互聯(lián)網(wǎng)快速發(fā)展，網(wǎng)絡(luò)安全問題更加突出，網(wǎng)絡(luò)攻擊的方式也越來越多樣，DDos攻擊因其難以防范、難以追蹤成為最難解決的網(wǎng)絡(luò)安全問題之一，給網(wǎng)絡(luò)社會帶來了極大的危害，本期我們就來剖析一下“DDos攻擊”，看看它該怎么防。

什么是DDos攻擊？

DDos（分布式拒絕服務(wù)攻擊）是指處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動攻擊，或者一個(gè)攻擊者控制了位于不同位置的多臺機(jī)器并利用這些機(jī)器對受害者同時(shí)實(shí)施攻擊。

通俗一些來講就類似于，兩家存在競爭關(guān)系的店鋪 ，其中一家A因?yàn)橛J覦另一家B的生意紅火而想出的一種“人肉”戰(zhàn)術(shù)，他們通過控制或雇傭一些人員去到B店鋪中，擾亂其正常的營業(yè)活動，這些人只需要在店鋪中閑逛或者與營業(yè)員閑聊，占著集體資源卻并不促成交易，使真正想要進(jìn)入店鋪消費(fèi)的客戶無地可進(jìn)或者無法得到相應(yīng)的服務(wù)從而導(dǎo)致客戶流失。

其中A雇傭的員工就是DDos攻擊中被控制的目標(biāo)也是俗稱的“肉雞”。而互聯(lián)網(wǎng)進(jìn)程的加快，“肉雞”的品種也不只有PC和服務(wù)器，凡是能夠聯(lián)網(wǎng)的設(shè)備都有可能成為肉雞，比如手機(jī)、智能音響、ip攝像機(jī)、路由器、工控主機(jī)等這些都可能成為DDos攻擊中被控制的肉雞。

DDos攻擊的目的

類似于兩家店鋪為了用戶和利益相互競爭一樣，發(fā)動DDos攻擊的一般是競爭對手或者黑客。前者是為了妨礙受害者的正常人員流動及交易活動，意在對店鋪的聲譽(yù)進(jìn)行摧毀、打擊；而后者目的是通過消耗或占用受攻擊者的服務(wù)器資源和網(wǎng)絡(luò)帶寬，使其不堪負(fù)荷，停止正常服務(wù)，或者以此來掩蓋其他更重要的安全漏洞，從而從受害者手中獲得一定的經(jīng)濟(jì)利益。

DDos攻擊現(xiàn)象

那么，當(dāng)我們遇到什么樣的表現(xiàn)就能證明服務(wù)器在遭受DDos攻擊呢？它們往往會有以下特征：

1、主機(jī)出現(xiàn)大量等待中的TCP連接，CPU和內(nèi)存占用率出現(xiàn)明顯增長。

2、網(wǎng)絡(luò)和設(shè)備正常的情況下，服務(wù)器無法與外界聯(lián)系，如出現(xiàn)“連接斷開、訪問卡頓、用戶掉線”等情況。

3、嚴(yán)重時(shí)會造成系統(tǒng)宕機(jī)。

4、網(wǎng)絡(luò)的出方向或入方向流量出現(xiàn)明顯增長。

5、業(yè)務(wù)網(wǎng)站或應(yīng)用程序突然出現(xiàn)大量來源不明的訪問。

DDos攻擊的危害

1、重大經(jīng)濟(jì)損失

服務(wù)器遭受DDos攻擊后，可能會導(dǎo)致用戶無法訪問我們的業(yè)務(wù)，從而失去業(yè)務(wù)往來的能力，造成巨大的經(jīng)濟(jì)損失。

2、信譽(yù)損失

業(yè)務(wù)網(wǎng)站、服務(wù)器無法訪問會造成用戶體驗(yàn)差、用戶投訴等問題，從而導(dǎo)致潛在的用戶流失，現(xiàn)有的客戶也可能會重新評估平臺安全性、穩(wěn)定性，會對企業(yè)的形象和聲譽(yù)造成不小的影響，更會影響到新的銷售機(jī)會。

3、數(shù)據(jù)泄露

攻擊者利用DDos攻擊為掩護(hù)，在維護(hù)人員將全部精力放在抗DDos上時(shí)，他們會利用其他漏洞更加輕易地獲取企業(yè)的核心數(shù)據(jù)，造成重要信息泄漏。

如何防御DDos攻擊

DDos一定程度上是攻防雙方財(cái)力的比拼，DDos防護(hù)措施可以大幅提高攻擊成本，但是發(fā)起攻擊的成本仍然遠(yuǎn)低于防護(hù)成本。雖然很難完全杜絕DDos攻擊的發(fā)生，但下面一些有效的做法可以幫助您有效的減少被DDos攻擊概率和風(fēng)險(xiǎn)損失。

1、系統(tǒng)加固。定期掃描漏洞安裝補(bǔ)丁，關(guān)閉不必要的端口和服務(wù)，可以有效減少被入侵風(fēng)險(xiǎn)。

2、充足的網(wǎng)絡(luò)帶寬和采用高性能的網(wǎng)絡(luò)設(shè)備。DDos攻擊主要是通過消耗網(wǎng)絡(luò)資源中斷設(shè)備運(yùn)行，擴(kuò)展充足的帶寬，選用大品牌、口碑好的路由器、交換機(jī)、硬件防火墻等設(shè)備也能一定程度減少攻擊影響，目前部分主流品牌的設(shè)備也具備一定的防DDos功能。

3、接入高防產(chǎn)品能夠有效抵御DDos攻擊。企業(yè)可以按照自身防護(hù)需求、網(wǎng)絡(luò)環(huán)境來選擇合適的高防產(chǎn)品，如高防服務(wù)器、高防CDN。

4、隱藏服務(wù)器的真實(shí)IP地址。通過隱藏源IP，使攻擊者無法直接攻擊到源服務(wù)器，可有效保護(hù)網(wǎng)站安全。