DDoS攻擊(ji)五花八(ba)門，防(fang)不勝防(fang)，DDoS攻擊(ji)也有多(duo)種途徑，拒絕(jue)服務曾經是一種非常簡單(dan)的攻擊(ji)方式(shi)。如(ru)何保(bao)護自(zi)己的網絡？最(zui)笨的防(fang)御(yu)方法，就是花大(da)價錢買(mai)更大(da)的帶寬。

DDoS攻擊五(wu)花八門，防不勝防，DDoS攻擊也有多種(zhong)途徑(jing)，拒絕服務曾經是一(yi)種(zhong)非常簡單的攻擊方(fang)式(shi)。如何保(bao)護自(zi)己的網絡？最笨(ben)的防御方(fang)法，就是花大(da)價(jia)錢(qian)買(mai)更大(da)的帶寬。

某些主流媒(mei)體的(de)新(xin)聞報(bao)導中提到(dao)了關于美國知(zhi)名銀行(xing)的(de)一些DDoS攻擊事件。這類(lei)攻擊肯定不是新(xin)的(de)，但它們在一定基(ji)礎上不斷地發生(sheng)，這種(zhong)情(qing)況下，就值得我(wo)們注意了，因為這些攻擊顯然都來自同一地區(qu)，并且它們的(de)目標都異常精確。

當然，很多新(xin)聞都純屬炒作，說什么(me)黑客如何對我們(men)的金(jin)融系統進行黑客攻擊(ji)(ji)和網絡攻擊(ji)(ji)的，事實上我們(men)知(zhi)道真正(zheng)的DDoS跟這些攻擊(ji)(ji)還是有很大(da)區(qu)別的。為此(ci)，我們(men)來(lai)了解(jie)一(yi)下DDoS的基本知(zhi)識和應對大(da)規(gui)模攻擊(ji)(ji)的相關配置，這些都很重(zhong)要。

盡管(guan)大型(xing)網站經常(chang)受(shou)到攻擊，并(bing)且(qie)在超(chao)負(fu)荷的(de)(de)負(fu)載下，這(zhe)(zhe)(zhe)些(xie)(xie)公司和網絡(luo)仍然要(yao)竭盡所(suo)能(neng)地去轉(zhuan)移這(zhe)(zhe)(zhe)些(xie)(xie)攻擊，而且(qie)是(shi)(shi)最最重要(yao)是(shi)(shi)要(yao)保持他們(men)(men)的(de)(de)網站能(neng)夠(gou)(gou)正(zheng)常(chang)地瀏覽。即便你管(guan)理(li)的(de)(de)是(shi)(shi)一(yi)(yi)個(ge)小站點，比如小公司或者小型(xing)網站這(zhe)(zhe)(zhe)種規模的(de)(de)網絡(luo)，你仍然不知道什么(me)時候就有人會對你下黑(hei)手。那么(me)截下來，讓(rang)我(wo)(wo)們(men)(men)一(yi)(yi)起來看看DDoS“背后”的(de)(de)一(yi)(yi)些(xie)(xie)細節和攻擊方式，以(yi)便于(yu)我(wo)(wo)們(men)(men)能(neng)夠(gou)(gou)讓(rang)我(wo)(wo)們(men)(men)的(de)(de)網絡(luo)更加地安(an)全。

DDoS攻擊的多種途徑

拒絕服(fu)務曾(ceng)經是一種非(fei)常簡單的(de)(de)攻擊(ji)(ji)方式。有些人(ren)開始在(zai)他(ta)們的(de)(de)電腦上運(yun)行PING命令(ling)，鎖(suo)定目(mu)標地(di)址，讓(rang)其高速運(yun)轉，試圖(tu)向(xiang)另(ling)一端發(fa)送洪水般的(de)(de)ICMP請求(qiu)指令(ling)或者(zhe)數據(ju)包。當然(ran)，因(yin)為這(zhe)邊發(fa)送速度的(de)(de)改變(bian)，攻擊(ji)(ji)者(zhe)需要一個比對方站(zhan)點(dian)更大的(de)(de)帶寬。首先，他(ta)們會搬到有大型主(zhu)機的(de)(de)地(di)方，類似有大學服(fu)務器(qi)或者(zhe)教研(yan)所那樣的(de)(de)大型帶寬的(de)(de)地(di)方，然(ran)后從這(zhe)里發(fa)出攻擊(ji)(ji)。但現代(dai)的(de)(de)僵尸網絡(luo)在(zai)任何情(qing)況下幾乎(hu)都能使(shi)用(yong)，相對來說它的(de)(de)操作更簡單，使(shi)攻擊(ji)(ji)完全(quan)分布開來，顯得更加隱蔽。

