DDOS攻擊原理，種類及其防禦

先給大家舉個形象例子便於理解：

我開了一家可容納100人的老陝羊肉泡饃館，由於用料上等，童叟無欺。平時門庭若市，生意特別紅火，而對面二狗家的泡饃館卻無人問津。二狗為了對付我，想了一個辦法，叫了100個人來我泡饃館坐著卻不點菜，讓別的客人無法正常吃飯。

上面這個例子講的就是典型的DDOS攻擊，全程是Distributed  Denial  of  Server，翻譯成中文就是分散式拒絕服務。一般來說是指攻擊者利用“肉雞”對目標網站在較短的時間內發起大量請求，大規模消耗目標網站的主機資源，讓它無法正常服務。線上遊戲，網際網路金融等領域是DDOS攻擊的高發行業。

分散式拒絕服務(DDoS:Distributed Denial of Service)攻擊指藉助於客戶/伺服器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程式安裝在一個計算機上，在一個設定的時間主控程式將與大量代理程式通訊，代理程式已經被安裝在網路上的許多計算機上。代理程式收到指令時就發動攻擊。利用客戶/伺服器技術，主控程式能在幾秒鐘內啟用成百上千次代理程式的執行。

在資訊保安的三要素-----"保密性"、"完整性"和"可用性"中，DoS(Denial of Service)，即拒絕服務攻擊，針對的目標正是"可用性"。該攻擊方式利用目標系統網路服務功能缺陷或者直接消耗其系統資源，使得該目標系統無法提供正常的服務。

DDoS的攻擊方式有很多種，最基本的Dos攻擊就是利用合理的服務請求來佔用過多的服務資源，從而使合法使用者無法得到服務的響應。單一的DoS攻擊一般是採用一對一方式的，當攻擊目標CPU速度低、記憶體小或者網路頻寬小等等各項指標不高的效能，它的效果是明顯的。隨著計算機與網路技術的發展，計算機的處理能力迅速增長，記憶體大大增加，同時也出現了千兆級別的網路，這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少。這時候分散式的拒絕服務攻擊手段(DDoS)就應運而生了。DDoS就是利用更多的傀儡機(又稱“肉雞”)來發起進攻，以比從前更大的規模來進攻受害者。

最常見的DDoS攻擊是利用TCP協議三次握手的缺陷進行的。基於TCP協議的通訊在通訊之前，首先要協商，這個協商過程就是以三次握手實現的。正常情況下，客戶端傳送一個SYN資料包，說明要進行通訊了。伺服器收到該SYN包後，回應一個ACK確認包。客戶端再回應一個確認包。這樣三次握手就協商完成，下面就會正式進行通訊。當駭客要進行DDoS攻擊時，他會操縱很多殭屍主機向被攻擊的伺服器傳送SYN資料包，當伺服器回覆ACK確認包後，殭屍主機不再回應，這樣伺服器就會保持這個半連線的存在進行等待。每一個這樣的半連線都會耗費伺服器的資源，如果有數量極大的半連線，伺服器就會停止正常工作了。

還有一些DDoS攻擊是基於UDP的攻擊。UDP是無連線的協議，倘若伺服器上開放了漏洞埠，傳送大量的無用UDP資料包，可以很快淹沒該伺服器。另外的基於ICMP的DDoS攻擊，也是類似的原理。

DDOS攻擊現象：

1. 1.被攻擊主機上有大量等待的TCP連線；

2. 2.網路中充斥著大量的無用的資料包；

3. 3.源地址為假 製造高流量無用資料，造成網路擁塞，使受害主機無法正常和外界通訊；

4. 4.利用受害主機提供的傳輸協議上的缺陷反覆高速的發出特定的服務請求，使主機無法處理所有正常請求；

5. 5.嚴重時會造成系統當機。

當知道了DDoS攻擊的型別和危害之後，就要有效預防它。不做好預防，等危害已經造成才發現，則未免已經太晚。接下來，以基於TCP的DDoS攻擊的預防為例，簡要闡明。

DDoS攻擊的一大特徵，是突然產生巨大的攻擊流量。藉助流量監控裝置，可以及時發現異常流量的突現。

主流DDoS防禦手段特點

高防機房
高防機房採用的是最為傳統的DDoS防禦方案，透過增加入口頻寬並在機房部署DDoS防護裝置，基於已知的特徵庫，對訪問伺服器的流量進行規則匹配檢測，並依靠網路頻寬進行清洗來實現防禦。

