之前有朋友對我說：DDoS攻擊只能算是入門級的，也沒有什麼技術含量。墨者安全覺得就因為是入門級的，往往我們就容易忽略它的存在，同時忘記了它的恐怖之處，駭客利用攻擊成本低和大量殭屍網路資源頻繁的給企業造成破壞。主要表現在傳送大量的惡意訪問請求，佔用伺服器資源，消耗頻寬以及CPU記憶體，使網站宕機，打不開，業務暫停。也給企業的聲譽，財產造成巨大的損失。而且有些高階駭客會利用DDoS攻擊攜帶隱藏的病毒以及勒索軟體等，使企業核心資料資訊洩露等。因此DDOS威脅嚴重的影響著企業資訊保安的發展。而且不止是企業，全球各個地方，每天都上演著駭客發動的網路攻擊，DDOS攻擊等，嚴重影響了網際網路資訊保安的發展。

如何做好DDoS防禦呢？

2.不隨便下載來路不明的應用，不隨意點開接收郵件中受到的不明連結，同時不使用伺服器郵件傳送功能，避免因誤操作導致伺服器被攜帶的病毒、木馬感染，使其成為殭屍肉雞，也避免洩露IP地址；

3.使用高防CDN的分散式儲存，以及負載均衡和全域性網路的重點向管理技術，給使用者提供高效的就近原則式內容分發服務。來隱藏使用者的源站IP，替身清洗，過濾惡意訪問，以此來避免攻擊直接打到源站IP上。

一. 什麼叫DDOS

分散式拒絕服務（Distributed Denial of Service，簡稱DDoS）指藉助於客戶機/伺服器模式，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。

通常，攻擊者使用一個非法賬號將DDoS主控程式安裝在一臺計算機上，並在網路上的許多計算機上安裝了代理程式。在所設定的時間，主控程式將與大量代理程式進行通訊，代理程式收到指令時就發動攻擊。利用客戶機/伺服器模式，主控程式能在幾秒鐘內啟用成百上千次代理程式的執行。

常見的DDoS攻擊型別包括畸形報文、傳輸層DDoS攻擊、DNS DDoS攻擊、連線型DDoS攻擊、Web應用層DDoS攻擊 ，關於每種型別的具體介紹，請參見下文說明。

畸形報文

畸形報文攻擊指透過向目標系統傳送有缺陷的IP報文，使得目標系統在處理這樣的報文時出現崩潰，從而達到拒絕服務的攻擊目的。

畸形報文主要包括以下型別：Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形報文、TCP畸形報文、UDP畸形報文

2. 傳輸層DDoS攻擊

傳輸層DDoS攻擊主要是指Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等攻擊。

以Syn Flood攻擊為例，它利用了TCP協議的三次握手機制，當服務端接收到一個Syn請求時，服務端必須使用一個監聽佇列將該連線儲存一定時間。因此，透過向服務端不停傳送Syn請求，但不響應Syn+Ack報文，從而消耗服務端的資源。當監聽佇列被佔滿時，服務端將無法響應正常使用者的請求，達到拒絕服務攻擊的目的。

3. DNS DDoS攻擊

DNS DDoS攻擊主要是指DNS Request Flood、DNS Response Flood、虛假源+真實源DNS Query Flood、權威伺服器攻擊和Local伺服器攻擊。

以DNS Query Flood攻擊為例，其本質上執行的是真實的Query請求，屬於正常業務行為。但如果多臺傀儡機同時發起海量的域名查詢請求，服務端無法響應正常的Query請求，從而導致拒絕服務。

4. 連線型DDoS攻擊

連線型DDoS攻擊主要是指TCP慢速連線攻擊、連線耗盡攻擊、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻擊。

以Slowloris攻擊為例，其攻擊目標是Web伺服器的併發上限，當Web伺服器的連線併發數達到上限後，Web服務即無法接受新的請求。具體來說，Web服務接收到新的HTTP請求時，建立新的連線來處理請求，並在處理完成後關閉這個連線；如果該連線一直處於連線狀態，收到新的HTTP請求時則需要建立新的連線進行處理；而當所有連線都處於連線狀態時，Web將無法處理任何新的請求。

Slowloris攻擊利用HTTP協議的特性來達到攻擊目的。HTTP請求以標識Headers的結束，如果Web服務端只收到，則認為HTTP Headers部分沒有結束，將保留該連線並等待後續的請求內容。

5. Web應用層DDoS攻擊

Web應用層攻擊主要是指HTTP Get Flood、HTTP Post Flood、CC等攻擊。

通常應用層攻擊完全模擬使用者請求，類似於各種搜尋引擎和爬蟲一樣，這些攻擊行為和正常的業務並沒有嚴格的邊界，難以辨別。

Web服務中一些資源消耗較大的事務和頁面。例如，Web應用中的分頁和分表，如果控制頁面的引數過大，頻繁的翻頁將會佔用較多的Web服務資源。尤其在高併發頻繁呼叫的情況下，類似這樣的事務就成了早期CC攻擊的目標。

由於現在的攻擊大都是混合型的，因此模擬使用者行為的頻繁操作都可以被認為是CC攻擊。例如，各種刷票軟體對網站的訪問，從某種程度上來說就是CC攻擊。

CC攻擊瞄準的是Web應用的後端業務，除了導致拒絕服務外，還會直接影響Web應用的功能和效能，包括Web響應時間、資料庫服務、磁碟讀寫等。

二. 主要防禦方式