事實(shi)(shi)上(shang)，因為惡意軟件的(de)制造者，僵尸(shi)網(wang)絡的(de)運營已經(jing)成(cheng)(cheng)為了一(yi)條鮮明的(de)產業(ye)鏈。實(shi)(shi)際他們已經(jing)開始出(chu)租那些肉機，并且按小時(shi)(shi)收費。如果有人想(xiang)要(yao)搞(gao)垮(kua)一(yi)個網(wang)站，只(zhi)要(yao)給(gei)這(zhe)些攻擊者付(fu)夠(gou)錢，然后就會有成(cheng)(cheng)千上(shang)萬的(de)僵尸(shi)電(dian)腦去(qu)攻擊那個網(wang)站。一(yi)臺受(shou)感(gan)染的(de)電(dian)腦或(huo)許無法把一(yi)個站點搞(gao)垮(kua)，但若是有10000臺以(yi)上(shang)的(de)電(dian)腦同時(shi)(shi)發送請求，它(ta)們會將把未受(shou)保護的(de)服務器“塞滿(man)”。

多種攻擊類型

用PING命令就可(ke)以執行操(cao)作ICMP請求，這個請求非常容(rong)易造成網(wang)絡堵塞。DDoS攻擊可(ke)以通過多(duo)種途徑(jing)來完成，ICMP也只是其中之一。

此外，有(you)一(yi)種Syn攻擊(ji)，發動(dong)這(zhe)種攻擊(ji)時(shi)，實際上(shang)僅僅是打開(kai)了一(yi)個TCP鏈接，之后通常(chang)會連(lian)接到一(yi)個網站上(shang)，但關鍵是，這(zhe)個操作并沒有(you)完(wan)成初始(shi)握手，就離開(kai)了掛靠的服務器。

另一(yi)(yi)種(zhong)聰明(ming)的(de)做法是使用(yong)DNS。有(you)(you)很多網(wang)(wang)絡供(gong)應商都有(you)(you)自(zi)己的(de)DNS服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)，而且(qie)允許任何人進行查詢，甚至有(you)(you)些人都不(bu)是他們的(de)客(ke)戶。并且(qie)一(yi)(yi)般DNS都使用(yong)UDP，UDP是一(yi)(yi)種(zhong)無(wu)連接(jie)(jie)的(de)傳輸層協議。有(you)(you)了(le)以(yi)上(shang)兩(liang)個(ge)(ge)條件作(zuo)為基礎，那些攻(gong)(gong)(gong)(gong)擊者就非(fei)常(chang)容易(yi)發動一(yi)(yi)場拒絕服(fu)(fu)務(wu)攻(gong)(gong)(gong)(gong)擊。所(suo)有(you)(you)攻(gong)(gong)(gong)(gong)擊者要做的(de)就是找到(dao)一(yi)(yi)個(ge)(ge)開放的(de)DNS解析器(qi)(qi)(qi)(qi)，制作(zuo)一(yi)(yi)個(ge)(ge)虛擬(ni)UDP數(shu)據(ju)包并偽造(zao)(zao)一(yi)(yi)個(ge)(ge)地(di)址，對著目標(biao)網(wang)(wang)站(zhan)將其發送到(dao)DNS服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)上(shang)面。當服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)接(jie)(jie)收到(dao)攻(gong)(gong)(gong)(gong)擊者發送的(de)請求(qiu)，將會信以(yi)為真(zhen)，并且(qie)向(xiang)偽造(zao)(zao)地(di)址發送請求(qiu)回(hui)應。事實上(shang)是目標(biao)網(wang)(wang)站(zhan)接(jie)(jie)收了(le)互(hu)聯網(wang)(wang)上(shang)一(yi)(yi)群開放的(de)DNS解析器(qi)(qi)(qi)(qi)的(de)請求(qiu)與(yu)回(hui)復，從而代替了(le)僵尸網(wang)(wang)絡的(de)攻(gong)(gong)(gong)(gong)擊。另外，這類(lei)攻(gong)(gong)(gong)(gong)擊具有(you)(you)非(fei)常(chang)大的(de)伸縮性，因為你可(ke)以(yi)給DNS服(fu)(fu)務(wu)器(qi)(qi)(qi)(qi)發送一(yi)(yi)種(zhong)UDP數(shu)據(ju)包，請求(qiu)某(mou)一(yi)(yi)側的(de)轉存，造(zao)(zao)成一(yi)(yi)個(ge)(ge)大流量的(de)回(hui)應。

如何保護你的網絡

正如你(ni)(ni)所見，DDoS攻擊五(wu)花八門，防不勝防，當你(ni)(ni)想(xiang)建立一(yi)個防御系(xi)統對抗DDoS的(de)時候，你(ni)(ni)需要掌握這些攻擊的(de)變異(yi)形態。

