分布式拒絕服務攻擊(DDoS)是一種特殊形式的拒絕服務攻擊。它是利用多臺已經被攻擊者所控制的機器對某一臺單機發起攻擊，在帶寬相對的情況下，被攻擊的主機很容易失去反應能力。如何防范ddos攻擊？已經成為現在一個重要的話題。來勢迅猛，而且往往令人難以防備，具有極大的破壞性。為什么游戲是DDoS攻擊重災區?一起來了解下。

　　如何防范ddos攻擊？

　　1.及早發現系統存在的攻擊漏洞，及時安裝系統補丁程序。對一些重要的信息（例如系統配置信息）建立和完善備份機制。對一些特權賬號（例如管理員賬號）的密碼設置要謹慎。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最小。

　　2.在網絡管理方面，要經常檢查系統的物理環境，禁止那些不必要的網絡服務。建立邊界安全界限，確保輸出的包受到正確限制。經常檢測系統配置信息，并注意查看每天的安全日志。

　　3.利用網絡安全設備（例如：防火墻）來加固網絡的安全性，配置好這些設備的安全規則，過濾掉所有可能的偽造數據包。

　　4.與網絡服務提供商協調工作，讓網絡服務提供商幫助實現路由的訪問控制和對帶寬總量的限制。

　　5.當用戶發現自己正在遭受DDoS攻擊時，應當啟動自己的應付策略，盡可能快地追蹤攻擊包，并且及時聯系ISP和有關應急組織，分析受影響的系統，確定涉及的其他節點，從而阻擋從已知攻擊節點的流量。

　　6.如果用戶是潛在的DDoS攻擊受害者，并且用戶發現自己的計算機被攻擊者用作主控端和代理端時，用戶不能因為自己的系統暫時沒有受到損害而掉以輕心。攻擊者一旦發現用戶系統的漏洞，這對用戶的系統是一個很大的威脅。所以用戶只要發現系統中存在DDoS攻擊的工具軟件要及時把它清除，以免留下后患。

　　那些年，DDoS的那些反擊滲透的事情。

　　DDoS攻擊與對策

　　DDo（Distributed Denial of Service），即分布式拒絕服務攻擊，是指黑客通過控制由多個肉雞或服務器組成的僵尸網絡，向目標發送大量看似合法的請求，從而占用大量網絡資源使網絡癱瘓，阻止用戶對網絡資源的正常訪問。

　　從各安全廠商的DDoS分析報告不難看出，DDoS攻擊的規模及趨勢正在成倍增長。由于攻擊的成本不斷降低，技術門檻要求越來越低，攻擊工具的肆意傳播，互聯網上隨處可見成群的肉雞，使發動一起DDoS攻擊變得輕而易舉。

　　DDoS攻擊技術包括：常見的流量直接攻擊（如SYN/ACK/ICMP/UDP FLOOD），利用特定應用或協議進行反射型的流量攻擊（如，NTP/DNS/SSDP反射攻擊，2018年2月28日GitHub所遭受的Memcached反射攻擊），基于應用的CC、慢速HTTP等。關于這些攻擊技術的原理及利用工具網上有大量的資源，不再贅述。

　　DDoS防御常規套路

　　防御DDoS的常規套路包括：本地設備清洗，運營商清洗，云清洗。

　　1.本地設備清洗

　　抗DDoS設備（業內習慣稱ADS設備）一般以盒子的形式部署在網絡出口處，可串聯也可旁路部署。旁路部署需要在發生攻擊時進行流量牽引，其基本部署方案。

　　檢測設備對鏡像過來的流量進行分析，檢測到DDoS攻擊后通知清洗設備，清洗設備通過BGP或OSPF協議將發往被攻擊目標主機的流量牽引到清洗設備，然后將清洗后的干凈流量通過策略路由或者MPLS LSP等方式回注到網絡中；當檢測設備檢測到DDoS攻擊停止后，會通知清洗設備停止流量牽引。

　　將ADS設備部署在本地，企業用戶可依靠設備內置的一些防御算法和模型有效抵擋一些小規模的常見流量攻擊，同時結合盒子提供的可定制化策略和服務，方便有一定經驗的企業用戶對攻擊報文進行分析，定制針對性的防御策略。目前國內市場上，主要以綠盟的黑洞為代表，具體可以訪問其官網進一步了解。

