在互聯網中一談起DDOS攻擊，人們往往談虎色變。

DDOS攻擊被認為是安全領域最難解決的問題之一，迄今為止也沒有一個完美的解決方案。

各個互聯網公司都等著5G時代的來臨，等它來臨分物聯網領域的一份羹。

當物聯網時代真正來臨的時候，網絡設備數量會呈指數性地增長，對DDOS攻擊的防御確實帶來了一個很大的威脅。

一、DDOS簡介

DDOS又稱為分布式拒絕服務攻擊，全稱是Distributed Denial os Service。

DDOS本是利用合理的請求造成資源過載，導致服務不可用。

比如一個停車場總共有100個車位，當100個車位都停滿車后，再有車想要停進來，就必須等已有的車先出去才行。

如果已有的車一直不出去，那么停車場的入口就會排起長隊，停車場的負荷過載，不能正常工作了，這種情況就是“拒絕服務”。

我們的系統(tǒng)就好比是停車場，系統(tǒng)中的資源就是車位，資源是有限的，而服務必須一直提供下去。

如果資源都已經被占用了，那么服務也將過載，導致系統(tǒng)停止新的響應。

分布式拒絕服務攻擊，將正常請求放大了若干倍，通過若干網絡節(jié)點同時發(fā)起攻擊，以達成規(guī)模響應。

這些網絡節(jié)點往往是黑客們所控制的“肉雞”，數量達到一定規(guī)模后，就形成了一個“僵尸網絡”。

大型的僵尸網絡，甚至達到了數萬、數十萬臺的規(guī)模，如此規(guī)模的僵尸網絡發(fā)起的DDOS攻擊，幾乎是不可阻擋的。

常見的DDOS攻擊有SYN flood、UDP flood、ICMP flood等。

其中SYN flood是一種最為經典的DDOS攻擊，其發(fā)現于1996年，但是至今仍然保持著非常強大的生命力。

SYN flood如此猖獗是因為它利用了TCP協(xié)議設計中的缺陷，而TCP/IP協(xié)議是整個互聯網的基礎，牽一發(fā)而動全身，如今想要修復這樣的缺陷幾乎成為不可能的事情。

在正常情況下，TCP三次握手過程如下：

(1)客戶端向服務器發(fā)送一個SYN包，包含客戶端使用的端口號和初始序列號x

(2)服務器端收到客戶端發(fā)送來的SYN包后，向客戶端發(fā)送一個SYN和ACK都置位的TCP報文，包含確認號x+1和服務器端的初始序列號y；

(3)客戶端收到服務器端返回的SYN+ACK報文后，向服務器端返回一個確認號為y+1、序號為x+1的ACK報文，一個標準的TCP連接完成。

而SYN flood在攻擊時，首先偽造大量的源IP地址，分別向服務器端發(fā)送大量的SYN包，此時服務器端會返回SYN/ACK包，因為源地址時偽造的，所以偽造的IP并不會應答，服務器端沒有收到偽造IP的回應，會重試3-5次并且等待一個SYN Time(一般為30秒至2分鐘)，如果超時則丟棄這個連接。

攻擊者大量發(fā)送這種偽造源地址的SYN請求，服務端將會消耗非常多的資源(CPU和內存)來處理這種半連接，同時還要不斷地對這些IP進行SYN+ACK重試，最后的結果是服務器無暇理睬正常的連接請求，導致拒絕服務。

對抗SYN flood的主要措施有SYN Cookie/SYN Proxy、safereset等算法。

SYN Cookie的主要思想是為每一個IP地址分配一個“Cookie”，并統(tǒng)計每個IP地址的訪問頻率。

如果在短時間內收到大量的來自同一個IP地址數據包，則認為受到攻擊，之后來自這個IP地址的包將被丟棄。

在很多對抗DDOS的產品中，一般會綜合使用各種算法，結合一些DDOS攻擊的特征，對流量就行清洗，對抗DDOS的網絡設備可以串聯或者并聯在網絡出口處。

但是DDOS仍然是業(yè)界的一大難題，當攻擊流量超過了網絡設備，甚至帶寬的最大負荷時，網絡仍將癱瘓。

一般來說，大型網站之所以看起來比較能“抗”DDOS攻擊，是因為大型網站的帶寬比較充足，集群內服務器的數量也比較多。

但一個集群的資源畢竟是有限的，在實際的攻擊中，DDOS的流量甚至可以達到數G到幾十G，遇到這種情況，只能與網絡運營商合作，共同完成DDOS攻擊的響應。

新聞標題：什么是DDOS攻擊？
瀏覽地址：http://aaarwkj.com/hangye/fwqtg/n8104.html

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