隨著互聯網與信息技術的發展，所有人都在享受互聯網帶來的舒適和便利。如今，無論是個人社交行為，還是商業活動都早已離不開互聯網。

但是，網絡空間在創造機遇的同時，也帶來了威脅。隨著企業價值、知名度的提高、官方網站、線上交易平臺、使用者登入頁面皆為攻擊者之首選目標，而最常見的攻擊手法就是 DDoS 。DDoS 攻擊讓許多廠商與企業感到束手無策的同時，還遭受了巨大的損失。而且通過這些年的發展，DDoS 攻擊手法還變得越來越多元且難以防范，它已經成為不同組織和個人的攻擊形式之一，用于網絡中的勒索、報復，甚至網絡戰爭。

本篇文章就帶大家認識一下常見的 DDoS 攻擊手法，以及遇到攻擊后要如何進行防御應變。

什么是 DDoS 攻擊？

DDoS 攻擊全名為 Distributed Denial-of-Service Attack，又稱為分布式拒絕服務攻擊，是舊時 DoS 攻擊（Denial-of-Service Attack，拒絕服務攻擊）的擴大版，其目的是以各種攻擊手法，讓網絡系統的功能癱瘓或資源耗盡，迫使網頁或服務器中斷服務，導致正常的用戶無法使用網頁功能和使用服務。

早期的電腦不如今日發達，只要攻擊方電腦性能高于被攻擊方，一對一的 DoS 攻擊很容易達到目的。現如今很多大型企業具備較強的服務提供能力，所以應付單個請求的攻擊已經不是問題。

既然一打一行不通了，那就群毆。攻擊者會組織很多同伙，同時提出服務請求，直到服務無法訪問，這也就是名稱中“分布式”的由來。但是，在現實中，一般的攻擊者無法組織各地伙伴協同“作戰”，所以會使用“僵尸網絡”來控制眾多計算機進行攻擊。

僵尸網絡感染了惡意軟件的計算機，以及其它可聯網資源，例如 IoT 設備。這些僵尸主機接收攻擊者控制命令，從而構建出一只數量龐大的僵尸主機（Bot）軍隊，同時間對同一目標發動特定類型攻擊，將被攻擊者的網絡資源及系統資源耗盡，導致無法為真正的用戶提供服務。這也是名稱中“阻止服務”的由來。

因為僵尸主機的數量很大而且分布廣泛，又都是合法的網絡設備，因此很難將攻擊流量與正常流量分開，其危害程度和防御難度都很大。

上圖是每年雙十一淘寶服務器癱瘓的新聞。眾多用戶使用服務造成的流量洪峰，某種角度來說等同于一次大型的 DDoS 攻擊。

如何識別 DDoS 攻擊

DDoS 攻擊最明顯的特征就是站點或服務突然變慢或不可用。但是，實際業務中，由于多種原因（如業務流量的合理激增，例如游戲文件更新）也會造成類似的性能問題，因此通常需要進一步確認。以下是 DDoS 攻擊的一些明顯跡象：

• 來自單個 IP 地址或 IP 范圍的可疑訪問；

• 對單個頁面或接口的請求數量激增；

• 不尋常的流量模式，例如一天中在凌晨突然出現流量高峰，或某種不符合業務的流量高峰（例如，每 10 分鐘出現一次高峰）

DDoS 攻擊還有其它更具體的跡象，具體取決于攻擊的類型。

DDoS 的攻擊方式

帶寬消耗型攻擊

通過傳送大量無效、或惡意放大流量的數據請求，堵塞被攻擊的服務器帶寬，使其達到飽和狀態，讓正常用戶無法進入，甚至造成網頁宕機癱瘓，達到拒絕服務的目的。

像是常見的 UDP 洪水攻擊（即發送用戶數據報協議的大包或小包）、ICMP 洪水攻擊（即發送大量 ICMP 相關報文）；生成超過 IP 協議中規定的最大的數據長度，導致系統宕機的死亡之 Ping，皆屬于此類。

資源消耗型攻擊

有別于帶寬消耗型的 DDoS 攻擊，資源消耗型攻擊是讓被攻擊方的服務器不斷進行反復的無效運作，導致網頁資源被耗盡，無法再響應正常用戶的請求，從而達到拒絕服務的目的。

