什么是ddos流量攻击？ddos流量攻击的原理，如何防

ddos流量攻击是什么？相信做网站的朋友一点也不陌生，其实简单通俗来讲，ddos攻击是利用带宽的流量来攻击服务器以及网站。ddos是英文distributed denial of service的缩写，意即“分布式拒绝服务”，那么什么又是拒绝服务（denial of service）呢？可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。分布式拒绝服务攻击一旦被实施，攻击网络包就会从很多dos攻击源(俗称肉鸡)犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的ddos攻击手段有syn flood、ack flood、udp flood、icmp flood、tcp flood、connections flood、script flood、proxy flood等。

举个例子，服务器目前带宽是100m，突然从外边来了200m的带宽流量进来，那么服务器根本承 载不了这个200m的带宽流量，服务器的网络瞬间就会瘫痪，导致服务器无法连接，甚至导致服 务器里的网站都无法打开，因为200m的带宽流量，已经占满了整个服务器的100m带宽。

再举一个更贴切于生活的例子：一家饭店，正常情况下最多能承载100个人吃饭，因为同行竞争， 对面饭店老板雇佣了200个社会小混混去饭店吃饭，导致饭店满客，无法再接纳正常的客人来饭 店吃饭了。这就是ddos攻击，利用流量去占满服务器的带宽，导致没有多余的带宽来提供用户 的网站访问。

ddos流量攻击分很多种，有udp-flood流量攻击，tcp-flood流量攻击，icmp-flood流量攻 击，tcp/upd/icmp分片式流量攻击，syn-flood流量攻击，ack-flood流量攻击，zerowin dow攻击，ssl-flood攻击，sslkeyrenego攻击，dns反射性放大流量攻击，nts反射， ntp反射,snmp反射，ssdp反射，chargen反射。

udp-flood是属于udp协议中的一种流量攻击，攻击特征是伪造大量的真实ip并发送小数量的数 据包对要攻击的服务器进行发送，只要服务器开启udp的端口就会受到流量攻击。如何防御这种 流量攻击，对udp的包数据大小进行设置，严格把控发送的数据包大小，超过一定值的数据包进 行丢弃，再一个防御的方法是只有建立了tcp链接的ip，才能发送udp包，否则直接屏蔽该ip。

icmp是利用icmp协议对服务器进行ping的攻击，放大icmp的长度，以及数据包的字节对服务器 进行攻击。tcp-flood攻击是一种使用tcp三次握手协议的一种方式来进行的攻击，攻击特种是伪 造大量的真实ip去连接要攻击的服务器，导致服务器无法承载更多的tcp连接而导致服务器瘫痪。

syn-flood是利用syn协议，客户端协议上发送syn数据，服务器接收到并响应syn以及ack反映 ，攻击者利用这个方式去模拟大量的客户连接发送数据包，导致服务器瘫痪。

ack-flood的攻击跟上面这个syn的攻击差不多，都是同样采用发送数据包到服务器端去，攻击者 利用ack数据包进行攻击，只要服务器接受ack的包，那么就会造成ack连接过多导致服务器资源 耗尽，服务器没有多余的资源来接收ack的包，服务器就无法打开了。

ssl-flood是利用客户端不断的与ssl通道握手，ssl的资源比普通的用户访问http网站消耗的资 源还要多，会多出几十倍，配置低的服务器根本无法承载ssl的多次请求与握手，导致服务器 的cpu占用到百分之90，没有多余的cpu去处理用户的访问。ssl流量攻击如何防御：禁用 renegotiating的安全机制来防御大量的ssl流量攻击。

反射放大性流量攻击

反射性的攻击，不管是dns反射还是ntp反射，都是使用的udp协议攻击，udp协议里访问用 户发送请求的数据包到服务器，服务器再反馈给用户端，那么用户端发送到服务器里的请求数 据包里，用户的ip可以进行伪造，可以伪造成服务器的ip，服务器ip发送数据包到服务器ip里 ，这样就造成了反射攻击。

dns反射攻击也是一样的道理，利用dns服务器的解析进行攻击，伪造要攻击的服务器ip，进行 dns查询，并查询到dns服务器里，dns服务器返回数据包到要攻击的服务器ip中去，一来一去 形成了反射流量攻击。

目前而言，黑客甚至对攻击进行明码标价，打1g的流量到一个网站一小时，只需50块钱。ddos的成本如此之低，而且攻击了也没人管。

1. syn flood：利用tcp协议的原理，这种攻击方法是经典最有效的ddos方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源ip和源端口的syn或ack 包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务。tcp通道在建立以前，需要三次握手：a. 客户端发送一个包含syn标志的tcp报文， 同步报文指明客户端所需要的端口号和tcp连接的初始序列号b. 服务器收到syn报文之后，返回一个syn+ ack报文，表示客户端请求被接受，tcp初始序列号加1c.客户端也返回一个确认报文ack给服务器，同样tcp序列号加1d. 如果服务器端没有收到客户端的确认报文ack，则处于等待状态，将该客户ip加入等待队列，然后轮训发送syn+ack报文所以攻击者可以通过伪造大量的tcp握手请求，耗尽服务器端的资源。

