 每隔幾分鐘寫入一些無意義的數(shù)據(jù)流， 拖死機器。

4. P2P攻擊：每當網(wǎng)絡(luò)上出現(xiàn)一個熱門事件，比如XX門， 精心制作一個種子， 里面包含正確的文件下載， 同時也包括攻擊目標服務(wù)器的IP。這樣，當很多人下載的時候， 會無意中發(fā)起對目標服務(wù)器的TCP連接。

DDOS攻擊現(xiàn)象判定方法

1.SYN類攻擊判斷：A.CPU占用很高；B.網(wǎng)絡(luò)連接狀態(tài)：netstat –na,若觀察到大量的SYN_RECEIVED的連接狀態(tài)；C.網(wǎng)線插上后，服務(wù)器立即凝固無法操作，拔出后有時可以恢復(fù)，有時候需要重新啟動機器才可恢復(fù)。

2.CC類攻擊判斷：A.網(wǎng)站出現(xiàn)service unavailable提示；B.CPU占用率很高；C.網(wǎng)絡(luò)連接狀態(tài)：netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個IP高達幾十條甚至上百條；D.用戶無法訪問網(wǎng)站頁面或打開過程非常緩慢,軟重啟后短期內(nèi)恢復(fù)正常,幾分鐘后又無法訪問。

3.UDP類攻擊判斷：A.觀察網(wǎng)卡狀況 每秒接受大量的數(shù)據(jù)包；B.網(wǎng)絡(luò)狀態(tài)：netstat –na TCP信息正常。

4.TCP洪水攻擊判斷：A.CPU占用很高；B.netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個IP高達幾十條甚至上百條

DDoS攻擊防御方法：

1. 過濾不必要的服務(wù)和端口：可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務(wù)和端口，即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較，并加以過濾。只開放服務(wù)端口成為目前很多服務(wù)器的流行做法，例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。

2. 異常流量的清洗過濾：通過DDoS硬件防火墻對異常流量的清洗過濾，通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)能準確判斷外來訪問流量是否正常，進一步將異常流量禁止過濾。單臺負載每秒可防御800-927萬個syn攻擊包。

3. 分布式集群防御：這是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDoS攻擊的最有效辦法。分布式集群防御的特點是在每個節(jié)點服務(wù)器配置多個IP地址（負載均衡），并且每個節(jié)點能承受不低于10G的DDOS攻擊，如一個節(jié)點受攻擊無法提供服務(wù)，系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動切換另一個節(jié)點，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點，使攻擊源成為癱瘓狀態(tài)，從更為深度的安全防護角度去影響企業(yè)的安全執(zhí)行決策。

4.云防御：目前，許多的企業(yè)面對大攻擊時都是采用這種方式來進行防御，一方面可以通過云進行調(diào)度，另一方面操作也非常的簡單，并且面對各種類型來勢洶洶的DDoS攻擊都能及時響應(yīng)。但缺點是攻擊量大時是價格會比較高，這個要看企業(yè)對DDoS攻擊的衡量，是被打垮了損失的費用更大還是花錢抗D花費的費用更大。目前國內(nèi)做的比較好的四大廠商是：知道創(chuàng)宇、阿里云、騰訊云和綠盟云，下面我們來分析一下各家優(yōu)勢。

知道創(chuàng)宇：同樣能對互聯(lián)網(wǎng)上各種類型的DDoS攻擊進行防護，并且有自主研發(fā)Anti-CC引擎，在防CC攻擊上有明顯優(yōu)勢，最大防護達2T。他們有免費試用和低價的抗D套餐，有需要的可以試試。

阿里云：基本上可以防護各種DDoS攻擊，并可以根據(jù)用戶的流量大小自動調(diào)整防御策略，支持BGP和CDN兩種引流，并在防御應(yīng)用層DDOS上有很大優(yōu)勢，最大防護能力達到T級。

騰訊云：騰訊基于自身能力在游戲和社交產(chǎn)品的防御上獨具優(yōu)勢，采用BGP防護帶寬，單IP對接多線路，線路可靠且覆蓋面廣。

綠盟云：背靠綠盟多年硬件防護能力，基于CPE設(shè)備/軟件結(jié)合云端服務(wù)的混合抗D方案，綠盟當前在大客戶有廣泛的ADS及抗D模塊設(shè)備如WAF的部署，可以很容易感知業(yè)務(wù)異常，方便和云端聯(lián)動和協(xié)作。

