最近幾次面試，總喜歡問一個問題：知道DDoS攻擊嗎？講講它的原理

大概能說的比較明白的有50%

其實，像全球互聯(lián)網(wǎng)各大公司，均遭受過大量的DDoS。

2018年，GitHub 在一瞬間遭到高達 1.35Tbps 的帶寬攻擊。這次 DDoS 攻擊幾乎可以堪稱是互聯(lián)網(wǎng)有史以來規(guī)模最大、威力最大的 DDoS 攻擊了。 在 GitHub 遭到攻擊后，僅僅一周后，DDoS 攻擊又開始對 Google、亞馬遜甚至 Pornhub 等網(wǎng)站進行了 DDoS 攻擊。后續(xù)的 DDoS 攻擊帶寬最高也達到了 1Tbps。

那 DDoS 攻擊究竟是什么？

DDos全名Distributed Denial of Service，指的是處于不同位置的多個攻擊者同時向一個或數(shù)個目標發(fā)動攻擊，是一種分布的、協(xié)同的大規(guī)模攻擊方式。單一的DoS攻擊一般是采用一對一方式的，它利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷，采用欺騙和偽裝的策略來進行網(wǎng)絡(luò)攻擊，使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。

攻擊方式很多，比如ICMP Flood、UDP Flood、NTP Flood、SYN Flood、CC 攻擊、DNS Query Flood等等。

下面是SYN Flood進行DDoS攻擊的實現(xiàn)原理

SYN Flood是是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內(nèi)存不足）的攻擊方式。

一次正常的建立TCP連接，需要三次握手：客戶端發(fā)送SYN報文，服務(wù)端收到請求并返回報文表示接受，客戶端也返回確認，完成連接。

SYN Flood 就是用戶向服務(wù)器發(fā)送報文后突然死機或掉線，那么服務(wù)器在發(fā)出應(yīng)答報文后就無法收到客戶端的確認報文（第三次握手無法完成），這時服務(wù)器端一般會重試并等待一段時間后再丟棄這個未完成的連接。

一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待一會兒并不是大問題，但惡意攻擊者大量模擬這種情況，服務(wù)器端為了維護數(shù)以萬計的半連接而消耗非常多的資源，結(jié)果往往是無暇理睬客戶的正常請求，甚至崩潰。從正?？蛻舻慕嵌瓤磥?，網(wǎng)站失去了響應(yīng)，無法訪問。

下面給一個更加形象點的例子，解釋下DDoS攻擊。

我開了一家有五十個座位的重慶火鍋店，由于用料上等，童叟無欺。平時門庭若市，生意特別紅火，而對面二狗家的火鍋店卻無人問津。二狗為了對付我，想了一個辦法，叫了五十個人來我的火鍋店坐著卻不點菜，讓別的客人無法吃飯。

上面這個例子講的就是典型的 DDoS 攻擊，全稱是 Distributed Denial of Service，翻譯成中文就是分布式拒絕服務(wù)。一般來說是指攻擊者利用“肉雞”對目標網(wǎng)站在較短的時間內(nèi)發(fā)起大量請求，大規(guī)模消耗目標網(wǎng)站的主機資源，讓它無法正常服務(wù)。在線游戲、互聯(lián)網(wǎng)金融等領(lǐng)域是 DDoS 攻擊的高發(fā)行業(yè)。

如何應(yīng)對 DDoS 攻擊？

高防服務(wù)器

還是拿我開的重慶火鍋店舉例，高防服務(wù)器就是我給重慶火鍋店增加了兩名保安，這兩名保安可以讓保護店鋪不受流氓騷擾，并且還會定期在店鋪周圍巡邏防止流氓騷擾。

高防服務(wù)器主要是指能獨立硬防御 50Gbps 以上的服務(wù)器，能夠幫助網(wǎng)站拒絕服務(wù)攻擊，定期掃描網(wǎng)絡(luò)主節(jié)點等，這東西是不錯，就是貴~

黑名單

面對火鍋店里面的流氓，我一怒之下將他們拍照入檔，并禁止他們踏入店鋪，但是有的時候遇到長得像的人也會禁止他進入店鋪。這個就是設(shè)置黑名單，此方法秉承的就是“錯殺一千，也不放一百”的原則，會封鎖正常流量，影響到正常業(yè)務(wù)。

DDoS 清洗

DDos 清洗，就是我發(fā)現(xiàn)客人進店幾分鐘以后，但是一直不點餐，我就把他踢出店里。

DDoS 清洗會對用戶請求數(shù)據(jù)進行實時監(jiān)控，及時發(fā)現(xiàn)DOS攻擊等異常流量，在不影響正常業(yè)務(wù)開展的情況下清洗掉這些異常流量。

CDN 加速

CDN 加速，我們可以這么理解：為了減少流氓騷擾，我干脆將火鍋店開到了線上，承接外賣服務(wù)，這樣流氓找不到店在哪里，也耍不來流氓了。

在現(xiàn)實中，CDN 服務(wù)將網(wǎng)站訪問流量分配到了各個節(jié)點中，這樣一方面隱藏網(wǎng)站的真實 IP，另一方面即使遭遇 DDoS 攻擊，也可以將流量分散到各個節(jié)點中，防止源站崩潰。