上周咱們深入分析了云服務(wù)器的配置問(wèn)題，好了，現(xiàn)在手上有了云服務(wù)器之后，我們又不得不提它：DDOS攻擊。這是所有運(yùn)維者的心頭痛，也是任何公司聽(tīng)聞后都將心驚膽戰(zhàn)的強(qiáng)大對(duì)手。下面我們將用淺顯易懂的方式講述什么叫DDOS攻擊。

　　DDOS攻擊形象比喻

　　某飯店可以容納100人同時(shí)就餐，某日有個(gè)商家惡意競(jìng)爭(zhēng)，雇傭了200人來(lái)這個(gè)飯店坐著不吃不喝，導(dǎo)致飯店滿(mǎn)滿(mǎn)當(dāng)當(dāng)無(wú)法正常營(yíng)業(yè)。（DDOS攻擊成功）

　　老板當(dāng)即大怒，派人把不吃不喝影響正常營(yíng)業(yè)的人全都轟了出去，且不再讓他們進(jìn)來(lái)?yè)v亂，飯店恢復(fù)了正常營(yíng)業(yè)。（添加規(guī)則和黑名單進(jìn)行DDOS防御，防御成功）

　　主動(dòng)攻擊的商家心存不滿(mǎn)，這次請(qǐng)了五千人逐批次來(lái)?yè)v亂，導(dǎo)致該飯店再次無(wú)法正常營(yíng)業(yè)。（增加DDOS流量，改變攻擊方式）

　　飯店把那些搗亂的人轟出去后，另一批接踵而來(lái)。此時(shí)老板將飯店?duì)I業(yè)規(guī)模擴(kuò)大，該飯店可同時(shí)容納1萬(wàn)人就餐，5000人同時(shí)來(lái)?yè)v亂飯店?duì)I業(yè)也不會(huì)受到影響。（增加硬防與其抗衡）

　　DDOS是Distributed Denial of Service的縮寫(xiě)，翻譯成中文是“分布式拒絕服務(wù)“攻擊，網(wǎng)絡(luò)中的DDOS攻擊與防御與上面例子所述差不多，DDOS只不過(guò)是一個(gè)概稱(chēng)，其下有各種攻擊方式，比如“CC攻擊、SYN攻擊、NTP攻擊、TCP攻擊、DNS攻擊等等”，現(xiàn)在DDOS發(fā)展變得越來(lái)越可怕，NTP攻擊漸漸成為主流了，這意味著可以將每秒的攻擊流量放大幾百倍，比如每秒1G的SYN碎片攻擊換成NTP放大攻擊，就成為了200G或者更多。

　　每秒200G的攻擊意味著什么？

　　家庭用戶(hù)直接掉線或死機(jī)。

　　瞬間癱瘓騰訊網(wǎng)、迅雷看看官網(wǎng)等大型網(wǎng)站。

　　可以讓QQ或YY大面積掉線且無(wú)法登錄。

　　可以瞬間癱瘓360內(nèi)容分發(fā)網(wǎng)絡(luò)（俗稱(chēng)CDN），讓大量網(wǎng)站無(wú)法訪問(wèn)。

　　重大DDOS攻擊案例

　　2000年2月，包括雅虎、CNN、亞馬遜、eBay、ZDNet，以及E*Trade和Datek等網(wǎng)站均遭受到了DDOS攻擊，并致使部分網(wǎng)站癱瘓。

　　2007年5月，愛(ài)沙尼亞三周內(nèi)遭遇三輪DDOS攻擊, 總統(tǒng)府、議會(huì)、幾乎全部政府部門(mén)、主要政黨、主要媒體和2家大銀行和通訊公司的網(wǎng)站均陷入癱瘓，為此北約頂級(jí)反網(wǎng)絡(luò)恐怖主義專(zhuān)家前往該國(guó)救援。

　　2009年519斷網(wǎng)事件導(dǎo)致南方六省運(yùn)營(yíng)商服務(wù)器全部崩潰，電信在南方六省的網(wǎng)絡(luò)基本癱瘓。

　　2009年7月，韓國(guó)主要網(wǎng)站三天內(nèi)遭遇三輪猛烈的DDOS攻擊，韓國(guó)宣布提前成立網(wǎng)絡(luò)司令部。

　　最近比較著名的案例有：全球三大游戲平臺(tái)：暴雪戰(zhàn)網(wǎng)、Valve Steam和EA Origin遭到大規(guī)模DDoS攻擊，致使大批玩家無(wú)法登錄與進(jìn)行游戲。隨后名為DERP的黑客組織聲稱(chēng)對(duì)此次大規(guī)模的DDoS攻擊行動(dòng)負(fù)責(zé)。

　　企業(yè)對(duì)于DDOS攻擊的防護(hù)

　　1、主機(jī)與系統(tǒng)層面上：

　　關(guān)閉不必要的服務(wù)和端口；

　　限制同一時(shí)間內(nèi)打開(kāi)的syn半連接數(shù)目；

　　縮短syn半連接超時(shí)時(shí)間；

　　系統(tǒng)設(shè)置防火墻iptables，ipsec等策略；

　　不要在服務(wù)器上安裝破解類(lèi)程序，所有軟件必須來(lái)源于官網(wǎng)；

　　及時(shí)安裝官方系統(tǒng)更新的安全補(bǔ)丁。

　　2、程序?qū)用妫?/p>

　　安全的架構(gòu)設(shè)計(jì)；安全的編碼；安全測(cè)試；安裝服務(wù)器相應(yīng)的防護(hù)軟件

　　（比如安全狗、云鎖、360網(wǎng)站衛(wèi)士之類(lèi)的）

　　3、網(wǎng)絡(luò)設(shè)備層面上（路由和防火墻）：

　　禁止對(duì)主機(jī)非開(kāi)放服務(wù)的訪問(wèn)；

　　限制同時(shí)間內(nèi)打開(kāi)的syn最大連接數(shù)；

　　限定特定ip地址的訪問(wèn)，過(guò)濾未使用的保留ip地址段；

　　啟用防火墻防DDOS屬性或者購(gòu)買(mǎi)DDOS硬防設(shè)備；

　　（小鳥(niǎo)云遼寧高防節(jié)點(diǎn)：最低硬防20G，最高可達(dá)300Gbps）

　　嚴(yán)格限制對(duì)外開(kāi)放服務(wù)器的對(duì)外訪問(wèn)；

　　CEF和UnicastReverse_path設(shè)置，減少偽造ip攻擊的危害；

　　4.非技術(shù)因素上的防護(hù)：

　　培養(yǎng)安全意識(shí)，警惕社會(huì)工程學(xué)的攻擊；

　　建立安全責(zé)任制度。

總結(jié)

以上是生活随笔為你收集整理的【转】《从入门到精通云服务器》第四讲—DDOS攻击的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。