在互聯(lián)網(wǎng)中一談起DDOS攻擊，人們往往談虎色變。

DDOS攻擊被認(rèn)為是安全領(lǐng)域最難解決的問(wèn)題之一，迄今為止也沒(méi)有一個(gè)完美的解決方案。

各個(gè)互聯(lián)網(wǎng)公司都等著5G時(shí)代的來(lái)臨，等它來(lái)臨分物聯(lián)網(wǎng)領(lǐng)域的一份羹。

當(dāng)物聯(lián)網(wǎng)時(shí)代真正來(lái)臨的時(shí)候，網(wǎng)絡(luò)設(shè)備數(shù)量會(huì)呈指數(shù)性地增長(zhǎng)，對(duì)DDOS攻擊的防御確實(shí)帶來(lái)了一個(gè)很大的威脅。

一、DDOS簡(jiǎn)介

DDOS又稱為分布式拒絕服務(wù)攻擊，全稱是Distributed Denial os Service。

DDOS本是利用合理的請(qǐng)求造成資源過(guò)載，導(dǎo)致服務(wù)不可用。

比如一個(gè)停車場(chǎng)總共有100個(gè)車位，當(dāng)100個(gè)車位都停滿車后，再有車想要停進(jìn)來(lái)，就必須等已有的車先出去才行。

如果已有的車一直不出去，那么停車場(chǎng)的入口就會(huì)排起長(zhǎng)隊(duì)，停車場(chǎng)的負(fù)荷過(guò)載，不能正常工作了，這種情況就是“拒絕服務(wù)”。

我們的系統(tǒng)就好比是停車場(chǎng)，系統(tǒng)中的資源就是車位，資源是有限的，而服務(wù)必須一直提供下去。

如果資源都已經(jīng)被占用了，那么服務(wù)也將過(guò)載，導(dǎo)致系統(tǒng)停止新的響應(yīng)。

分布式拒絕服務(wù)攻擊，將正常請(qǐng)求放大了若干倍，通過(guò)若干網(wǎng)絡(luò)節(jié)點(diǎn)同時(shí)發(fā)起攻擊，以達(dá)成規(guī)模響應(yīng)。

這些網(wǎng)絡(luò)節(jié)點(diǎn)往往是黑客們所控制的“肉雞”，數(shù)量達(dá)到一定規(guī)模后，就形成了一個(gè)“僵尸網(wǎng)絡(luò)”。

大型的僵尸網(wǎng)絡(luò)，甚至達(dá)到了數(shù)萬(wàn)、數(shù)十萬(wàn)臺(tái)的規(guī)模，如此規(guī)模的僵尸網(wǎng)絡(luò)發(fā)起的DDOS攻擊，幾乎是不可阻擋的。

常見(jiàn)的DDOS攻擊有SYN flood、UDP flood、ICMP flood等。

其中SYN flood是一種最為經(jīng)典的DDOS攻擊，其發(fā)現(xiàn)于1996年，但是至今仍然保持著非常強(qiáng)大的生命力。

SYN flood如此猖獗是因?yàn)樗昧薚CP協(xié)議設(shè)計(jì)中的缺陷，而TCP/IP協(xié)議是整個(gè)互聯(lián)網(wǎng)的基礎(chǔ)，牽一發(fā)而動(dòng)全身，如今想要修復(fù)這樣的缺陷幾乎成為不可能的事情。

在正常情況下，TCP三次握手過(guò)程如下：

(1)客戶端向服務(wù)器發(fā)送一個(gè)SYN包，包含客戶端使用的端口號(hào)和初始序列號(hào)x

(2)服務(wù)器端收到客戶端發(fā)送來(lái)的SYN包后，向客戶端發(fā)送一個(gè)SYN和ACK都置位的TCP報(bào)文，包含確認(rèn)號(hào)x+1和服務(wù)器端的初始序列號(hào)y；

(3)客戶端收到服務(wù)器端返回的SYN+ACK報(bào)文后，向服務(wù)器端返回一個(gè)確認(rèn)號(hào)為y+1、序號(hào)為x+1的ACK報(bào)文，一個(gè)標(biāo)準(zhǔn)的TCP連接完成。

而SYN flood在攻擊時(shí)，首先偽造大量的源IP地址，分別向服務(wù)器端發(fā)送大量的SYN包，此時(shí)服務(wù)器端會(huì)返回SYN/ACK包，因?yàn)樵吹刂窌r(shí)偽造的，所以偽造的IP并不會(huì)應(yīng)答，服務(wù)器端沒(méi)有收到偽造IP的回應(yīng)，會(huì)重試3-5次并且等待一個(gè)SYN Time(一般為30秒至2分鐘)，如果超時(shí)則丟棄這個(gè)連接。

攻擊者大量發(fā)送這種偽造源地址的SYN請(qǐng)求，服務(wù)端將會(huì)消耗非常多的資源(CPU和內(nèi)存)來(lái)處理這種半連接，同時(shí)還要不斷地對(duì)這些IP進(jìn)行SYN+ACK重試，最后的結(jié)果是服務(wù)器無(wú)暇理睬正常的連接請(qǐng)求，導(dǎo)致拒絕服務(wù)。

對(duì)抗SYN flood的主要措施有SYN Cookie/SYN Proxy、safereset等算法。

SYN Cookie的主要思想是為每一個(gè)IP地址分配一個(gè)“Cookie”，并統(tǒng)計(jì)每個(gè)IP地址的訪問(wèn)頻率。

如果在短時(shí)間內(nèi)收到大量的來(lái)自同一個(gè)IP地址數(shù)據(jù)包，則認(rèn)為受到攻擊，之后來(lái)自這個(gè)IP地址的包將被丟棄。

在很多對(duì)抗DDOS的產(chǎn)品中，一般會(huì)綜合使用各種算法，結(jié)合一些DDOS攻擊的特征，對(duì)流量就行清洗，對(duì)抗DDOS的網(wǎng)絡(luò)設(shè)備可以串聯(lián)或者并聯(lián)在網(wǎng)絡(luò)出口處。

但是DDOS仍然是業(yè)界的一大難題，當(dāng)攻擊流量超過(guò)了網(wǎng)絡(luò)設(shè)備，甚至帶寬的最大負(fù)荷時(shí)，網(wǎng)絡(luò)仍將癱瘓。

一般來(lái)說(shuō)，大型網(wǎng)站之所以看起來(lái)比較能“抗”DDOS攻擊，是因?yàn)榇笮途W(wǎng)站的帶寬比較充足，集群內(nèi)服務(wù)器的數(shù)量也比較多。

但一個(gè)集群的資源畢竟是有限的，在實(shí)際的攻擊中，DDOS的流量甚至可以達(dá)到數(shù)G到幾十G，遇到這種情況，只能與網(wǎng)絡(luò)運(yùn)營(yíng)商合作，共同完成DDOS攻擊的響應(yīng)。

新聞標(biāo)題：什么是DDOS攻擊？
瀏覽地址：http://www.muchs.cn/hangye/fwqtg/n8104.html

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)