原理

拒絕服務(wù)攻擊的主要目的是使被攻擊的網(wǎng)絡(luò)或服務(wù)器不能提供正常的服務(wù)。web服務(wù)器在一定時(shí)間內(nèi)只能處理一定量的通信，如果通信量超過(guò)了服務(wù)器承受的限度，服務(wù)器將會(huì)癱瘓。拒絕服務(wù)攻擊就是向某臺(tái)主機(jī)發(fā)送大量請(qǐng)求，使其無(wú)法響應(yīng)正常的請(qǐng)求。比如每年春運(yùn)時(shí)候的12306，大量用戶(hù)涌入導(dǎo)致網(wǎng)站癱瘓，這就是一次現(xiàn)實(shí)版的DDoS攻擊。

DDoS（分布式拒絕服務(wù)攻擊）是在傳統(tǒng)的DoS攻擊基礎(chǔ)上，利用更多的傀儡機(jī)來(lái)發(fā)起進(jìn)攻。整個(gè)DDoS攻擊體系可分為4部分：黑客、控制傀儡機(jī)、攻擊傀儡機(jī)、受害者。黑客通過(guò)控制傀儡機(jī)向攻擊傀儡機(jī)發(fā)送攻擊命令，攻擊傀儡機(jī)展開(kāi)對(duì)目標(biāo)主機(jī)的DoS攻擊

典型的拒絕服務(wù)攻擊手段

1. SYN湮沒(méi)：這種攻擊向服務(wù)器發(fā)送海量SYN信息，該信息中攜帶的源地址根本不可用，但是服務(wù)器會(huì)當(dāng)真的SYN請(qǐng)求處理，當(dāng)服務(wù)器嘗試為每個(gè)請(qǐng)求分配連接來(lái)應(yīng)答這些SYN請(qǐng)求時(shí)，就沒(méi)有其他資源來(lái)處理用戶(hù)真正合法的請(qǐng)求了。
2. Land攻擊：Land攻擊中，SYN數(shù)據(jù)包的源地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，這將導(dǎo)致接收到這個(gè)SYN包的服務(wù)器將向它自己發(fā)送SYN-ACK包，結(jié)果又自己返回ACK消息并建立一個(gè)空連接。每個(gè)這樣的連接都將保持到超時(shí)。

應(yīng)對(duì)之道

1. 首頁(yè)靜態(tài)化
2. 為服務(wù)器購(gòu)買(mǎi)更大的帶寬
3. 聯(lián)系運(yùn)營(yíng)商進(jìn)行流量清洗
4. 使用云主機(jī)
5. 封殺IP

更多參見(jiàn)：知乎：互聯(lián)網(wǎng)創(chuàng)業(yè)公司如何防御 DDoS 攻擊？