2. http flood：针对系统的每个web页面，或者资源，或者rest api，用大量肉鸡，发送大量http request。这种攻击主要是针对存在asp、jsp、php、cgi等脚本程序，并调用mssqlserver、mysqlserver、oracle等数据库的网站系统而设计的，特征是和服务器建立正常的tcp连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。缺点是对付只有静态页面的网站效果会大打折扣。

3. 慢速攻击：http协议中规定，httprequest以\r\n\r\n结尾来表示客户端发送结束。攻击者打开一个http 1.1的连接，将connection设置为keep-alive， 保持和服务器的tcp长连接。然后始终不发送\r\n\r\n， 每隔几分钟写入一些无意义的数据流， 拖死机器。

4. p2p攻击：每当网络上出现一个热门事件，比如xx门， 精心制作一个种子， 里面包含正确的文件下载， 同时也包括攻击目标服务器的ip。这样，当很多人下载的时候， 会无意中发起对目标服务器的tcp连接。

被攻击应对方法

syn类攻击判断：a.cpu占用很高；b.网络连接状态：netstat –na,若观察到大量的syn_received的连接状态；c.网线插上后，服务器立即凝固无法操作，拔出后有时可以恢复，有时候需要重新启动机器才可恢复。2.cc类攻击判断：a.网站出现service unavailable提示；b.cpu占用率很高；c.网络连接状态：netstat –na,若观察到大量的established的连接状态 单个ip高达几十条甚至上百条；d.用户无法访问网站页面或打开过程非常缓慢,软重启后短期内恢复正常,几分钟后又无法访问。3.udp类攻击判断：a.观察网卡状况 每秒接受大量的数据包；b.网络状态：netstat –na tcp信息正常。4.tcp洪水攻击判断：a.cpu占用很高；b.netstat –na,若观察到大量的established的连接状态 单个ip高达几十条甚至上百条

1. 过滤不必要的服务和端口：可以使用inexpress、express、forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假ip。比如cisco公司的cef(cisco express forwarding)可以针对封包source ip和routing table做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，例如www服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

2. 异常流量的清洗过滤：通过ddos硬件防火墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包。

3. 分布式集群防御：这是目前网络安全界防御大规模ddos攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个ip地址（负载均衡），并且每个节点能承受不低于10g的ddos攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。

4. 高防智能dns解析：高智能dns解析系统与ddos防御系统的完美结合，为企业提供对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法，智能根据用户的上网路线将dns解析请求解析到用户所属网络的服务器。同时智能dns解析系统还有宕机检测功能，随时可将瘫痪的服务器ip智能更换成正常服务器ip，为企业的网络保持一个永不宕机的服务状态。

ddos攻击的网络流量清洗

当发生ddos攻击时，网络监控系统会侦测到网络流量的异常变化并发出报警。在系统自动检测或人工判断之后，可以识别出被攻击的虚拟机公网ip地址。这时，可调用系统的防ddos攻击功能接口，启动对相关被攻击ip的流量清洗。流量清洗设备会立即接管对该ip地址的所有数据包，并将攻击数据包清洗掉，仅将正常的数据包转发给随后的网络设备。这样，就能保证整个网络正常的流量通行，而将ddos流量拒之门外。采用云ddos清洗方式，可以为企业用户带来诸多好处。其表现在不仅可以提升综合防护能力，用户能够按需付费，可弹性扩展，而且还能够基于大数据来分析预测攻击，同时能够免费升级。对于企业用户来说，则可实现零运维、零改造。

cc攻击（challenge collapsar）是ddos（分布式拒绝服务）的一种，前身名为fatboy攻击，也是一种常见的网站攻击方法。攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。相比其它的ddos攻击cc似乎更有技术含量一些。这种攻击你见不到真实源ip，见不到特别大的异常流量，但造成服务器无法进行正常连接。最让站长们忧虑的是这种攻击技术含量低，利用更换ip代理工具和一些ip代理一个初、中级的电脑水平的用户就能够实施攻击。

1. 利用session做访问计数器：利用session针对每个ip做页面访问计数器或文件下载计数器，防止用户对某个页面频繁刷新导致数据库频繁读取或频繁下载某个文件而产生大额流量。（文件下载不要直接使用下载地址，才能在服务端代码中做cc攻击的过滤处理）

2. 把网站做成静态页面：大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给骇客入侵带来不少麻烦，至少到现在为止关于html的溢出还没出现，看看吧！新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器。

