DDos攻擊的詳解，論企業只能做防禦死扛致網站半死不活？

首先我們來了解一下什麼是DDos：

DoS的英文全稱是Denial of Service，也就是“拒絕服務”的意思。廣義的DOS攻擊是指：“任何導致被攻擊的服務器不能正常提供服務的攻擊方式”。DoS攻擊和其他類型的攻擊不大一樣 攻擊者並不是去尋找進入內部網絡的入口 而是去阻止合法的用戶訪問資源或路由器。隨著計算機與網絡技術的發展，計算機的處理能力迅速增長，內存大大增加，同時也出現了千兆級別的網絡，這些變化都使得目標計算機有足夠的資源來應付這些DoS攻擊報文，這使得DoS攻擊的困難程度加大，效果減小。在這種情況下， DDoS攻擊方法就應運而生，DDoS是英文Distributed Denial of Service的縮寫，即“分佈式拒絕服務”，它是一種基於DoS的特殊形式的拒絕服務攻擊。前面已經提到了，當今的計算機和網絡速度都普遍比較快，尤其是大型服務器和數據中心，那數據處理能力和網絡速度簡直令人歎為觀止，因此傳統的基於一對一的DoS攻擊效果已不再那麼明顯。

於是眾多民間黑客大人們秉承“辦法總比困難多”的勵志理念，汲取街頭打架鬥毆場景中的精髓，既然一個人打不過，那就來群毆。（這也是為什麼網站防禦安全越來越受到和國家的重視的原因）到處黑服務器來做“肉雞”，攻擊目標服務器或網站。

現在我們來剖析一下這個攻擊手法：

DDoS攻擊便是利用一批受控制的機器向一臺機器發起攻擊，這樣來勢迅猛的攻擊令，即使性能再高的服務器也無法應付，因此產生的破壞性極大。主要目標是較大的站點，像商業公司、搜索引擎和政府部門的站點。

DDoS攻擊的4個組成部分：

1).攻擊者

攻擊者所用的主機，也稱為攻擊主控臺；

2).主控端

攻擊者侵入並控制的一些主機，分別控制大量代理攻擊主機；

3).代理攻擊端

攻擊者侵入並控制的一批主機，其上面運行攻擊程序，接收和運行主控端發來的命令，代理攻擊端俗稱“肉雞”；

4).受害者

被攻擊的目標主機。

DDoS攻擊步驟

1).蒐集攻擊目標信息。包括目標主機的地址、配置、性能、帶寬等。並根據目標主機的相關參數設計合理的攻擊強度，做到知己知彼，百戰不殆；

2).佔領傀儡機。攻擊者通過工具掃描互聯網上那些有漏洞的機器，隨後就是嘗試攻擊。攻擊成功後，就可以佔領和控制被攻擊的主機，即“肉雞”。攻擊者可以利用FTP/TFTP等協議把DDoS攻擊用的程序上傳到“肉雞”中。“肉雞”包括主控端和代理端主機，其中一部分主機充當攻擊的主控端，一部分主機充當攻擊的代理端。

不過，攻擊者如果想省事的話，可以直接從網絡上購買“肉雞”，一般是幾角錢一隻，量多優惠。這些“肉雞”就是被黑客成功控制的計算機，並用於出售目的。

3). 實施攻擊。攻擊者登錄到作為控制檯的“肉雞”中，向所有做為代理端主機的“肉雞”發出命令，這時候埋伏在“肉雞”中的DDoS攻擊程序就會響應控制檯的命令，同時向受害主機以高速度發送大量的數據包，導致受害主機死機或是無法響應正常的請求。

DDoS是實施成本較低和技術手段最為容易的惡意攻擊形式，許多全球大型互聯網企業都曾遭受過DDoS攻擊，無數的中小企業更是深受其害。無論是技術含量較高的反射式攻擊，還是簡單粗暴的帶寬消耗，無不令受害者防不勝防、頭痛不已。面對來勢凶凶的攻擊行為，我們就沒有有效的解決手段嗎？答案是否定的，隨著技術手段的提高，不光黑客在成長，我們安全運維人員也在學習和努力，北京東方網域新興科技有限公司就給我們提出了一個行之有效的解決方案，我們來看看他們專家給出的一個通用型的防護策略。

基本手段：

1）攻擊檢測利用節點線路行攻擊監測，

2）攻擊防護包含流量壓制和流量清洗兩種主要功能

3）分析溯源主要解決對攻擊來源的準確定位。我們知道，黑客利用殭屍主機發起攻擊時時常會使用虛假源IP地址，以達到混淆身份，藏匿歸屬的目的。

北京東方網域新興科技有限公司的雲防禦系統在網域雲機房外側部署了密集的防護節點，每個節點機房入口均部署了高防智能節點系統，支持waf相關功能，節點更具有加速能力。客戶接入雲防禦系統時，雲防禦系統會提供一個域名。客戶cname到該域名後，東方網域通過網域公司自研的GSLB域名解析系統為客戶的用戶提供最優的訪問線路。

當遇到小流量攻擊時，雲防禦系統會通過高防智能節點系統清洗攻擊流量，再將清洗後的業務流量轉發給web服務器。雲防禦系統當發生超大流量攻擊時，雲防禦系統會根據攻擊的實際的影響情況，通過修改域名的解析結果，使得正常業務流量快速分攤到未受影響的節點上去。待受影響修復後，雲防禦系統自動將節點上線導入業務流量。總體來講是用游擊戰的戰術對抗DDoS攻擊。

雲防禦系統大致架構包括如下幾個主要系統：移動加速系統、攻擊防護點、源站、網域公司高防智能節點系統。

各網絡節點分別起著不同的作用：

· 調度系統在雲防禦系統中起著智能域名解析、網絡監控、流量調度的作用；提供包括DNS管理、DNS防護、DDoS防護、Web應用防火牆、高級自定義防護等安全策略，實時數據分析模塊，繼承了強大的數據處理能力和高效準確的攻擊識別能力，不僅能為網站及時發現並防護各種攻擊行為，更能夠為網站實時提供業務日常數據分析服務。

· 源站，開發商業務服務器；CDN加速體系。東方網域團隊研發了一套獨立的“cdn加速”體系，該體系基於全國15個IDC骨幹節點為網站提供CDN加速服務，克服了傳統網絡服務跨運營商訪問慢，單點質量差等問題，通過實時的數據採集分析，動態選擇最佳路徑，優化DNS解析速度以及CDN節點路由選擇線路，壓縮網頁文件大小，並且針對移動端訪問開啟專屬頁面優化，以保證全國各地更加穩、以最快速度訪問網站。

· 攻擊防護點，過濾攻擊流量，並將正常流量轉發到源站；高防智能節點系統是網域公司的通用DDoS防護系統，在雲防禦系統中會與攻擊防護點配合起來，以起到超大流量的防護作用，提供雙重防護的能力。另外網域公司高防智能節點系統還保護了所有網域公司的機房和系統。

另外經專家介紹該防護產品背後擁有全國最大的惡意網址庫、全國最大的第三方漏洞收集平臺、全國頂尖的樣本庫，數據分析規則與360網站安全雲平臺檢測規則實時同步，保證能夠第一時間發現最新的黑客攻擊行為和漏洞信息