详解DDoS攻击与防御

　　当地时间上周五，巴西世界杯官网遭黑客DDoS攻击，导致网站服务器宕机数小时。据悉，一个名为“Anonymous”的黑客组织实施了这次攻击。360网站安全专家表示，“现在DDoS攻击很简单，任何一个不懂技术的人都可以发起，已经成为网站最大的安全威胁”。这种攻击方式不但是黑客牟利和商业竞争的一种方式，甚至成为网络对抗的重要手段。

　　到底什么是DDoS攻击？DDoS攻击又该如何防御呢？360网站安全专家做了一个简单的介绍。

　　什么是DDoS攻击？

　　DDoS攻击，也就是分布式拒绝服务(Distributed Denial of Service，简称DDoS)，攻击者想办法让目标服务器的磁盘空间、内存、进程、网络带宽等资源被占满，从而导致正常用户无法访问，好比是一个正常的商店，有人恶意找大量人去排队但是不买东西，导致其他顾客也无法买到东西。

　　攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，无法接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

　　攻击者是使用傀儡机(俗称“肉鸡”，受病毒木马操控的计算机或服务器)作为攻击平台，通过大量伪装合法的请求占用大量网络资源，以达到使指定目标的网络或服务瘫痪中断。

　　随着网络攻击手法的进步，攻击者操控的“傀儡机”不只是计算机电脑，还有高性能服务器，甚至还有自愿加入的僵尸网络。

　　本次anonymous组织发动的DDoS攻击，就是利用了僵尸网络。

　　DDoS攻击方式有哪些？

　　DDoS攻击手段上除了洪水型的攻击外，还会有缓慢而坚定地发送请求以长期占用资源，一点一滴的蚕食目标。本次针对巴西世界杯的攻击是洪水流量攻击，从而导致服务器宕机数小时。

　　从技术方面讲，攻击者常用的DDoS攻击方式主要有以下几种：

　　SYN/ACK Flood 攻击：这种攻击方法是经典最有效的DDoS方法，主要是通过向受害主机发送大量伪造源 IP 和源端口的 SYN 或 ACK 包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，可通杀各种系统的网络服务。这种攻击由于源头都是伪造的，所以追踪起来比较困难。但是，该攻击实施起来有一定难度，需要大量高带宽的僵尸主机。

　　TCP 全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的。一般情况下，常规防火墙大多对于正常的 TCP 连接是放过的，但是很多网络服务程序能接受的 TCP 连接数是有限的。TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的 TCP 连接，直到服务器的内存等资源被耗尽而被拖跨， 从而造成拒绝服务。种攻击的特点是可绕过一般防火墙的防护而达到攻击；缺点是需要找很多僵尸主机，且僵尸主机的IP 是暴露，易被追踪。

　　刷 t 脚本攻击：这种攻击是跟服务器建立正常的TCP连接， 并不断的向脚本程序提交查询、 列表等大量耗费数据库资源的调用。一般来说， 提交一个指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是非常大。攻击者只需通过代理向目标服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务。这种攻击的特点是可以完全绕过普通的防火墙防护， 轻松找一些代理就可实施攻击；缺点是对付只有静态页面的网站效果会大打折扣，并且会暴露攻击者的IP地址。

　　DDoS攻击的目的是什么？

　　DDoS攻击只需要通过控制僵尸电脑即可实现，任何熟悉黑客技术的人，都可以针对目标发起攻击，成本很低。所以，不只是黑客或技术人员，普通人也可以雇佣黑客发动。比如，竞争敌手、对网站或单位不满的人，甚至可能是离职员工或撕毁合约的合作伙伴。

　　总之，攻击者通过DDoS攻击大多是为了勒索或竞争，单纯搞破坏的很少。本次针对巴西世界杯的攻击的Anonymous组织，就是表示对巴西的贫困现象、腐败和警方暴力表示抗议而发动DDoS攻击。甚至，他们还制定了一个名为“攻击世界杯行动”的计划。

　　一定有很多网站说：我的网站小，不会引起攻击者注意，这样的思路恐怕是要改一改了。只要建立了网站，都可能遭受攻击。并且，由于规模小的网站由于缺乏专业防护，反而更容易被黑客得手。

　　站长如何防御DDoS攻击？

　　虽然完全杜绝 DDoS是不可能的，但通过适当的措施抵御DDoS攻击是可以做到的。因为DDoS攻击毕竟有成本，若通过适当的办法增强了抵御DDoS 的能力，也就意味着增加了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDoS攻击。因此，站长可以使用360网站卫士等云防护产品进行一键防护。

　　DDoS攻击与防御在不断的攻防博弈中，攻击手段和防护手段都在不断的更新，提前建立完备的安全防御措施是十分必要的。