网络安全-拒绝服务（DDOS）

什么是拒绝服务攻击(DOS / DDOS)

拒绝服务攻击（英语：denial-of-service attack，简称DoS攻击），是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问。
当黑客使用网络上大量的被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击时，称为分布式拒绝服务攻击（distributed denial-of-service attack，简称DDoS攻击）亦称洪水攻击。

1. DOS: 一台or几台机器发生攻击
2. DDOS：大量的机器，这些机器是分布的，分布在世界各地(前期抓肉鸡，代理)，一瞬间会有大量的访问数据冲击目标服务器

特点

1. 模拟正常用户进行访问
2. 占用大量服务器资源
3. 占用运营商带宽资源，带宽资源耗尽，正常的用户也是没办法访问服务的
   导致无法服务正常用户

攻击手段

TCP半连接

TCP是三次握手，但攻击者只发送一半的请求，服务器就会尝试打开一个连接，告诉对方说已近准备好，可以来连接，但攻击者此时又不连接了。TCP半连接，攻击的时候服务器有很多的半连接在等待占用资源

HTTP连接

走正常的http请求，像一个正常的用户，但服务器服务的容量是有限的，会占用大量的服务器资源

DNS

攻击域名解析服务器。

攻击症状

1. 网络异常缓慢（打开文件或访问网站）
2. 特定网站无法访问
3. 无法访问任何网站
4. 垃圾邮件的数量急剧增加[4]
5. 无线或有线网络连接异常断开
6. 长时间尝试访问网站或任何互联网服务时被拒绝
7. 服务器容易断线、卡顿、访问延迟

防御手段

ddos极难防御但可以做一些有限的防御

防火墙

尝试过滤一些流量，将异常的流量过滤掉。

交换器，路由器

交换器/路由器也能做一部分流量的过滤，虽然不强大，但可以做，可以防御一些规模较小的攻击

流量清洗

当获取到流量时，通过DDoS防御软件的处理，对流量分析，找出攻击者访问的特征，过滤掉异常的访问。将正常流量和恶意流量区分开，正常的流量则回注回客户网站，反之则屏蔽。这样一来站点能够保持正常的运作，仅仅处理真实用户访问网站带来的合法流量。

高仿IP

购买商业服务。云服务厂商提供的服务，当服务受到攻击的时候，云服务厂商给一个高仿的IP。让域名指向这个IP，当用户访问的时候，访问的是这个高仿IP。攻击者也会访问到这个高仿IP。
在这个高仿IP背后有大规模的流量清洗服务。拦截攻击流量。这个高仿IP也会提供非常大的带宽。

DOS攻击预防

1. 避免重逻辑服务
2. 快速失败，快速放回
3. 防雪崩机制
4. 有损服务(允许业务是不正常的，系统中有很多服务组成，当一个服务挂了之后，不影响核心服务)
5. CDN(有一部分的作用，对于静态资源而言，将压力分发给CDN的各个节点，减少服务器的负载。)

参考文档

维基百科 - DDOS