ddos攻击的防御办法以及原理（Web安全漏洞分析-DDoS的攻击及防御）

Dos：Denial of Service,（拒绝服务)，一种常用来使服务器或网络瘫痪的网络攻击手段，是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃。

DDos：Distributed Denial of Service（分布式拒绝服务攻击），即是利用网络上已被攻陷的电脑作为"僵尸"，向某一特定的目标电脑发动密集式的"拒绝服务"要求。说白了就是一个人搞不定的事情找一群人来做，任你服务器负载能力再强，总会把你搞垮。在攻击的过程中，黑客通过将一个个"丧尸"或者称为"肉鸡"组成僵尸网络（即Botnet）来发动大规模DDoS网络攻击。而这些"肉鸡"恰好就是我们这些普通的小白用户。结果就是我们的电脑在我们自己不知情的情况下被黑客拿来当武器来攻击服务器了。当然黑客也可以利用一些攻击工具（HULK，RUDy等）模拟僵尸网络来达到攻击的目的

分布式拒绝服务攻击的精髓是：利用分布式的客户端，向目标发起大量看上去合法的请求，消耗或者占用大量资源，从而达到拒绝服务的目的。

其主要攻击方法有4种：

1、 攻击带宽

跟帝都的交通堵塞情况一样，大家都该清楚，当网络数据包的数量达到或者超过上限的时候，会出现网络拥堵、响应缓慢的情况。DDoS就是利用这个原理，发送大量网络数据包，占满被攻击目标的全部带宽，从而造成正常请求失效，达到拒绝服务的目的。

攻击者可以使用ICMP洪水攻击（即发送大量ICMP相关报文）、或者UDP洪水攻击（即发送用户数据报协议的大包或小包），使用伪造源IP地址方式进行隐匿，并对网络造成拥堵和服务器响应速度变慢等影响。

2、 攻击系统

创建TCP连接需要客户端与服务器进行三次交互，也就是常说的"三次握手"。这个信息通常被保存在连接表结构中，但是表的大小有限，所以当超过了存储量，服务器就无法创建新的TCP连接了。

攻击者就是利用这一点，用受控主机建立大量恶意的TCP连接，占满被攻击目标的连接表，使其无法接受新的TCP连接请求。如果攻击者发送了大量的TCP SYN报文，使服务器在短时间内产生大量的半开连接，连接表也会被很快占满，导致无法建立新的TCP连接，这个方式是SYN洪水攻击，很多攻击者都比较常用。

3、 攻击应用

由于DNS和Web服务的广泛性和重要性，这两种服务就成为了消耗应用资源的分布式拒绝服务攻击的主要目标。

比如向DNS服务器发送大量查询请求，从而达到拒绝服务的效果，如果每一个DNS解析请求所查询的域名都是不同的，那么就有效避开服务器缓存的解析记录，达到更好的资源消耗效果。当DNS服务的可用性受到威胁，互联网上大量的设备都会受到影响而无法正常使用。

近些年，Web技术发展非常迅速，如果攻击者利用大量的受控主机不断地向Web服务器恶意发送大量HTTP请求，要求Web服务器处理，就会完全占用服务器资源，让正常用户的Web访问请求得不到处理，导致拒绝服务。一旦Web服务受到这种攻击，就会对其承载的业务造成致命的影响。

4、 混合攻击

在实际的生活中，攻击者并不关心自己使用的哪种攻击方法管用，只要能够达到目的，一般就会发动其所有的攻击手段，尽其所能的展开攻势。对于被攻击目标来说，需要面对不同的协议、不同资源的分布式拒绝服务攻击，分析、响应和处理的成本就会大大增加。

随着僵尸网络向着小型化的趋势发展，为降低攻击成本，有效隐藏攻击源，躲避安全设备，同时保证攻击效果，针对应用层的小流量慢速攻击已经逐步发展壮大起来。因此，从另一个角度来说，DDoS攻击方面目前主要是两个方面：UDP及反射式大流量高速攻击、和多协议小流量及慢速攻击。

1、设置高性能设备

要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。

2、带宽得保证

网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYN Flood攻击。所以，最好选择100M的共享带宽，当然是挂在1000M的主干上了。

3、不要忘记升级

在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包。而且最好可以进行优化资源使用，提高web server 的负载能力。

4、异常流量的清洗

通过DDoS硬件防火墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。

5、考虑把网站做成静态页面

把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，最好在需要调用数据库的脚本中，拒绝使用代理的访问，经验表明，使用代理访问你网站的80%属于恶意行为。

6、分布式集群防御

这是目前网络安全界防御大规模DDoS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的DDoS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。

就DDoS防御方面来说，目前主要是两个方面，大流量攻击可以交给运营商及云端清洗，小流量攻击可以在企业本地进行设备防护，这个分界点根据行业及业务特性的不同会有所差异，大概的量级应该在百兆BPS左右。相关的缓解与治理，有兴趣的童鞋可以看看鲍旭华的《破坏之王》，会有不小的启示。