在從事IDC行業(yè)里，往往會(huì)遇到一些客戶出現(xiàn)DDOS服務(wù)器被攻擊的情況。究竟DDOS是如何攻擊的呢？針對(duì)DDOS攻擊，又是如何防御的呢？下面根據(jù)實(shí)際中經(jīng)驗(yàn)針對(duì)DDOS攻擊作以下介紹。

什么是DDOS攻擊

DDOS攻擊也就是:分布式拒絕服務(wù)攻擊又稱為“洪水式攻擊”，DdoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。凡是能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。 也就是說拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對(duì)正常網(wǎng)絡(luò)資源的訪問，從而達(dá)成攻擊者不可告人的目的。

為什么會(huì)DDOS攻擊

黑客攻擊做DDOS攻擊的時(shí)候可能有多種原因，可能出于商業(yè)競(jìng)爭(zhēng)、打擊報(bào)復(fù)和網(wǎng)絡(luò)敲詐等多種因素，導(dǎo)致很多IDC托管機(jī)房、商業(yè)站點(diǎn)、游戲服務(wù)器、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長(zhǎng)期以來一直被DDOS攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機(jī)用戶受牽連、法律糾紛、商業(yè)損失等一系列問題，因此，解決DDOS攻擊問題成為網(wǎng)絡(luò)服務(wù)商必須考慮的頭等大事。

DDOS攻擊表現(xiàn)

DDOS攻擊主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機(jī)；另一種為資源耗盡攻擊，主要是針對(duì)服務(wù)器主機(jī)的攻擊，即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。具體類型表現(xiàn)如下：

第一種類型：CC類攻擊

• 網(wǎng)站出現(xiàn)service unavailable提示

• CPU占用率很高

• 網(wǎng)絡(luò)連接狀態(tài)：netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個(gè)IP高達(dá)幾十條甚至上百條

• 外部無法打開網(wǎng)站,軟重啟后短期內(nèi)恢復(fù)正常,幾分鐘后又無法訪問。  

第二種類型：SYN類攻擊 

• CPU占用很高

• 網(wǎng)絡(luò)連接狀態(tài)：netstat –na,若觀察到大量的SYN_RECEIVED的連接狀態(tài)  

第三種類型：UDP類攻擊 

• 觀察網(wǎng)卡狀況 每秒接受大量的數(shù)據(jù)包

• 網(wǎng)絡(luò)狀態(tài)：netstat –na TCP信息正常    

第四種類型：TCP洪水攻擊 

• CPU占用很高

• netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個(gè)IP高達(dá)幾十條甚至上百條 

如何防御DDOS攻擊

對(duì)付DDOS是一個(gè)系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實(shí)的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當(dāng)?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當(dāng)?shù)霓k法增強(qiáng)了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當(dāng)于成功的抵御了DDOS攻擊。以下幾點(diǎn)是防御DDOS攻擊幾點(diǎn)：

• 充足的網(wǎng)絡(luò)帶寬保證

• 升級(jí)主機(jī)服務(wù)器硬件

• 采用高性能的網(wǎng)絡(luò)設(shè)備

• 把網(wǎng)站做成靜態(tài)頁(yè)面

• 增強(qiáng)操作系統(tǒng)的TCP/IP棧
  

• 每臺(tái)網(wǎng)絡(luò)設(shè)備或主機(jī)都需要隨時(shí)更新其系統(tǒng)漏洞、

• 關(guān)閉不需要的服務(wù)、安裝必要的防毒和防火墻軟件

• 隨時(shí)注意系統(tǒng)安全

• 安裝專業(yè)抗DDOS防火墻　　

　有些 DDoS 會(huì)偽裝攻擊來源，假造封包的來源 ip，使人難以追查，這個(gè)部份可以透過設(shè)定路由器的過濾功能來防止，只要網(wǎng)域內(nèi)的封包來源是其網(wǎng)域以外的 ip，就應(yīng)該直接丟棄此封包而不應(yīng)該再送出去，如果網(wǎng)管設(shè)備都支持這項(xiàng)功能，網(wǎng)管人員都能夠正確設(shè)定過濾掉假造的封包，也可以大量減少調(diào)查和追蹤的時(shí)間。

網(wǎng)域之間保持聯(lián)絡(luò)是很重要的，如此才能有效早期預(yù)警和防治 DDoS 攻擊，有些 ISP會(huì)在一些網(wǎng)絡(luò)節(jié)點(diǎn)上放置感應(yīng)器偵測(cè)突然的巨大流量，以提早警告和隔絕 DDoS 的受害區(qū)域，降低顧客的受害程度。

來源：羅排超IDC博客，歡迎分享本文，轉(zhuǎn)載請(qǐng)保留出處！