很多新手站長對DDoS攻擊這一名詞并不陌生，但什么是DDoS攻擊，應(yīng)該怎么防范不太清楚，現(xiàn)在我們用很通俗的語言來給大家解釋一下：

DDoS攻擊其實就是一種利用某種技術(shù)手段將目標(biāo)服務(wù)器與互聯(lián)網(wǎng)連接的所有通道堵死，從而造成服務(wù)器與互聯(lián)網(wǎng)失去聯(lián)系，正常訪問者無法獲取服務(wù)器上的數(shù)據(jù)。我們這樣解釋詳細(xì)很多站長應(yīng)該能看懂！

那么DDoS攻擊怎么防范呢？其實很簡單，任何一個網(wǎng)站服務(wù)器在互聯(lián)網(wǎng)中都有IP地址，而DDoS攻擊需要找到這個IP地址，如果有一種辦法能夠隱藏服務(wù)器真實的IP地址那么DDoS攻擊就失去了真實的目標(biāo)。對于新手站長來說，這就是一種最簡單的DDoS攻擊防范措施了，服務(wù)IP地址怎么隱藏呢？目前在國內(nèi)有幾個比較知名而且免費的網(wǎng)站安全服務(wù)，我們這里介紹較為出名的2個：百度加速樂和360網(wǎng)站衛(wèi)士。

百度加速樂和360網(wǎng)站衛(wèi)士注冊并設(shè)置后，網(wǎng)站的域名將解析到它們所提供的服務(wù)器IP上，自動將網(wǎng)站服務(wù)器上的內(nèi)容緩存到加速樂或360網(wǎng)站衛(wèi)士的服務(wù)器上，用戶瀏覽的時候與之通訊的是它們的服務(wù)器，而真實的網(wǎng)站服務(wù)器及IP是無法直接獲取到的，這樣就實現(xiàn)了真實IP隱藏的效果。（另外這種方式從理論上還可以節(jié)約網(wǎng)站服務(wù)器的帶寬，并且提升網(wǎng)站瀏覽速度）

百度加速樂：http://www.jiasule.com
360網(wǎng)站衛(wèi)士：http://wangzhan.#/

這里腳本之家為大家推薦一個： http://www.powercdn.com/ 國內(nèi)專業(yè)的抗攻擊cdn。

下面這篇文章適合有一定技術(shù)基礎(chǔ)的站長閱讀，此文詳細(xì)介紹了DDoS攻擊的各種方法和高級防范知識：

盡管大型網(wǎng)站經(jīng)常受到攻擊，并且在超負(fù)荷的負(fù)載下，這些公司和網(wǎng)絡(luò)仍然要竭盡所能地去轉(zhuǎn)移這些攻擊，而且是最最重要是要保持他們的網(wǎng)站能夠正常地瀏覽。即便你管理的是一個小站點，比如小公司或者小型網(wǎng)站這種規(guī)模的網(wǎng)絡(luò)，你仍然不知道什么時候就有人會對你下黑手。那么接下來，讓我們一起來看看DDoS”背后”的一些細(xì)節(jié)和攻擊方式，以便于我們能夠讓我們的網(wǎng)絡(luò)更加地安全。

DDoS攻擊的多種途徑

拒絕服務(wù)曾經(jīng)是一種非常簡單的攻擊方式。有些人開始在他們的電腦上運行PING命令，鎖定目標(biāo)地址，讓其高速運轉(zhuǎn)，試圖向另一端發(fā)送洪水般的ICMP請求指令或者數(shù)據(jù)包。當(dāng)然，因為這邊發(fā)送速度的改變，攻擊者需要一個比對方站點更大的帶寬。首先，他們會搬到有大型主機的地方，類似有大學(xué)服務(wù)器或者教研所那樣的大型帶寬的地方，然后從這里發(fā)出攻擊。但現(xiàn)代的僵尸網(wǎng)絡(luò)在任何情況下幾乎都能使用，相對來說它的操作更簡單，使攻擊完全分布開來，顯得更加隱蔽。

實際他們已經(jīng)開始出租那些肉機，并且按小時收費。如果有人想要搞垮一個網(wǎng)站，只要給這些攻擊者付夠錢，然后就會有成千上萬的僵尸電腦去攻擊那個網(wǎng)站。一臺受感染的電腦或許無法把一個站點搞垮，但若是有10000臺以上的電腦同時發(fā)送請求，它們會將把未受保護的服務(wù)器”塞滿”。

多種攻擊類型

用PING命令就可以執(zhí)行操作ICMP請求，這個請求非常容易造成網(wǎng)絡(luò)堵塞。DDoS攻擊可以通過多種途徑來完成，ICMP也只是其中之一。

此外，有一種Syn攻擊，發(fā)動這種攻擊時，實際上僅僅是打開了一個TCP鏈接，之后通常會連接到一個網(wǎng)站上，但關(guān)鍵是，這個操作并沒有完成初始握手，就離開了掛靠的服務(wù)器。

