上周咱們深入分析了云服務(wù)器的配置問題，好了，現(xiàn)在手上有了云服務(wù)器之后，我們又不得不提它：DDOS攻擊。這是所有運(yùn)維者的心頭痛，也是任何公司聽聞后都將心驚膽戰(zhàn)的強(qiáng)大對手。下面我們將用淺顯易懂的方式講述什么叫DDOS攻擊。

　　DDOS攻擊形象比喻

　　某飯店可以容納100人同時就餐，某日有個商家惡意競爭，雇傭了200人來這個飯店坐著不吃不喝，導(dǎo)致飯店滿滿當(dāng)當(dāng)無法正常營業(yè)。（DDOS攻擊成功）

　　老板當(dāng)即大怒，派人把不吃不喝影響正常營業(yè)的人全都轟了出去，且不再讓他們進(jìn)來搗亂，飯店恢復(fù)了正常營業(yè)。（添加規(guī)則和黑名單進(jìn)行DDOS防御，防御成功）

　　主動攻擊的商家心存不滿，這次請了五千人逐批次來搗亂，導(dǎo)致該飯店再次無法正常營業(yè)。（增加DDOS流量，改變攻擊方式）

　　飯店把那些搗亂的人轟出去后，另一批接踵而來。此時老板將飯店營業(yè)規(guī)模擴(kuò)大，該飯店可同時容納1萬人就餐，5000人同時來搗亂飯店營業(yè)也不會受到影響。（增加硬防與其抗衡）

　　DDOS是Distributed Denial of Service的縮寫，翻譯成中文是“分布式拒絕服務(wù)“攻擊，網(wǎng)絡(luò)中的DDOS攻擊與防御與上面例子所述差不多，DDOS只不過是一個概稱，其下有各種攻 擊方式，比如“CC攻擊、SYN攻擊、NTP攻擊、TCP攻擊、DNS攻擊等等”，現(xiàn)在DDOS發(fā)展變得越來越可怕，NTP攻擊漸漸成為主流了，這意味著 可以將每秒的攻擊流量放大幾百倍，比如每秒1G的SYN碎片攻擊換成NTP放大攻擊，就成為了200G或者更多。

　　每秒200G的攻擊意味著什么？

　　家庭用戶直接掉線或死機(jī)。

　　瞬間癱瘓騰訊網(wǎng)、迅雷看看官網(wǎng)等大型網(wǎng)站。

　　可以讓QQ或YY大面積掉線且無法登錄。

　　可以瞬間癱瘓360內(nèi)容分發(fā)網(wǎng)絡(luò)（俗稱CDN），讓大量網(wǎng)站無法訪問。

　　重大DDOS攻擊案例

　　2000年2月，包括雅虎、CNN、亞馬遜、eBay、ZDNet，以及E*Trade和Datek等網(wǎng)站均遭受到了DDOS攻擊，并致使部分網(wǎng)站癱瘓。

　　2007年5月，愛沙尼亞三周內(nèi)遭遇三輪DDOS攻擊, 總統(tǒng)府、議會、幾乎全部政府部門、主要政黨、主要媒體和2家大銀行和通訊公司的網(wǎng)站均陷入癱瘓，為此北約頂級反網(wǎng)絡(luò)恐怖主義專家前往該國救援。

　　2009年519斷網(wǎng)事件導(dǎo)致南方六省運(yùn)營商服務(wù)器全部崩潰，電信在南方六省的網(wǎng)絡(luò)基本癱瘓。

　　2009年7月，韓國主要網(wǎng)站三天內(nèi)遭遇三輪猛烈的DDOS攻擊，韓國宣布提前成立網(wǎng)絡(luò)司令部。

　　最近比較著名的案例有：全球三大游戲平臺：暴雪戰(zhàn)網(wǎng)、Valve Steam和EA Origin遭到大規(guī)模DDoS攻擊，致使大批玩家無法登錄與進(jìn)行游戲。隨后名為DERP的黑客組織聲稱對此次大規(guī)模的DDoS攻擊行動負(fù)責(zé)。

　　企業(yè)對于DDOS攻擊的防護(hù)

　　1、主機(jī)與系統(tǒng)層面上：

　　關(guān)閉不必要的服務(wù)和端口；

　　限制同一時間內(nèi)打開的syn半連接數(shù)目；

　　縮短syn半連接超時時間；

　　系統(tǒng)設(shè)置防火墻iptables，ipsec等策略；

　　不要在服務(wù)器上安裝破解類程序，所有軟件必須來源于官網(wǎng)；

　　及時安裝官方系統(tǒng)更新的安全補(bǔ)丁。

　　2、程序?qū)用?#xff1a;

　　安全的架構(gòu)設(shè)計；安全的編碼；安全測試；安裝服務(wù)器相應(yīng)的防護(hù)軟件

　　（比如安全狗、云鎖、360網(wǎng)站衛(wèi)士之類的）

　　3、網(wǎng)絡(luò)設(shè)備層面上（路由和防火墻）：

　　禁止對主機(jī)非開放服務(wù)的訪問；

　　限制同時間內(nèi)打開的syn最大連接數(shù)；

　　限定特定ip地址的訪問，過濾未使用的保留ip地址段；

　　啟用防火墻防DDOS屬性或者購買DDOS硬防設(shè)備；

　　（小鳥云遼寧高防節(jié)點：最低硬防20G，最高可達(dá)300Gbps）

　　嚴(yán)格限制對外開放服務(wù)器的對外訪問；

　　CEF和UnicastReverse_path設(shè)置，減少偽造ip攻擊的危害；

　　4.非技術(shù)因素上的防護(hù)：

　　培養(yǎng)安全意識，警惕社會工程學(xué)的攻擊；

　　建立安全責(zé)任制度。

轉(zhuǎn)載于:https://www.cnblogs.com/lirunzhou/p/5911314.html

新人創(chuàng)作打卡挑戰(zhàn)賽發(fā)博客就能抽獎！定制產(chǎn)品紅包拿不停！

總結(jié)

以上是生活随笔為你收集整理的《从入门到精通云服务器》－4的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。