最笨的(de)(de)(de)防御方(fang)法，就是花大(da)價錢買更大(da)的(de)(de)(de)帶寬(kuan)(kuan)。拒(ju)絕服務(wu)就像個游戲(xi)一(yi)樣。如果你(ni)(ni)(ni)使(shi)用10000個系統發送(song)1Mbps的(de)(de)(de)流量，那就意味著你(ni)(ni)(ni)輸送(song)給你(ni)(ni)(ni)的(de)(de)(de)服務(wu)器每秒(miao)鐘10Gb的(de)(de)(de)數(shu)據(ju)流量。這(zhe)就會造成擁堵。這(zhe)種情況下，同樣的(de)(de)(de)規(gui)則適用于正常的(de)(de)(de)冗余(yu)。這(zhe)時(shi)，你(ni)(ni)(ni)就需(xu)要更多(duo)的(de)(de)(de)服務(wu)器，遍布各(ge)地(di)的(de)(de)(de)數(shu)據(ju)中心，和更好的(de)(de)(de)負載均衡(heng)(heng)服務(wu)了(le)。將流量分散到多(duo)個服務(wu)器上，幫助你(ni)(ni)(ni)進行流量均衡(heng)(heng)，更大(da)的(de)(de)(de)帶寬(kuan)(kuan)能夠幫你(ni)(ni)(ni)應對各(ge)種大(da)流量的(de)(de)(de)問(wen)題。但現代的(de)(de)(de)DDoS攻擊(ji)越(yue)來越(yue)瘋(feng)狂，需(xu)要的(de)(de)(de)帶寬(kuan)(kuan)越(yue)來越(yue)大(da)，你(ni)(ni)(ni)的(de)(de)(de)財(cai)政(zheng)狀況根本不允許你(ni)(ni)(ni)投入更多(duo)的(de)(de)(de)資金。另外，絕大(da)多(duo)數(shu)的(de)(de)(de)時(shi)候，你(ni)(ni)(ni)的(de)(de)(de)網站并不是主要攻擊(ji)目標，很多(duo)管理員(yuan)都忘了(le)這(zhe)一(yi)點(dian)。

網(wang)(wang)絡中最(zui)關鍵的(de)(de)一塊就(jiu)是(shi)DNS服(fu)(fu)務(wu)(wu)器(qi)(qi)(qi)。將DNS解(jie)析器(qi)(qi)(qi)處于開放狀(zhuang)(zhuang)態這(zhe)是(shi)絕對不可(ke)取的(de)(de)，你(ni)應當(dang)把(ba)它鎖定(ding)，從而(er)減(jian)少一部分攻(gong)擊風險。但(dan)這(zhe)樣(yang)做了以后(hou)，我們(men)的(de)(de)服(fu)(fu)務(wu)(wu)器(qi)(qi)(qi)就(jiu)安全了嗎？答(da)案當(dang)然(ran)是(shi)否定(ding)的(de)(de)，即使你(ni)的(de)(de)網(wang)(wang)站，沒有(you)一個(ge)可(ke)以鏈接(jie)到你(ni)的(de)(de)DNS服(fu)(fu)務(wu)(wu)器(qi)(qi)(qi)，幫你(ni)解(jie)析域名(ming)，這(zhe)同樣(yang)是(shi)非常糟糕(gao)的(de)(de)事情。大(da)多(duo)數完成注(zhu)冊(ce)的(de)(de)域名(ming)需(xu)要兩個(ge)DNS服(fu)(fu)務(wu)(wu)器(qi)(qi)(qi)，但(dan)這(zhe)遠(yuan)遠(yuan)不夠。你(ni)要確保你(ni)的(de)(de)DNS服(fu)(fu)務(wu)(wu)器(qi)(qi)(qi)以及你(ni)的(de)(de)網(wang)(wang)站和(he)其他(ta)資源都處于負載(zai)均(jun)衡的(de)(de)保護狀(zhuang)(zhuang)態下。你(ni)也可(ke)以使用一些公司提供的(de)(de)冗余DNS。比如，有(you)很多(duo)人使用內容分發網(wang)(wang)絡（分布式(shi)的(de)(de)狀(zhuang)(zhuang)態）給客戶(hu)發送(song)文件(jian)，這(zhe)是(shi)一種很好的(de)(de)抵御DDoS攻(gong)擊的(de)(de)方法。若你(ni)需(xu)要，也有(you)很多(duo)公司提供了這(zhe)種增(zeng)強DNS的(de)(de)保護措(cuo)施。

