DDOS全名是Distributed Denial of service (分布式拒絕服務(wù)攻擊),很多DOS攻擊源一起攻擊某臺服務(wù)器就組成了DDOS攻擊,DDOS 最早可追溯到1996年最初,在中國2002年開始頻繁出現(xiàn),2003年已經(jīng)初具規(guī)模.

DDoS攻擊簡介

DDoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使服務(wù)器無法處理合法用戶的指令。

單一的DoS攻擊一般是采用一對一方式的，當(dāng)被攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高,它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了 - 目標(biāo)對惡意攻擊包的"消化能力"加強(qiáng)了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個攻擊包，但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個攻擊包，這樣一來攻擊就不會產(chǎn)生什么效果。

這時候分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運(yùn)而生了。你理解了DoS攻擊的話，它的原理就很簡單。如果說計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍，用一臺攻擊機(jī)來攻擊不再能起作用的話，攻擊者使用10臺攻擊機(jī)同時攻擊呢？用100臺呢？DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻，以比從前更大的規(guī)模來進(jìn)攻受害者。

高速廣泛連接的網(wǎng)絡(luò)給大家?guī)砹朔奖?，也?/span>DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時代時，黑客占領(lǐng)攻擊用的傀儡機(jī)時，總是會優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器，因?yàn)榻?jīng)過路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以G為級別的，大城市之間更可以達(dá)到2.5G的連接，這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起，攻擊者的傀儡機(jī)位置可以在分布在更大的范圍，選擇起來更靈活了。

DDoS攻擊原理

通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。通過向服務(wù)器提交大量請求，使服務(wù)器超負(fù)荷。阻斷某一用戶訪問服務(wù)器阻斷某服務(wù)與特定系統(tǒng)或個人的通訊。

DDOS攻擊(流量攻擊)防御步驟

其實(shí)說到最讓站長頭疼的事情,莫過于DDOS[分布式拒絕服務(wù)攻擊].無法訪問網(wǎng)站但當(dāng)攻擊者進(jìn)行DDOS攻擊時,很多站長都會說“隨他玩吧,等玩夠了就不會攻擊了” 這樣的思路是對的.但又是致命的.不進(jìn)行任何的補(bǔ)救.坐以待斃.是最大的忌諱

但是對于真實(shí)中的DDOS攻擊.數(shù)量是龐大的.處理方法如下:

1、使用工具:DDoS deflate . 自動查封IP.

2、解析域名到127.0.0.1 讓攻擊方自己攻擊自己[代價.網(wǎng)站不可訪問].

3、關(guān)閉網(wǎng)站的nginx 或者IIS 阿帕奇.等攻擊過后再打開.

4、換高防服務(wù)器(首頁使用靜態(tài)頁提高處理器速度).

5、隨他玩吧,等玩夠了就不會攻擊了.

6、有條件的朋友,可以考慮做cdn加速.

對于DDOS防御的理解

對付DDOS是一個系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實(shí)的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當(dāng)?shù)拇胧┑钟?/span>90%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當(dāng)?shù)霓k法增強(qiáng)了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當(dāng)于成功的抵御了DDOS攻擊。

DDoS防御的方法

1、采用高性能的網(wǎng)絡(luò)設(shè)備

首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當(dāng)大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點(diǎn)處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

2、盡量避免NAT的使用

無論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用，因?yàn)椴捎么思夹g(shù)會較大降低網(wǎng)絡(luò)通信能力，其實(shí)原因很簡單，因?yàn)?/span>NAT需要對地址來回轉(zhuǎn)換，轉(zhuǎn)換過程中需要對網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算，因此浪費(fèi)了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。

3、充足的網(wǎng)絡(luò)帶寬保證

網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊，當(dāng)前至少要選擇100M的共享帶寬，最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是，主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的，若把它接在100M的交換機(jī)上，它的實(shí)際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會在交換機(jī)上限制實(shí)際帶寬為10M，這點(diǎn)一定要搞清楚。