DDoS攻擊的網(wǎng)絡(luò)流量清洗

當發(fā)生DDoS攻擊時，網(wǎng)絡(luò)監(jiān)控系統(tǒng)會偵測到網(wǎng)絡(luò)流量的異常變化并發(fā)出報警。在系統(tǒng)自動檢測或人工判斷之后，可以識別出被攻擊的虛擬機公網(wǎng)IP地址。這時，可調(diào)用系統(tǒng)的防DDoS攻擊功能接口，啟動對相關(guān)被攻擊IP的流量清洗。流量清洗設(shè)備會立即接管對該IP地址的所有數(shù)據(jù)包，并將攻擊數(shù)據(jù)包清洗掉，僅將正常的數(shù)據(jù)包轉(zhuǎn)發(fā)給隨后的網(wǎng)絡(luò)設(shè)備。這樣，就能保證整個網(wǎng)絡(luò)正常的流量通行，而將DDoS流量拒之門外。

采用云DDoS清洗方式，可以為企業(yè)用戶帶來諸多好處。其表現(xiàn)在不僅可以提升綜合防護能力，用戶能夠按需付費，可彈性擴展，而且還能夠基于大數(shù)據(jù)來分析預(yù)測攻擊，同時能夠免費升級。對于企業(yè)用戶來說，則可實現(xiàn)零運維、零改造。

CC攻擊介紹

CC攻擊（Challenge Collapsar）是DDoS（分布式拒絕服務(wù)）的一種，前身名為Fatboy攻擊，也是一種常見的網(wǎng)站攻擊方法。攻擊者通過代理服務(wù)器或者肉雞向向受害主機不停地發(fā)大量數(shù)據(jù)包，造成對方服務(wù)器資源耗盡，一直到宕機崩潰。相比其它的DDoS攻擊CC似乎更有技術(shù)含量一些。這種攻擊你見不到真實源IP，見不到特別大的異常流量，但造成服務(wù)器無法進行正常連接。最讓站長們憂慮的是這種攻擊技術(shù)含量低，利用更換IP代理工具和一些IP代理一個初、中級的電腦水平的用戶就能夠?qū)嵤┕簟?/p>

CC攻擊防御方法

1. 利用Session做訪問計數(shù)器：利用Session針對每個IP做頁面訪問計數(shù)器或文件下載計數(shù)器，防止用戶對某個頁面頻繁刷新導(dǎo)致數(shù)據(jù)庫頻繁讀取或頻繁下載某個文件而產(chǎn)生大額流量。（文件下載不要直接使用下載地址，才能在服務(wù)端代碼中做CC攻擊的過濾處理）

2. 把網(wǎng)站做成靜態(tài)頁面：大量事實證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給駭客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)，看看吧！新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，若你非需要動態(tài)腳本調(diào)用，那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務(wù)器。

3. 在存在多站的服務(wù)器上，嚴格限制每一個站允許的IP連接數(shù)和CPU使用時間：這是一個很有效的方法。CC的防御要從代碼做起，其實一個好的頁面代碼都應(yīng)該注意這些東西，還有SQL注入，不光是一個入侵工具，更是一個DDOS缺口，大家都應(yīng)該在代碼中注意。舉個例子吧，某服務(wù)器，開動了5000線的CC攻擊，沒有一點反應(yīng)，因為它所有的訪問數(shù)據(jù)庫請求都必須一個隨機參數(shù)在Session里面，全是靜態(tài)頁面，沒有效果。突然發(fā)現(xiàn)它有一個請求會和外面的服務(wù)器聯(lián)系獲得，需要較長的時間，而且沒有什么認證，開800線攻擊，服務(wù)器馬上滿負荷了。代碼層的防御需要從點點滴滴做起，一個腳本代碼的錯誤，可能帶來的是整個站的影響，甚至是整個服務(wù)器的影響!

4. 服務(wù)器前端加CDN中轉(zhuǎn)(免費的有加速樂、百度云加速、安全寶等)，如果資金充裕的話，可以購買高防服務(wù)器，用于隱藏服務(wù)器真實IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務(wù)器上部署的其他域名也不能使用真實IP解析，全部都使用CDN來解析。?

另外，防止服務(wù)器對外傳送信息泄漏IP地址，最常見的情況是，服務(wù)器不要使用發(fā)送郵件功能，因為郵件頭會泄漏服務(wù)器的IP地址。如果非要發(fā)送郵件，可以通過第三方代理(例如sendcloud)發(fā)送，這樣對外顯示的IP是代理的IP地址。?

總之，只要服務(wù)器的真實IP不泄露，10G以下小流量DDoS的預(yù)防花不了多少錢，免費的CDN就可以應(yīng)付得了。如果攻擊流量超過20G，那么免費的CDN可能就頂不住了，需要購買一個高防的盾機來應(yīng)付了，而服務(wù)器的真實IP同樣需要隱藏

資料參考：

https://zhuanlan.zhihu.com/p/29784472

https://zhuanlan.zhihu.com/p/30150531