在互聯(lián)網(wǎng)中一談起DDOS攻擊，人們往往談虎色變。

DDOS攻擊被認(rèn)為是安全領(lǐng)域最難解決的問題之一，迄今為止也沒有一個完美的解決方案。

各個互聯(lián)網(wǎng)公司都等著5G時代的來臨，等它來臨分物聯(lián)網(wǎng)領(lǐng)域的一份羹。

當(dāng)物聯(lián)網(wǎng)時代真正來臨的時候，網(wǎng)絡(luò)設(shè)備數(shù)量會呈指數(shù)性地增長，對DDOS攻擊的防御確實帶來了一個很大的威脅。

一、DDOS簡介

DDOS又稱為分布式拒絕服務(wù)攻擊，全稱是Distributed Denial os Service。

DDOS本是利用合理的請求造成資源過載，導(dǎo)致服務(wù)不可用。

比如一個停車場總共有100個車位，當(dāng)100個車位都停滿車后，再有車想要停進(jìn)來，就必須等已有的車先出去才行。

如果已有的車一直不出去，那么停車場的入口就會排起長隊，停車場的負(fù)荷過載，不能正常工作了，這種情況就是“拒絕服務(wù)”。

我們的系統(tǒng)就好比是停車場，系統(tǒng)中的資源就是車位，資源是有限的，而服務(wù)必須一直提供下去。

如果資源都已經(jīng)被占用了，那么服務(wù)也將過載，導(dǎo)致系統(tǒng)停止新的響應(yīng)。

分布式拒絕服務(wù)攻擊，將正常請求放大了若干倍，通過若干網(wǎng)絡(luò)節(jié)點同時發(fā)起攻擊，以達(dá)成規(guī)模響應(yīng)。

這些網(wǎng)絡(luò)節(jié)點往往是黑客們所控制的“肉雞”，數(shù)量達(dá)到一定規(guī)模后，就形成了一個“僵尸網(wǎng)絡(luò)”。

大型的僵尸網(wǎng)絡(luò)，甚至達(dá)到了數(shù)萬、數(shù)十萬臺的規(guī)模，如此規(guī)模的僵尸網(wǎng)絡(luò)發(fā)起的DDOS攻擊，幾乎是不可阻擋的。

常見的DDOS攻擊有SYN flood、UDP flood、ICMP flood等。

其中SYN flood是一種最為經(jīng)典的DDOS攻擊，其發(fā)現(xiàn)于1996年，但是至今仍然保持著非常強大的生命力。

SYN flood如此猖獗是因為它利用了TCP協(xié)議設(shè)計中的缺陷，而TCP/IP協(xié)議是整個互聯(lián)網(wǎng)的基礎(chǔ)，牽一發(fā)而動全身，如今想要修復(fù)這樣的缺陷幾乎成為不可能的事情。

在正常情況下，TCP三次握手過程如下：

(1)客戶端向服務(wù)器發(fā)送一個SYN包，包含客戶端使用的端口號和初始序列號x

(2)服務(wù)器端收到客戶端發(fā)送來的SYN包后，向客戶端發(fā)送一個SYN和ACK都置位的TCP報文，包含確認(rèn)號x+1和服務(wù)器端的初始序列號y；

(3)客戶端收到服務(wù)器端返回的SYN+ACK報文后，向服務(wù)器端返回一個確認(rèn)號為y+1、序號為x+1的ACK報文，一個標(biāo)準(zhǔn)的TCP連接完成。

而SYN flood在攻擊時，首先偽造大量的源IP地址，分別向服務(wù)器端發(fā)送大量的SYN包，此時服務(wù)器端會返回SYN/ACK包，因為源地址時偽造的，所以偽造的IP并不會應(yīng)答，服務(wù)器端沒有收到偽造IP的回應(yīng)，會重試3-5次并且等待一個SYN Time(一般為30秒至2分鐘)，如果超時則丟棄這個連接。

攻擊者大量發(fā)送這種偽造源地址的SYN請求，服務(wù)端將會消耗非常多的資源(CPU和內(nèi)存)來處理這種半連接，同時還要不斷地對這些IP進(jìn)行SYN+ACK重試，最后的結(jié)果是服務(wù)器無暇理睬正常的連接請求，導(dǎo)致拒絕服務(wù)。

對抗SYN flood的主要措施有SYN Cookie/SYN Proxy、safereset等算法。

SYN Cookie的主要思想是為每一個IP地址分配一個“Cookie”，并統(tǒng)計每個IP地址的訪問頻率。

如果在短時間內(nèi)收到大量的來自同一個IP地址數(shù)據(jù)包，則認(rèn)為受到攻擊，之后來自這個IP地址的包將被丟棄。

在很多對抗DDOS的產(chǎn)品中，一般會綜合使用各種算法，結(jié)合一些DDOS攻擊的特征，對流量就行清洗，對抗DDOS的網(wǎng)絡(luò)設(shè)備可以串聯(lián)或者并聯(lián)在網(wǎng)絡(luò)出口處。

但是DDOS仍然是業(yè)界的一大難題，當(dāng)攻擊流量超過了網(wǎng)絡(luò)設(shè)備，甚至帶寬的最大負(fù)荷時，網(wǎng)絡(luò)仍將癱瘓。

一般來說，大型網(wǎng)站之所以看起來比較能“抗”DDOS攻擊，是因為大型網(wǎng)站的帶寬比較充足，集群內(nèi)服務(wù)器的數(shù)量也比較多。

但一個集群的資源畢竟是有限的，在實際的攻擊中，DDOS的流量甚至可以達(dá)到數(shù)G到幾十G，遇到這種情況，只能與網(wǎng)絡(luò)運營商合作，共同完成DDOS攻擊的響應(yīng)。

新聞標(biāo)題：什么是DDOS攻擊？
瀏覽地址：http://chinadenli.net/hangye/fwqtg/n8104.html

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)