4、升級主機(jī)服務(wù)器硬件

在有網(wǎng)絡(luò)帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務(wù)器的配置至少應(yīng)該為：P4 2.4G/DDR512M/SCSI-HD，起關(guān)鍵作用的主要是CPU和內(nèi)存，若有志強(qiáng)雙CPU的話就用它吧，內(nèi)存一定要選擇DDR的高速內(nèi)存，硬盤要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網(wǎng)卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。

5、把網(wǎng)站做成靜態(tài)頁面

大量事實(shí)證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)，看看吧！新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，若你非需要動態(tài)腳本調(diào)用，那就把它弄到另外一臺單獨(dú)主機(jī)去，免的遭受攻擊時連累主服務(wù)器，當(dāng)然，適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的，此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問，因?yàn)榻?jīng)驗(yàn)表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。

6、增強(qiáng)操作系統(tǒng)的TCP/IP棧

Win2000和Win2003作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗DDOS攻擊的能力，只是默認(rèn)狀態(tài)下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵御數(shù)百個，具體怎么開啟，自己去看微軟的文章吧！《強(qiáng)化 TCP/IP 堆棧安全》。

也許有的人會問，那我用的是Linux和FreeBSD怎么辦？很簡單，按照這篇文章去做吧！《SYN Cookies》。

7、安裝專業(yè)抗DDOS防火墻

綠盟黑洞: X86架構(gòu)，Linux內(nèi)核與自主專利的抗syn-flood算法。對抗單一類型的syn，udp，icmp dos效果很好，但是當(dāng)多種混合時效果就略差。優(yōu)點(diǎn)是更新快，技術(shù)支持比較好，在100M環(huán)境下對syn-flood有絕對優(yōu)勢。 缺點(diǎn)是文檔和信息缺乏，同時工作(軟硬件兩方面)不是很穩(wěn)定。

金盾抗拒絕服務(wù)系統(tǒng)：金盾抗拒絕服務(wù)系列產(chǎn)品，應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法，對SYN Flood，UDP Flood，ICMP Flood，IGMP Flood，Fragment Flood，HTTP Proxy Flood，CC Proxy Flood，Connection Exhausted等各種常見的攻擊行為均可有效識別，并通過集成的機(jī)制實(shí)時對這些攻擊流量進(jìn)行處理及阻斷，保護(hù)服務(wù)主機(jī)免于攻擊所造成的損失。內(nèi)建的WEB保護(hù)模式及游戲保護(hù)模式，徹底解決針對此兩種應(yīng)用的DOS攻擊方式。金盾抗拒絕服務(wù)系列產(chǎn)品，除了提供專業(yè)的DOS/DDOS攻擊檢測及防護(hù)外，還提供了面向報(bào)文的通用規(guī)則匹配功能，可設(shè)置的域包括地址、端口、標(biāo)志位，關(guān)鍵字等，極大的提高了通用性及防護(hù)力度。同時，內(nèi)置了若干預(yù)定義規(guī)則，涉及局域網(wǎng)防護(hù)、漏洞檢測等多項(xiàng)功能，易于使用。

天網(wǎng)防火墻: 最早基于OpenBSD內(nèi)核，X86架構(gòu)，現(xiàn)在應(yīng)該也是Linux內(nèi)核了。很早就加入了抗syn-flood功能，實(shí)際應(yīng)該是syn-cache/syn-cookie的改進(jìn)或加強(qiáng)版。實(shí)際測試syn流量64B包抵抗極限大概是25M左右。當(dāng)小于20M是還是可以看到效果的。同時結(jié)合良好的防火墻策略應(yīng)該也可以做到針對udp/icmp等類型的限制。

一己拙見: 防火墻一般來說還是讓它作為自己的專業(yè)用途(訪問控制)比較好，當(dāng)然在網(wǎng)絡(luò)業(yè)務(wù)不是很重要的生產(chǎn)類企業(yè)來說，買個防火墻同時兼有簡單的抗syn功能倒也不錯。