高防機房又分為運營商機房、IDC機房和公有云機房。

高防+IP跳變
隨著網際網路技術的發展，DDoS攻擊變得越來越容易，攻擊的規模也越來越大。對於傳統的高防機房來說，這些意味著更多的網路頻寬和更加高昂的防護費用。
因此，在高防機房的基礎上，部分廠商推出了高防機房+IP跳變的升級方案，這種方案有幾個特點：
1、 端雲結合：透過在客戶端整合SDK，與雲端的分散式的防護節點陣列相結合，共同防禦。
2、 中心排程：在防護節點陣列前，有一個排程中心，統一收集客戶端SDK傳送過來的資料，並根據實時分析結果，動態排程防護節點進行攻擊隔離防禦。
3、 IP跳變：當一個防護節點的IP被攻擊打掉後，排程中心將業務流量排程匯入到下一個IP的防護節點，如此迴圈。當客戶購買的所有節點都被攻擊癱瘓後，則將流量匯入到高防機房防護。
4、 分層隔離降低影響：客戶自己將終端使用者分級，分別對應不同級別的IP地址池，某一個級別的IP遭受攻擊時隻影響本層級的終端使用者，不影響其他級別的使用者。
5、 資源獨享：按照客戶購買的防護節點數量，提供相應規模的防護能力。遊戲廠商購買的防護節點是資源獨享的。

全棧雲化
隨著物聯網的發展，肉雞、殭屍網路和反射型攻擊等攻擊手段的不斷變化發展，網路中的一切裝置都可以被駭客利用，形成一次超大規模的DDoS攻擊。高防+IP跳變的方案在很大程度上可以緩解DDoS攻擊，但卻是以犧牲部分使用者體驗為代價換取。另一方面，這種方案需要高防協同進行防護，始終無法擺脫對防護頻寬的依賴與限制，成本較高。
2017年開始，一種新型的全棧雲化的DDoS防禦方案被提出，這種方案比高防+IP跳變的方案更加智慧，更加主動，理論上對防護流量沒有上限，主要包括以下特點：
1、 無高防：摒棄了高防機房的束縛，不依賴頻寬資源，全程無硬抗環節。
2、 端雲協同：客戶端需要整合SDK，透過SDK與雲端防護節點聯動進行防禦。

相較之前兩種方案，全棧雲化的方案優點非常明顯。

如果你覺得難於理解，那就看過來，這個解答我們結合之前的例子：

高防伺服器

還是拿我開的老陝泡饃館舉例，高防伺服器就是我給泡饃館增加了兩名保安，這兩名保安可以讓保護店鋪不受流氓騷擾，並且還會定期在店鋪周圍巡邏防止流氓騷擾。

高防伺服器主要是指能獨立硬防禦 50Gbps 以上的伺服器，能夠幫助網站拒絕服務攻擊，定期掃描網路主節點等，這東西是不錯，就是貴~（僱人總是要付錢的）。

黑名單

面對泡饃館裡面的流氓，我一怒之下將他們拍照入檔，並禁止他們踏入店鋪，但是有的時候遇到長得像的人也會禁止他進入店鋪。這個就是設定黑名單，此方法秉承的就是“錯殺一千，也不放一百”的原則，缺點是會封鎖正常流量，影響到正常業務。

DDoS 清洗

DDos 清洗，就是我發現客人進店幾分鐘以後，但是一直不點餐，我就把他踢出店裡。

DDoS 清洗會對使用者請求資料進行實時監控，及時發現DOS攻擊等異常流量，在不影響正常業務開展的情況下清洗掉這些異常流量。

CDN加速

CDN 加速，我們可以這麼理解：為了減少流氓騷擾，我乾脆將火鍋店開到了線上，承接外賣服務，這樣流氓找不到店在哪裡，也耍不來流氓了。

在現實中，CDN 服務將網站訪問流量分配到了各個節點中，這樣一方面隱藏網站的真實 IP，另一方面即使遭遇 DDoS 攻擊，也可以將流量分散到各個節點中，防止源站崩潰。

又拍雲安全防護

又拍雲是針對容易遭受大流量 DDoS 攻擊的電商、金融、遊戲等型別的客戶專門推出的付費增值服務。DDoS 高防節點擁有強大的流量攻擊防護能力，並且支援 TCP/UDP 等多種協議，可防護 SYN Flood，ACK Flood 等多種型別的攻擊。使用者接入服務後，防護平臺會識別並將攻擊流量引流至高防節點，確保使用者業務的可持續使用。

DDoS攻擊危害巨大，要及時預防，否則後果不堪設想。難道一定要等到事後救火？我想這不是運維工程師想看到的結果。