　　本地清洗最大的問題是當DDoS攻擊流量超出企業出口帶寬時，即使ADS設備處理性能夠，也無法解決這個問題。一般金融證券等企業用戶的出口帶寬可能在幾百兆到幾G，如果遇到十G以上甚至上百G的流量，就真的麻煩了，更別談T級別的DDoS攻擊了。

　　2.運營商清洗

　　當本地設備清洗解決不了流量超過出口帶寬的問題時，往往需要借助運營商的能力了，緊急擴容或者開啟清洗服務是一般做法，前提是要采購相應的清洗服務，而且一般需要通過電話或郵件確認，有的可能還要求傳真。

　　運營商的清洗服務基本是根據netflow抽樣檢測網絡是否存在DDoS攻擊，而且策略的顆粒度較粗，因此針對低流量特征的DDoS攻擊類型檢測效果往往不夠理想。再加上一些流程上的操作如電話、郵件、傳真等，真正攻擊到來時處理可能會更慢，需要重點關注。

　　值得一提的是中國電信的云堤服務，提供了“流量壓制”和“近源清洗”服務，而且還提供了自助平臺供用戶操作，查看流量、開啟清洗也非常方便。

　　3.云清洗

　　內容分發網絡（Content Delivery Network，CDN）是指，通過在網絡各處放置節點服務器，讓用戶能夠在離自己最近的地方訪問服務，以此來提高訪問速度和服務質量。CDN主要利用了四大關鍵技術：內容路由，內容分發，內存存儲，內容管理。更詳細的技術原理可以參考中國電信研究院出版的《CDN技術詳解》。

　　CDN技術的初衷是為了提高互聯網用戶對靜態網站的訪問速度，但是由于分布式、就近訪問的特點，能對攻擊流量進行稀釋，因此，一些傳統CDN廠商除了提供云加速功能外，也開始推出云清洗的服務，當然還有一些安全公司基于其自身優勢進入云清洗市場。基本原理都一樣，需要先在云端配置好相應的記錄，當企業遭受大規模攻擊時，通過修改其DNS記錄將要保護的域名CNAME到云端事先配好的記錄上，等待DNS生效即可。

　　使用云清洗需要注意以下幾個問題：

　　1. 云清洗廠商需要提前配置好相應記錄。DNS修改記錄后，需要等待TTL超時才生效。

　　2. 直接針對源IP的攻擊，無法使用云清洗防護，還要依靠本地和運營商清冼。

　　3. 針對HTTPS網站的防御，還涉及HTTPS證書，由此帶來的數據安全風險需要考慮，市面上也有相應的Keyless方案{n1}。

　　由于國內環境不支持Anycast技術，所以不再贅述，如果有海外分支機構的網站需要防護，可以關注。

　　為什么游戲會是DDoS攻擊重災區？

　　為什么游戲會是DDoS攻擊的重災區呢?這里說幾點主要的原因。

　　首先是因為游戲行業的攻擊成本低廉，是防護成本的1/N，攻防兩端極度不平衡。隨著攻擊方的打法越來越復雜、攻擊點越來越多，基本的靜態防護策略無法達到較好的效果，也就加劇了這種不平衡。

　　其次，游戲行業生命周期短。一款游戲從出生，到消亡，很多都是半年的時間，如果抗不過一次大的攻擊，很可能就死在半路上。黑客也是瞄中了這一點，認定：只要發起攻擊，游戲公司一定會給“保護費”。

　　再次，游戲行業對連續性的要求很高，需要7*24在線，因此如果受到DDoS攻擊，游戲業務很容易會造成大量的玩家流失。我曾經見過在被攻擊的2-3天后，游戲公司的玩家數量，從幾萬人掉到幾百人。

　　最后，游戲公司之間的惡性競爭，也加劇了針對行業的DDoS攻擊。

　　如何防范ddos攻擊成為互聯網一個嚴重需要解決的問題，對于此類隱蔽性極好的DDoS攻擊的防范，更重要的是用戶要加強安全防范意識，提高網絡系統的安全性。為了不讓ddos攻擊危害到大家的網絡安全，一些重要措施要學會。