若是你(ni)(ni)(ni)(ni)自己管理你(ni)(ni)(ni)(ni)的(de)(de)網(wang)(wang)絡(luo)(luo)(luo)和(he)數據，那么就需要著重保(bao)護你(ni)(ni)(ni)(ni)的(de)(de)網(wang)(wang)絡(luo)(luo)(luo)層，要進(jin)行很(hen)(hen)多配(pei)置。首先確保(bao)你(ni)(ni)(ni)(ni)所(suo)有的(de)(de)路(lu)由器都能夠屏蔽垃(la)圾數據包，剔(ti)除掉一些不(bu)(bu)用的(de)(de)協議，比如ICMP這(zhe)種的(de)(de)。然后設置好防火墻。很(hen)(hen)顯(xian)然，你(ni)(ni)(ni)(ni)的(de)(de)網(wang)(wang)站永(yong)遠不(bu)(bu)會讓(rang)(rang)(rang)隨機DNS服(fu)務(wu)(wu)器進(jin)行訪問，所(suo)以(yi)(yi)沒有必要允許UDP 53端(duan)口的(de)(de)數據包通(tong)過你(ni)(ni)(ni)(ni)的(de)(de)服(fu)務(wu)(wu)器。此外，你(ni)(ni)(ni)(ni)可(ke)以(yi)(yi)讓(rang)(rang)(rang)你(ni)(ni)(ni)(ni)的(de)(de)供(gong)應(ying)商幫你(ni)(ni)(ni)(ni)進(jin)行一些邊(bian)界(jie)網(wang)(wang)絡(luo)(luo)(luo)的(de)(de)設置，阻止(zhi)一些沒用的(de)(de)流(liu)量，保(bao)證你(ni)(ni)(ni)(ni)能夠得(de)到(dao)一個(ge)最大的(de)(de)最通(tong)暢的(de)(de)帶(dai)寬(kuan)。很(hen)(hen)多網(wang)(wang)絡(luo)(luo)(luo)供(gong)應(ying)商都給企(qi)業(ye)提供(gong)這(zhe)種服(fu)務(wu)(wu)，你(ni)(ni)(ni)(ni)可(ke)以(yi)(yi)與其網(wang)(wang)絡(luo)(luo)(luo)運營(ying)中心聯系，讓(rang)(rang)(rang)他(ta)們幫你(ni)(ni)(ni)(ni)優化流(liu)量，幫你(ni)(ni)(ni)(ni)監測(ce)一下你(ni)(ni)(ni)(ni)是否到(dao)了攻(gong)擊。

類似Syn的攻擊，也有(you)很多(duo)方法來阻(zu)止(zhi)，比如通過給TCP積壓，減少Syn-Receive定(ding)時器，或者(zhe)使用Syn緩存等等。

最(zui)后(hou)，你還得想(xiang)想(xiang)如何在(zai)(zai)這些(xie)攻(gong)擊到(dao)(dao)達你網站(zhan)前(qian)就將它(ta)們攔截(jie)住。例如，現代(dai)網站(zhan)應用(yong)了(le)許多(duo)動(dong)態(tai)資(zi)源。在(zai)(zai)受到(dao)(dao)攻(gong)擊的(de)(de)時(shi)候其實帶寬(kuan)是比(bi)較容(rong)易掌控的(de)(de)，但(dan)最(zui)終往(wang)往(wang)受到(dao)(dao)損失(shi)的(de)(de)是數據庫或是你運行(xing)的(de)(de)腳本(ben)程序。你可(ke)以考慮使用(yong)緩存(cun)服務器(qi)提供盡(jin)可(ke)能(neng)多(duo)的(de)(de)靜(jing)態(tai)內容(rong)，還要快速用(yong)靜(jing)態(tai)資(zi)源取代(dai)動(dong)態(tai)資(zi)源并確保(bao)檢測系統正常運行(xing)。

最糟糕的(de)一種情況(kuang)就是(shi)你(ni)(ni)(ni)的(de)網絡(luo)或站點完全癱瘓(huan)了，你(ni)(ni)(ni)應(ying)該在攻擊剛剛開(kai)始的(de)時候(hou)就做好預備(bei)方案。因為攻擊一旦開(kai)始，想要(yao)從源頭(tou)阻止DDoS是(shi)非常困難(nan)的(de)。最后，你(ni)(ni)(ni)應(ying)該好好琢磨琢磨如何(he)讓你(ni)(ni)(ni)的(de)基礎建(jian)設(she)更加合理與安全，并且要(yao)著重注意你(ni)(ni)(ni)的(de)網絡(luo)設(she)置。這些都(dou)是(shi)非常重要(yao)的(de)。

文章編輯：CobiNet(寧波)  
本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產超五類，六類,七類線，屏蔽模塊，配線架及相關(guan)模塊(kuai)配件(jian)的研發和生(sheng)產。