防ddos攻擊

DDOS是英文Distributed Denial of Service的縮寫，意即“分散式拒絕服務”，那么什麼又是拒絕服務（Denial of Service）呢？可以這么理解，凡是能導致合法用戶不能夠訪問正常網路服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確，就是要阻 止合法用戶對正常網路資源的訪問，從而達成攻擊者不可告人的目的。雖然同樣是拒絕服務攻擊，但是DDOS和DOS還是有所不同，DDOS的攻擊策略側重於 通過很多“殭屍主機”（被攻擊者入侵過或可間接利用的主機）向受害主機傳送大量看似合法的網路包，從而造成網路阻塞或伺服器資源耗盡而導致拒絕服務，分布 式拒絕服務攻擊一旦被實施，攻擊網路包就會猶如洪水般湧向受害主機，從而把合法用戶的網路包淹沒，導致合法用戶無法正常訪問伺服器的網路資源，因此，拒絕 服務攻擊又被稱之為“洪水式攻擊”，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS則側重於通過對主機特定漏洞的利用攻擊導致網路棧失效、系統崩潰、主機當機而無法提供正常的網路服務功能，從而造成拒絕服務，常見 的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務攻擊而言，危害較大的主要是DDOS攻擊，原因是很難防範，至於DOS攻擊， 通過給主機伺服器打補丁或安裝防火牆軟體就可以很好地防範，後文會詳細介紹怎么對付DDOS攻擊。

阻斷服務

在探討DDoS 之前我們需要先對 DoS 有所了解，DoS泛指黑客試圖妨礙正常使用者使用網路上的服務，例如剪斷大樓的電話線路造成用戶無法通話。而以網路來說，由於頻寬、網路設備和伺服器主機 等處理的能力都有其限制，因此當黑客產生過量的網路封包使得設備處理不及，即可讓正常的使用者無法正常使用該服務。例如黑客試圖用大量封包攻擊一般頻寬相 對小得多的撥接或 ADSL 使用者，則受害者就會發現他要連的網站連不上或是反應十分緩慢。

DoS 攻擊並非入侵主機也不能竊取機器上的資料，但是一樣會造成攻擊目標的傷害，如果攻擊目標是個電子商務網站就會造成顧客無法到該網站購物。

分散式阻斷服務

DDoS 則是 DoS 的特例，黑客利用多台機器同時攻擊來達到妨礙正常使用者使用服務的目的。黑客預先入侵大量主機以後，在被害主機上安裝 DDoS 攻擊程控被害主機對攻擊目標展開攻擊;有些 DDoS 工具採用多層次的架構，甚至可以一次控制高達上千台電腦展開攻擊，利用這樣的方式可以有效產生極大的網路流量以癱瘓攻擊目標。早在2000年就發生過針對 Yahoo, eBay, Buy和 CNN 等知名網站的DDoS攻擊，阻止了合法的網路流量長達數個小時。

DDoS 攻擊程式的分類，可以依照幾種方式分類，以自動化程度可分為手動、半自動與自動攻擊。早期的 DDoS 攻擊程式多半屬於手動攻擊，黑客手動尋找可入侵的計算機入侵併植入攻擊程式，再下指令攻擊目標;半自動的攻擊程式則多半具有 handler 控制攻擊用的agent 程式，黑客散布自動化的入侵工具植入 agent 程式，然後使用 handler 控制所有agents 對目標發動 DDoS 攻擊;自動攻擊更進一步自動化整個攻擊程式，將攻擊的目標、時間和方式都事先寫在攻擊程式里，黑客散布攻擊程式以後就會自動掃描可入侵的主機植入 agent 並在預定的時間對指定目標發起攻擊，例如W32/Blaster 網蟲即屬於此類。