這種類型的典型 DDoS 攻擊手法，如 SYN 洪水攻擊。我們都知道創建 TCP 連接需要客戶端與服務器進行三次交互，也就是常說的“三次握手”。而這個信息通常被保存在服務器連接表結構中，但是表的大小有限，當超過存儲量時，服務器就無法創建新的 TCP 連接。

而 SYN 洪水攻擊就表現為，對服務器提出建立 TCP 握手請求后故意切斷網絡，讓服務器持續發出請求并等待回復，從而導致服務器資源不斷消耗。甚至更進一步，如果將 SYN 洪水攻擊中發起請求的 IP 來源，設定為被攻擊服務器的 IP 地址，就會讓服務器不斷的自我響應，直到資源耗盡，這就是常見的 LAND 攻擊手法。

除此之外，還有利用大量服務器對被攻擊方提出模擬 HTTP 正常請求的 CC 攻擊、網路僵尸攻擊等等，都是以耗盡服務器資源為目標的攻擊手段。

應用攻擊

近些年，Web 技術發展非常迅速，因此也誕生了應用攻擊。即攻擊者不斷地向 Web 服務器惡意發送大量 HTTP 請求，利用 Web 應用已經提供的一些接口，來對網站的后臺數據庫進行增、刪、改、查的操作。由于這種操作是由計算機來完成，計算機巨大的計算能力常常伴隨產生極恐怖的破壞力。一旦 Web 服務受到這種攻擊，就會對其承載的業務造成致命的影響。

DDoS 的防御方式

DDoS 攻擊之所以難以防御，是因為 DDoS 的攻擊會用看似正常的需求進行包裝，加上難以追蹤攻擊來源，也是 DDoS 處理起來棘手的原因。

不過我們仍然可以利用下面的 3 個處理方向，來加強系統的 DDoS 防御：

- 加強防火墻的通行規則

通過設置高性能的防火墻，來限制異常 IP 發出的請求，降低大量無效數據占用帶寬或損耗資源的可能性，加強篩選機制、阻斷 DDoS 攻擊的效果。

- 提升服務器的性能、規格

提升服務器的性能，當遭受 DDoS 攻擊時可爭取多一點的緩沖時間，在不讓服務癱瘓的狀況下，及時針對攻擊模式制定應對的 DDoS 防御手段，將傷害減至最低。

- 使用具備 DDoS 防御的系統

像是 DDoS 流量清洗機制，可以將流量導入清洗系統中，把異常的流量來源過濾、剔除，又或是服務器本身具備防御一定數量的無效數據包，以及設定合理的同時連線數量等，讓 DDoS 攻擊無功而返。

- 尋找專業高防服務團隊

由于傳統設備無法抵御大流量的 DDoS 攻擊，通過配置云端高防系統的方式也逐漸受到了客戶的青睞。又拍云 DDoS 高防 IP 服務是針對互聯網業務在遭受大流量 DDoS 攻擊后業務癱瘓，而提供的高等級流量防護服務。直接將高防 IP 服務部署在源站服務器前，幫助業務服務器站抵御來自內外部的流量攻擊。

客戶將業務接入高防 IP 后，源服務器的所有公網流量將引流至高防機房，高防 IP 平臺的異常流量檢測系統會實時對流量進行智能識別和分析，將攻擊流量引流至高防節點，隱藏源站，以確保用戶源站穩定可靠運行。

高防 IP 可以防御的有包括但不限于以下類型：SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、Ping Sweep 等攻擊。

又拍云高防 IP 服務提供在線 SaaS 的服務接入方式，異地多節點多線路防護，單點防御 1T，全網總防御能力近 3T，支持 BGP 、電信、聯通、移動等多條線路，可以有效防御 SYN Flood、ACK Flood、UDP Flood、HTTP Flood、CC 攻擊等，為客戶提供穩定、安全的訪問體驗。

總結

以上是生活随笔為你收集整理的白话科普系列——双十一，竟然是一场有“预谋”的DDoS攻击？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。