我們現在來分析DDOS的攻擊原理。

??? 首先，DDOS是英文Distributed Denial of Service的縮寫，意思是分布式拒絕服務。拒絕服務又是什么意思呢？就是采取一些垃圾數據包來阻塞網站的網絡通道，導致讓網站不能正常訪問。分布式服 務拒絕攻擊就是用一臺主服務器來控制N臺肉雞來對目標服務器進行服務拒絕攻擊的方式

我們現在來講講被DDOS攻擊的癥狀。

??? 首先是網站如果打不開的話，可以嘗試著用3389連接一下服務器看看，然后還可以用PING命令來測試，再一種方式就是用telnet來登錄80端口看看，看會不會出現黑屏。如果這些方式測試都連接不上的話，那就說明受到DDOS攻擊了。
然后如果除了80端口之外的其他端口連接都正常，PING命令測試也正常，但就是80端口訪問不了，然后看看IIS是否正常，可以把80端口改成其他端口測試，如果可以正常訪問，那就說明很可能受到CC攻擊。

那現在我們再來詳細講講幾種流行的DDOS攻擊方式

SYN/ACK Flood攻擊

??? 這種攻擊方法是經典最有效的DDOS方法，通殺各種系統的網絡服務，主要是通過向受害主機發送大量偽造源IP和源端口的SYN或ACK包，導致主機的緩存 資源被耗盡或忙于發送回應包而造成拒絕服務，由于源都是偽造的故追蹤起來比較困難，缺點是實施起來有一定難度，需要高帶寬的僵尸主機支持。
少量的 這種攻擊會導致主機服務器無法訪問，但卻可以Ping的通，在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，并會出現系統凝固現象，即不響應鍵 盤和鼠標。普通防火墻大多無法抵御此種攻擊。

TCP全連接攻擊

??? 這是第二種攻擊方式,這種攻擊是為了繞過常規防火墻的檢查而設計的，一般情況下，常規防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力， 但對于正常的TCP連接是放過的。殊不知很多WEB服務程序能接受的TCP連接數是有限的，一旦有大量的TCP連接，即便是正常的，也會導致網站訪問非常 緩慢甚至無法訪問。
TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務器建立大量的TCP連接，直到服務器的內存等資源被耗盡而被拖跨，從而 造成拒絕服務。這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的，缺點是需要找很多僵尸主機，并且由于僵尸主機的IP是暴露的，因此容易被追蹤

CC攻擊
??? 現在來講第三種攻擊方式，這種攻擊方式實質上是針對ASP,PHP,JSP等腳本程序，并調用MSSQLServer、MySQLServer、 Oracle等數據庫的網站系統而設計的。特征是和服務器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用，典型的以 小博大的攻擊方法。
??? 一般來說，提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的，而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種 處理過程對資源的耗費是很大的，常見的數據庫服務器很少能支持數百個查詢指令同時執行，而這對于客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy 代理向主機服務器大量遞交查詢指令，只需數分鐘就會把服務器資源消耗掉而導致拒絕服務，常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接數據庫失 敗、數據庫主程序占用CPU偏高。
??? 這種攻擊的特點是可以完全繞過普通的防火墻防護，輕松找一些Proxy代理就可實施攻擊，缺點是對付只有靜態頁面的網站效果會大打折扣，并且有些Proxy會暴露攻擊者的IP地址

剛才我們講了幾種目前用得比較多的DDOS攻擊方式，那我們現在怎么來防御DDOS攻擊呢？

??? 對付DDOS是一個系統工程，想僅僅依靠某種系統或產品防住DDOS是不現實的，可以肯定的是，完全杜絕DDOS目前是不可能的。但通過適當的措施抵御 90%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當的辦法增強了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本， 那么絕大多數攻擊者將無法繼續下去而放棄，也就相當于成功的抵御了DDOS攻擊。

第一種方式就是采用高性能的網絡設備

??? 首先要保證網絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系 或協議的話就更好了，當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

第二種方式是充足的網絡帶寬

??? 網絡帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現在的SYNFlood攻擊。當前至少要選擇100M的共享 帶寬，最好的當然是掛在1000M的主干上了，但需要注意的是，主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的，若把它接在100M的交換 機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網絡服務商很可能會在交換機上限制實際帶寬為10M，這 點一定要搞清楚。

第三種方式就是安裝專業的抗DDOS防火墻

???? 比如冰盾專業抗DDOS防火墻。冰盾防火墻來自IT技術世界一流的美國硅谷，由華人留學生Mr.Bingle Wang和Mr.Buick Zhang設計開發，采用國際領先的生物基因鑒別技術智能識別各種DDOS攻擊和黑客入侵行為，防火墻采用微內核技術實現，工作在系統的最底層，充分發揮 CPU的效能，僅耗費少許內存即獲得驚人的處理效能。經高強度攻防試驗測試表明：在抗DDOS攻擊方面，工作于100M網卡冰盾約可抵御每秒25萬個 SYN包攻擊，工作于1000M網卡冰盾約可抵御160萬個SYN攻擊包；在防黑客入侵方面，冰盾可智能識別Port掃描、Unicode惡意編碼、 SQL注入攻擊、Trojan木馬上傳、Exploit漏洞利用等2000多種黑客入侵行為并自動阻止。

轉載于:https://www.cnblogs.com/tonykan/p/3438558.html

總結

以上是生活随笔為你收集整理的DDOS的攻击原理和防护指南的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。