若以攻擊的弱點分類則可以分為協定攻擊和暴力攻擊兩種。協定攻擊是指黑客利用某個網路協定設計上的弱點或執行上的 bug 消耗大量資源，例如 TCP SYN 攻擊、對認證伺服器的攻擊等;暴力攻擊則是黑客使用大量正常的在線上消耗被害目標的資源，由於黑客會準備多台主機發起 DDoS 攻擊目標，只要單位時間內攻擊方發出的網路流量高於目標所能處理速度，即可消耗掉目標的處理能力而使得正常的使用者無法使用服務。

若以攻擊頻率區分則可分成持續攻擊和變動頻率攻擊兩種。持續攻擊是當攻擊指令下達以後，攻擊主機就全力持續攻擊，因此會瞬間產生大量流量阻 斷目標的服務，也因此很容易被偵測到;變動頻率攻擊則較為謹慎，攻擊的頻率可能從慢速漸漸增加或頻率高低變化，利用這樣的方式延緩攻擊被偵測的時間。

從DDoS攻擊下存活

那么當遭受 DDoS 攻擊的時候要如何設法存活並繼續提供正常服務呢?由先前的介紹可以知道，若黑客攻擊規模遠高於你的網路頻寬、設備或主機所能處理的能力，其實是很難以抵抗攻擊的，但仍然有一些方法可以減輕攻擊所造成的影響。

首先是調查攻擊來源，由於黑客經由入侵機器進行攻擊，因此你可能無法查出黑客是由哪裡發動攻擊，我們必須一步一步從被攻擊目標往回推，先調 查攻擊是由管轄網路的哪些邊界路由器進來，上一步是外界哪台路由器，連絡這些路由器的管理者(可能是某個ISP或電信公司)並尋求他們協助阻擋或查出攻擊 來源，而在他們處理之前可以進行哪些處理呢?

如果被攻擊的目標只是單一 ip，那么試圖改個 ip 並更改其 DNS mapping 或許可以避開攻擊，這是最快速而有效的方式;但是攻擊的目的就是要使正常使用者無法使用服務，更改ip的方式雖然避開攻擊，以另一角度來看黑客也達到了他 的目的。此外，如果攻擊的手法較為單純，可以由產生的流量找出其規則，那么利用路由器的 ACLs(Access Control Lists)或防火牆規則也許可以阻擋，若可以發現流量都是來自同一來源或核心路由器，可以考慮暫時將那邊的流量擋起來，當然這還是有可能將正常和異常的 流量都一併擋掉，但至少其它來源可以得到正常的服務，這有時是不得已的犧牲。如果行有餘力，則可以考慮增加機器或頻寬作為被攻擊的緩衝之用，但這只是治標 不治本的做法。最重要的是必須立即著手調查並與相關單位協調解決。

預防DDoS攻擊

DDoS 必須透過網路上各個團體和使用者的共同合作，制定更嚴格的網路標準來解決。每台網路設備或主機都需要隨時更新其系統漏洞、關閉不需要的服務、安裝必要的防 毒和防火牆軟體、隨時注意系統安全，避免被黑客和自動化的 DDoS 程式植入攻擊程式，以免成為黑客攻擊的幫凶。

有些 DDoS 會偽裝攻擊來源，假造封包的來源 ip，使人難以追查，這個部份可以透過設定路由器的過濾功能來防止，只要網域內的封包來源是其網域以外的 ip，就應該直接丟棄此封包而不應該再送出去，如果網管設備都支持這項功能，網管人員都能夠正確設定過濾掉假造的封包，也可以大量減少調查和追蹤的時間。

網域之間保持聯絡是很重要的，如此才能有效早期預警和防治 DDoS 攻擊，有些 ISP會在一些網路節點上放置感應器偵測突然的巨大流量，以提早警告和隔絕 DDoS 的受害區域，降低顧客的受害程度。

最有效的防護辦法

通過隱藏源IP方式可以實現，前提是要先找一個高防的盾機，再把IP隱藏起來。我以前給好多客戶都是這樣做的，非常有效可以防下20G的大量攻擊，但前提是需要一台伺服器，具體怎么實現，隨時聯繫交流技術心得