聊聊Ddos攻击

每日一句：
			永远不要停下学习的脚步
			
			生于忧患，而死于安乐					---《孟子·告子下》
			
本文内容：
			~原理
			~被攻击后的现想
			~防御手段
			~总结

一，原理

	示例：
		我和狗剩同时开了两家饭馆。因为我的经营策略比较到位，导致我的生意比他做的好，
		狗剩心生嫉妒，找了100个混混来捣乱。霸占座位后就点一杯茶。导致正常客人也无
		法就餐，我的店因此营收下降，口碑变差等等。
		
	
	定义：	
		这个示例就简单说清了Ddos。Ddos全称分布式拒绝服务攻击，一般来说是指攻击者利用“肉鸡”对
		目标网站在较短的时间内发起大量请求，大规模消耗目标网站的主机资源，让它无法正常服务。
		在线游戏，互联网金融等领域是DDOS攻击的高发行业。
		
	
	常见原理：
			1，利用TCP的三次握手				
				最常见的DDoS攻击是利用TCP协议三次握手的缺陷进行的。基于TCP协议的通信在通信之前，首先要协商，这个协商过程就是以三次握手实现的。
				正常情况下，客户端发送一个SYN数据包，说明要进行通信了。服务器收到该SYN包后，回应一个ACK确认包。客户端再回应一个确认包。
				这样三次握手就协商完成，下面就会正式进行通信。
				
				当黑客要进行DDoS攻击时，他会操纵很多僵尸主机向被攻击的服务器发送SYN数据包，当服务器回复ACK确认包后，
				僵尸主机不再回应，这样服务器就会保持这个半连接的存在进行等待。每一个这样的半连接都会耗费服务器的资源，
				如果有数量极大的半连接，服务器就会停止正常工作了。
				
			2，基于UDP的攻击。
					UDP是无连接的协议，倘若服务器上开放了漏洞端口，发送大量的无用UDP数据包，
					可以很快淹没该服务器。另外的基于ICMP的DDoS攻击，也是类似的原理。

二，被攻击后的现想

	~被攻击主机上有大量等待的TCP连接；

	~网络中充斥着大量的无用的数据包；

	~源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯；

	~利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求，使主机无法处理所有正常请求；

	~严重时会造成系统死机。
	
	
	
			当知道了DDoS攻击的类型和危害之后，就要有效预防它。
			不做好预防，等危害已经造成才发现，则未免已经太晚。
			接下来，以基于TCP的DDoS攻击的预防为例，简要阐明。



	DDoS攻击的一大特征，是突然产生巨大的攻击流量。借助流量监控设备，可以及时发现异常流量的突现。

三，防护手段

	1，高防机房
			拿上边饭店举例，高防服务器就是我给店增加了两名保安，这两名保安可以让保护店铺不受流氓骚扰，
			并且还会定期在店铺周围巡逻防止流氓骚扰。高防服务器主要是指能独立硬防御 50Gbps 以上的服务器，
			能够帮助网站拒绝服务攻击，定期扫描网络主节点等，这东西是不错，就是贵~（毕竟雇人总是要付钱的）。

	2，黑名单

			面对常来店里的流氓，我一怒之下将他们拍照入档，并禁止他们踏入店铺，
			但是有的时候遇到长得像的人也会禁止他进入店铺。这个就是设置黑名单，
			此方法秉承的就是“错杀一千，也不放一百”的原则，缺点是会封锁正常流量，影响到正常业务。

	3，DDoS 清洗

			DDos 清洗，就是我发现客人进店几分钟以后，但是一直不点餐，我就让服务员把他请出店里。
			DDoS 清洗会对用户请求数据进行实时监控，及时发现DOS攻击等异常流量，在不影响正常业务开展的情况下清洗掉这些异常流量。

	4，CDN加速

			为了减少流氓骚扰，我同时开启了几家分店，分店仅仅从总店运输食品来售卖，自己不制作。这样狗剩的混混就很难找到我的总店。
			混混们费了很大的气力，也许搞瘫痪的也仅仅是一家无关紧要的分店，而我的商业也会正常不受影响的运行。

			在现实中，CDN 服务将网站访问流量分配到了各个节点中，这样一方面隐藏网站的真实 IP，
			另一方面即使遭遇 DDoS 攻击，也可以将流量分散到各个节点中，防止源站崩溃。

四，总结

	ddos就是攻击者用大量肉鸡去恶意访问服务器，导致正常业务无法进行。
	
	常见攻击原理：
			~利用TCP三次握手
			~基于UDP
		
	防护手段：
			~升级本店（即提高带宽，换高性能服务器）
			~雇佣保安（架设高防）
			~开设分店铺（假设cnd）
			~培训服务员（DDos清洗）