3. 增强操作系统的tcp/ip栈win2000和win2003作为服务器操作系统，本身就具备一定的抵抗ddos攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个syn攻击包，若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧！《强化 tcp/ip 堆栈安全》。也许有的人会问，那我用的是linux和freebsd怎么办？很简单，按照这篇文章去做吧！《syn cookies》。

4. 在存在多站的服务器上，严格限制每一个站允许的ip连接数和cpu使用时间，这是一个很有效的方法。cc的防御要从代码做起，其实一个好的页面代码都应该注意这些东西，还有sql注入，不光是一个入侵工具，更是一个ddos缺口，大家都应该在代码中注意。举个例子吧，某服务器，开动了5000线的cc攻击，没有一点反应，因为它所有的访问数据库请求都必须一个随机参数在session里面，全是静态页面，没有效果。突然发现它有一个请求会和外面的服务器联系获得，需要较长的时间，而且没有什么认证，开800线攻击，服务器马上满负荷了。代码层的防御需要从点点滴滴做起，一个脚本代码的错误，可能带来的是整个站的影响，甚至是整个服务器的影响!

5. 服务器前端加cdn中转(免费的有百度云加速、360网站卫士、加速乐、安全宝等)，如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实ip，域名解析使用cdn的ip，所有解析的子域名都使用cdn的ip地址。此外，服务器上部署的其他域名也不能使用真实ip解析，全部都使用cdn来解析。 另外，防止服务器对外传送信息泄漏ip地址，最常见的情况是，服务器不要使用发送邮件功能，因为邮件头会泄漏服务器的ip地址。如果非要发送邮件，可以通过第三方代理(例如sendcloud)发送，这样对外显示的ip是代理的ip地址。 总之，只要服务器的真实ip不泄露，10g以下小流量ddos的预防花不了多少钱，免费的cdn就可以应付得了。如果攻击流量超过20g，那么免费的cdn可能就顶不住了，需要购买一个高防的盾机来应付了，而服务器的真实ip同样需要隐藏

waf（web application firewall）的中文名称叫做“web应用防火墙”，利用国际上公认的一种说法，waf的定义是这样的：web应用防火墙是通过执行一系列针对http/https的安全策略来专门为web应用提供保护的一款产品。通过从上面对waf的定义中，我们可以很清晰的了解到，waf是一种工作在应用层的、通过特定的安全策略来专门为web应用提供安全防护的产品。

根据不同的分类方法，waf可分为许多种。从产品形态上来划分，waf主要分为以下三大类：

1.硬件设备类：目前安全市场上，大多数的waf都属于此类。它们以一个独立的硬件设备的形态存在，支持以多种方式（如透明桥接模式、旁路模式、反向代理等）部署到网络中为后端的web应用提供安全防护。相对于软件产品类的waf，这类产品的优点是性能好、功能全面、支持多种模式部署等，但它的价格通常比较贵。国内的绿盟、安恒、启明星辰等厂商生产的waf都属于此类。

2.软件产品类：这种类型的waf采用纯软件的方式实现，特点是安装简单，容易使用，成本低。但它的缺点也是显而易见的，因为它必须安装在web应用服务器上，除了性能受到限制外，还可能会存在兼容性、安全等问题。这类waf的代表有modsecurity、naxsi、网站安全狗等。

3.基于云的waf：随着云计算技术的快速发展，使得其于云的waf实现成为可能。国内创新工场旗下的安全宝、360的网站宝是这类waf的典型代表。它的优点是快速部署、零维护、成本低。对于中、小型的企业和个人站长是很有吸引力的。

1. 卢瓦(loic) (low orbit ion canon)：lotc是一个最受欢迎的dos攻击工具。 这个工具被去年流行的黑客集团匿名者用于对许多大公司的网络攻击。它可以通过使用单个用户执行dos攻击小型服务器，工具非常易于使用，即便你是一个初学者。 这个工具执行dos攻击通过发送udp,tcp或http请求到受害者服务器。 你只需要知道服务器的ip地址或url，其他的就交给这个工具吧。2. xoic：xoic是另一个不错的dos攻击工具。它根据用户选择的端口与协议执行dos攻击任何服务器。xoic开发者还声称xoic比上面的loic在很多方面更强大呢。3. r-u-dead-yet：r-u-dead-yet是一个http post dos攻击工具。它执行一个dos攻击长表单字段，通过post方法提交。这个工具提供了一个交互式控制台菜单，检测给定的url,并允许用户选择哪些表格和字段应用于post-based dos攻击。4. owasp dos http post：这是另外一个很好的工具。您可以使用这个工具来检查您的web服务器能否够捍卫得住别人的dos攻击。当然，不仅对防御，它也可以用来执行dos攻击哦。5. davoset：davoset是另一个很好的执行ddos攻击工具。 最新版本的工具新增支持cookie以及许多其他功能。

更多关于防御流量攻击的文章请继续关注数据吧