8、其他防御措施

以上幾條對抗DDOS建議，適合絕大多數(shù)擁有自己主機(jī)的用戶，但假如采取以上措施后仍然不能解決DDOS問題，就有些麻煩了，可能需要更多投資，增加服務(wù)器數(shù)量并采用DNS輪巡或負(fù)載均衡技術(shù)，甚至需要購買七層交換機(jī)設(shè)備，從而使得抗DDOS攻擊能力成倍提高，只要投資足夠深入。

預(yù)防為主保證安全

DDOS應(yīng)付方法

DdoS攻擊是黑客最常用的攻擊手段，下面列出了對付它的一些常規(guī)方法。

（1）定期掃描

要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn)，清查可能存在的安全漏洞，對新出現(xiàn)的漏洞及時進(jìn)行清理。骨干節(jié)點(diǎn)的計(jì)算機(jī)因?yàn)榫哂休^高的帶寬，是黑客利用的最佳位置，因此對這些主機(jī)本身加強(qiáng)主機(jī)安全是非常重要的。而且連接到網(wǎng)絡(luò)主節(jié)點(diǎn)的都是服務(wù)器級別的計(jì)算機(jī)，所以定期掃描漏洞就變得更加重要了。

（2）在骨干節(jié)點(diǎn)配置防火墻

防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時候，可以將攻擊導(dǎo)向一些犧牲主機(jī)，這樣可以保護(hù)真正的主機(jī)不被攻擊。當(dāng)然導(dǎo)向的這些犧牲主機(jī)可以選擇不重要的，或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)秀的系統(tǒng)。

（3）用足夠的機(jī)器承受黑客攻擊

這是一種較為理想的應(yīng)對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數(shù)設(shè)備處于空閑狀態(tài)，和目前中小企業(yè)網(wǎng)絡(luò)實(shí)際運(yùn)行情況不相符。

（4）充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源

所謂網(wǎng)絡(luò)設(shè)備是指路由器、防火墻等負(fù)載均衡設(shè)備，它們可將網(wǎng)絡(luò)有效地保護(hù)起來。當(dāng)網(wǎng)絡(luò)被攻擊時最先死掉的是路由器，但其他機(jī)器沒有死。死掉的路由器經(jīng)重啟后會恢復(fù)正常，而且啟動起來還很快，沒有什么損失。若其他服務(wù)器死掉，其中的數(shù)據(jù)會丟失，而且重啟服務(wù)器又是一個漫長的過程。特別是一個公司使用了負(fù)載均衡設(shè)備，這樣當(dāng)一臺路由器被攻擊死機(jī)時，另一臺將馬上工作。從而最大程度的削減了DdoS的攻擊。

（5）過濾不必要的服務(wù)和端口

過濾不必要的服務(wù)和端口，即在路由器上過濾假IP……只開放服務(wù)端口成為目前很多服務(wù)器的流行做法，例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。

（6）檢查訪問者的來源

使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來自何處。因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn)，有助于提高網(wǎng)絡(luò)安全性。

（7）過濾所有RFC1918 IP地址

RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它們不是某個網(wǎng)段的固定的IP地址，而是Internet內(nèi)部保留的區(qū)域性IP地址，應(yīng)該把它們過濾掉。此方法并不是過濾內(nèi)部員工的訪問，而是將攻擊時--的大量虛假內(nèi)部IP過濾，這樣也可以減輕DdoS的攻擊。

（8）限制SYN/ICMP流量

用戶應(yīng)在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬，這樣，當(dāng)出現(xiàn)大量的超過所限定的SYN/ICMP流量時，說明不是正常的網(wǎng)絡(luò)訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法，雖然目前該方法對于DdoS效果不太明顯了，不過仍然能夠起到一定的作用。

抗DDOS產(chǎn)品主要廠家

綠盟科技

綠盟科技從2001年5月開始進(jìn)行針對DoS攻擊的產(chǎn)品研發(fā)，次年，該公司完成了抗拒絕服務(wù)攻擊的克星—“黑洞Collapasar”的全部研發(fā)工作，并申請了國家發(fā)明專利。