另一種聰明的做法是使用DNS。有很多網(wǎng)絡(luò)供應(yīng)商都有自己的DNS服務(wù)器，而且允許任何人進行查詢，甚至有些人都不是他們的客戶。并且一般DNS都使用UDP，UDP是一種無連接的傳輸層協(xié)議。有了以上兩個條件作為基礎(chǔ)，那些攻擊者就非常容易發(fā)動一場拒絕服務(wù)攻擊。所有攻擊者要做的就是找到一個開放的DNS解析器，制作一個虛擬UDP數(shù)據(jù)包并偽造一個地址，對著目標(biāo)網(wǎng)站將其發(fā)送到DNS服務(wù)器上面。當(dāng)服務(wù)器接收到攻擊者發(fā)送的請求，將會信以為真，并且向偽造地址發(fā)送請求回應(yīng)。事實上是目標(biāo)網(wǎng)站接收了互聯(lián)網(wǎng)上一群開放的DNS解析器的請求與回復(fù)，從而代替了僵尸網(wǎng)絡(luò)的攻擊。另外，這類攻擊具有非常大的伸縮性，因為你可以給DNS服務(wù)器發(fā)送一種UDP數(shù)據(jù)包，請求某一側(cè)的轉(zhuǎn)存，造成一個大流量的回應(yīng)。

如何保護你的網(wǎng)絡(luò)

正如你所見，DDoS攻擊五花八門，防不勝防，當(dāng)你想建立一個防御系統(tǒng)對抗DDoS的時候，你需要掌握這些攻擊的變異形態(tài)。

最笨的防御方法，就是花大價錢買更大的帶寬。拒絕服務(wù)就像個游戲一樣。如果你使用10000個系統(tǒng)發(fā)送1Mbps的流量，那就意味著你輸送給你的服務(wù)器每秒鐘10Gb的數(shù)據(jù)流量。這就會造成擁堵。這種情況下，同樣的規(guī)則適用于正常的冗余。這時，你就需要更多的服務(wù)器，遍布各地的數(shù)據(jù)中心，和更好的負(fù)載均衡服務(wù)了。將流量分散到多個服務(wù)器上，幫助你進行流量均衡，更大的帶寬能夠幫你應(yīng)對各種大流量的問題。但現(xiàn)代的DDoS攻擊越來越瘋狂，需要的帶寬越來越大，你的財政狀況根本不允許你投入更多的資金。另外，絕大多數(shù)的時候，你的網(wǎng)站并不是主要攻擊目標(biāo)，很多管理員都忘了這一點。

網(wǎng)絡(luò)中最關(guān)鍵的一塊就是DNS服務(wù)器。將DNS解析器處于開放狀態(tài)這是絕對不可取的，你應(yīng)當(dāng)把它鎖定，從而減少一部分攻擊風(fēng)險。但這樣做了以后，我們的服務(wù)器就安全了嗎？答案當(dāng)然是否定的，即使你的網(wǎng)站，沒有一個可以鏈接到你的DNS服務(wù)器，幫你解析域名，這同樣是非常糟糕的事情。大多數(shù)完成注冊的域名需要兩個DNS服務(wù)器，但這遠(yuǎn)遠(yuǎn)不夠。你要確保你的DNS服務(wù)器以及你的網(wǎng)站和其他資源都處于負(fù)載均衡的保護狀態(tài)下。你也可以使用一些公司提供的冗余DNS。比如，有很多人使用內(nèi)容分發(fā)網(wǎng)絡(luò)(分布式的狀態(tài))給客戶發(fā)送文件，這是一種很好的抵御DDoS攻擊的方法。若你需要，也有很多公司提供了這種增強DNS的保護措施。

若是你自己管理你的網(wǎng)絡(luò)和數(shù)據(jù)，那么就需要著重保護你的網(wǎng)絡(luò)層，要進行很多配置。首先確保你所有的路由器都能夠屏蔽垃圾數(shù)據(jù)包，剔除掉一些不用的協(xié)議，比如ICMP這種的。然后設(shè)置好防火墻。很顯然，你的網(wǎng)站永遠(yuǎn)不會讓隨機DNS服務(wù)器進行訪問，所以沒有必要允許UDP 53端口的數(shù)據(jù)包通過你的服務(wù)器。此外，你可以讓你的供應(yīng)商幫你進行一些邊界網(wǎng)絡(luò)的設(shè)置，阻止一些沒用的流量，保證你能夠得到一個最大的最通暢的帶寬。很多網(wǎng)絡(luò)供應(yīng)商都給企業(yè)提供這種服務(wù)，你可以與其網(wǎng)絡(luò)運營中心聯(lián)系，讓他們幫你優(yōu)化流量，幫你監(jiān)測一下你是否到了攻擊。

類似Syn的攻擊，也有很多方法來阻止，比如通過給TCP積壓，減少Syn-Receive定時器，或者使用Syn緩存等等。

最后，你還得想想如何在這些攻擊到達你網(wǎng)站前就將它們攔截住。例如，現(xiàn)代網(wǎng)站應(yīng)用了許多動態(tài)資源。在受到攻擊的時候其實帶寬是比較容易掌控的，但最終往往受到損失的是數(shù)據(jù)庫或是你運行的腳本程序。你可以考慮使用緩存服務(wù)器提供盡可能多的靜態(tài)內(nèi)容，還要快速用靜態(tài)資源取代動態(tài)資源并確保檢測系統(tǒng)正常運行。

最糟糕的一種情況就是你的網(wǎng)絡(luò)或站點完全癱瘓了，你應(yīng)該在攻擊剛剛開始的時候就做好預(yù)備方案。因為攻擊一旦開始，想要從源頭阻止DDoS是非常困難的。最后，你應(yīng)該好好琢磨琢磨如何讓你的基礎(chǔ)建設(shè)更加合理與安全，并且要著重注意你的網(wǎng)絡(luò)設(shè)置。這些都是非常重要的。

最新評論