DDoS攻擊是指不法分子利用控制由多個肉雞或服務器組成的僵尸網絡向目標發送大量看請求，從而占用大量網絡資源使網絡癱瘓。一個企業的網上服務很容易遭到拒絕服務的攻擊，今天我們就一起來聊一聊DDoS攻擊與對策。

　　DDoS攻擊與對策

　　從各安全廠商的DDoS分析報告不難看出，DDoS攻擊的規模及趨勢正在成倍增長。由于攻擊的成本不斷降低，技術門檻要求越來越低，攻擊工具的肆意傳播，互聯網上隨處可見成群的肉雞，使發動一起DDoS攻擊變得輕而易舉。

　　DDoS攻擊技術包括：常見的流量直接攻擊（如SYN/ACK/ICMP/UDP FLOOD），利用特定應用或協議進行反射型的流量攻擊（如，NTP/DNS/SSDP反射攻擊，2018年2月28日GitHub所遭受的Memcached反射攻擊），基于應用的CC、慢速HTTP等。關于這些攻擊技術的原理及利用工具網上有大量的資源，不再贅述。

　　抗DDoS設備（業內習慣稱ADS設備）一般以盒子的形式部署在網絡出口處，可串聯也可旁路部署。旁路部署需要在發生攻擊時進行流量牽引，其基本部署方案。

　　檢測設備對鏡像過來的流量進行分析，檢測到DDoS攻擊后通知清洗設備，清洗設備通過BGP或OSPF協議將發往被攻擊目標主機的流量牽引到清洗設備，然后將清洗后的干凈流量通過策略路由或者MPLS LSP等方式回注到網絡中；當檢測設備檢測到DDoS攻擊停止后，會通知清洗設備停止流量牽引。

　　將ADS設備部署在本地，企業用戶可依靠設備內置的一些防御算法和模型有效抵擋一些小規模的常見流量攻擊，同時結合盒子提供的可定制化策略和服務，方便有一定經驗的企業用戶對攻擊報文進行分析，定制針對性的防御策略。目前國內市場上，主要以綠盟的黑洞為代表，具體可以訪問其官網進一步了解。

　　本地清洗最大的問題是當DDoS攻擊流量超出企業出口帶寬時，即使ADS設備處理性能夠，也無法解決這個問題。一般金融證券等企業用戶的出口帶寬可能在幾百兆到幾G，如果遇到十G以上甚至上百G的流量，就真的麻煩了，更別談T級別的DDoS攻擊了。

　　當本地設備清洗解決不了流量超過出口帶寬的問題時，往往需要借助運營商的能力了，緊急擴容或者開啟清洗服務是一般做法，前提是要采購相應的清洗服務，而且一般需要通過電話或郵件確認，有的可能還要求傳真。

　　DDoS的原理及危害

　　DDoS:拒絕服務攻擊的目標大多采用包括以SYNFlood和PingFlood為主的技術，其主要方式是通過使關鍵系統資源過載，如目標網站的通信端口與記憶緩沖區溢出，導致網絡或服務器的資源被大量占用，甚至造成網絡或服務器的全面癱瘓，而達到阻止合法信息上鏈接服務要求的接收。形象的解釋是，DDoS攻擊就好比電話點歌的時候，從各個角落在同一時間有大量的電話掛入點播臺，而點播臺的服務能力有限，這時出現的現象就是打電話的人只能聽到電話忙音，意味著點播臺無法為聽眾提供服務。這種類型的襲擊日趨增多，因為實施這種攻擊的方法與程序源代碼現已在黑客網站上公開。另外，這種襲擊方法非常難以追查，因為他們運用了諸如IP地址欺騙法之類所謂網上的“隱身技術”，而且現在互聯網服務供應商（ISP）的過剩，也使作惡者很容易得到IP地址。

　　拒絕服務攻擊的一個最具代表性的攻擊方式是分布式拒絕服務攻擊（DistributedDenialofService，DDoS），它是一種令眾多的互聯網服務提供商和各國政府非常頭疼的黑客攻擊方法，最早出現于1999年夏天，當時還只是在黑客站點上進行的一種理論上的探討。從2000年2月開始，這種攻擊方法開始大行其道，在2月7日到11日的短短幾天內，黑客連續攻擊了包括Yahoo，Buy.com，eBay，Amazon，CNN等許多知名網站，致使有的站點停止服務達幾個小時甚至幾十個小時之久。國內的新浪等站點也遭到同樣的攻擊，這次的攻擊浪潮在媒體上造成了巨大的影響，以至于美國總統都不得不親自過問。

　　分布式拒絕服務攻擊采用了一種比較特別的體系結構，從許多分布的主機同時攻擊一個目標。從而導致目標癱瘓。目前所使用的入侵監測和過濾方法對這種類型的入侵都不起作用。所以，對這種攻擊還不能做到完全防止。

　　DDoS通常采用一種跳臺式三層結構。如圖10—7所示：圖10—7最下層是攻擊的執行者。這一層由許多網絡主機構成，其中包括Unix，Linux，Mac等各種各樣的操作系統。攻擊者通過各種辦法獲得主機的登錄權限，并在上面安裝攻擊器程序。這些攻擊器程序中一般內置了上面一層的某一個或某幾個攻擊服務器的地址，其攻擊行為受到攻擊服務器的直接控制。

　　了解DDoS攻擊與對策，DDoS攻擊目前黑客經常采用而難以防范的攻擊手段，所以很多企業都會束手無策。作為可能被攻擊的對象要及時做好相應的措施，提高防御的思想，因為一旦遭受到DDoS攻擊就很難不造成損失。