中新金盾

安徽中新軟件有限公司創(chuàng)立于2002年，是集網(wǎng)絡(luò)安全產(chǎn)品、軟硬件開發(fā)的高科技公司。公司針對DDOS 攻擊的產(chǎn)品自主研發(fā)、生產(chǎn)的金盾系列安全產(chǎn)品包括金盾防火墻、金盾抗拒絕服務(wù)系統(tǒng)、流量牽引設(shè)備、信息過濾系統(tǒng)。自創(chuàng)立至今一直在市場上獲得良好、堅(jiān)實(shí)的口碑。

傲盾

傲盾安全網(wǎng)的的知名品牌“傲盾防火墻”是一套全面、創(chuàng)新、高安全性、高性能的網(wǎng)絡(luò)安全系統(tǒng)。傲盾ddos防火墻具有ddos、dos攻擊防御、NAT地址轉(zhuǎn)換功能、特有TCP標(biāo)志位檢測功能，傲盾ddos防火墻具有世界領(lǐng)先的數(shù)據(jù)流指紋檢測技術(shù)、獨(dú)立開發(fā)的高效率系統(tǒng)核心等特點(diǎn)，是國內(nèi)一家可完全抵御ACK、DOS、DDOS、SYN、FLOOD、FATBOY及各種變種如Land，Teardrop，Smurf，Ping of Death，FATBOY等攻擊的安全防御安全產(chǎn)品，致力于為個大企業(yè)、事業(yè)機(jī)關(guān)及網(wǎng)絡(luò)服務(wù)商提供完整的信息安全的解決方案及全面的技術(shù)支持服務(wù)。

冰盾

冰盾抗DDOS防火墻（Bing噸 Anti-DDOS Firewall）來自IT技術(shù)世界一流的美國硅谷，由華人留學(xué)生Mr.BingleWang和Mr.Buick Zhang設(shè)計(jì)開發(fā)，采用國際領(lǐng)先的生物基因鑒別技術(shù)智能識別各種DDOS攻擊和黑客入侵行為，防火墻采用MircroKernel微內(nèi)核和ActiveDefeense主動防御引擎技術(shù)實(shí)現(xiàn)，工作在系統(tǒng)的最底層，充分發(fā)揮CPU的效能，僅耗費(fèi)少許內(nèi)存即獲得驚人的處理效能。經(jīng)高強(qiáng)度攻防實(shí)驗(yàn)測試表明：在抗DDOS攻擊方面，工作于100M網(wǎng)卡冰盾約可抵御每秒25萬個SYN包攻擊，工作于1000M網(wǎng)卡冰盾約可抵御160萬個SYN攻擊包；在防黑客入侵方面，冰盾可智能識別Port掃描、Unicode惡意編碼、SQL注入攻擊、Trojan木馬上傳、Exploit漏洞利用等2000多種黑客入侵行為并自動阻止，是迄今為止在抗DDOS領(lǐng)域功能最為強(qiáng)大的防火墻產(chǎn)品之一。

天鷹

天鷹ddos防火墻天鷹抗DDOS防火墻》：是國內(nèi)目前防御攻擊種類最多、運(yùn)行效率最高的專業(yè)抗DDOS防火墻。獨(dú)有“天鷹網(wǎng)絡(luò)行為分析”專利技術(shù)使得天鷹抗DDOS防火墻完全不同其它同類產(chǎn)品：不僅能夠準(zhǔn)確防御已知的網(wǎng)絡(luò)攻擊，而且還具備防御未知攻擊的能力；出類拔萃的防御能力和運(yùn)行效率，使得天鷹抗DDOS防火墻成為全球最大華人網(wǎng)站《新浪網(wǎng)》、國內(nèi)頂級防黑客技術(shù)網(wǎng)站《黑客防線》、國際知名社區(qū)聊天網(wǎng)站《CamFrog World》等眾多有影響力、遠(yuǎn)見卓識的知名網(wǎng)站的一致選擇。