如何防御DDOS攻击

分布式拒绝服务攻击(DDoS)是一种特殊形式的拒绝服务攻击。它是利用多台已经被攻击者所控制的机器对某一台单机发起攻击，在带宽相对的情况下，被攻击的主机很容易失去反应能力。作为一种分布、协作的大规模攻击方式，分布式拒绝服务攻击(DDoS)主要瞄准比较大的站点，像商业公司，搜索引擎和政府部门的站点。由于它通过利用一批受控制的机器向一台机器发起攻击，来势迅猛，而且往往令人难以防备，具有极大的破坏性。

对于此类隐蔽性极好的DDoS攻击的防范，更重要的是用户要加强安全防范意识，提高网络系统的安全性。专家建议可以采取的安全防御措施有以下几种。

1.及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权账号（例如管理员账号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。

2.在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。

3.利用网络安全设备（例如：防火墙）来加固网络的安全性，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包。

4.与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。

5.当用户发现自己正在遭受DDoS攻击时，应当启动自己的应付策略，尽可能快地追踪攻击包，并且及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从已知攻击节点的流量。

6.如果用户是潜在的DDoS攻击受害者，并且用户发现自己的计算机被攻击者用作主控端和代理端时，用户不能因为自己的系统暂时没有受到损害而掉以轻心。攻击者一旦发现用户系统的漏洞，这对用户的系统是一个很大的威胁。所以用户只要发现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。

　CC攻击可以归为DDoS攻击的一种。他们之间都原理都是一样的，即发送大量的请求数据来导致服务器拒绝服务，是一种连接攻击。CC攻击又可分为代理CC攻击，和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求，实现DOS，和伪装就叫：cc（Challenge Collapsar）。而肉鸡CC攻击是黑客使用CC攻击软件，控制大量肉鸡，发动攻击，相比来后者比前者更难防御。因为肉鸡可以模拟正常用户访问网站的请求。伪造成合法数据包。

CC攻击主要是用来攻击网站的。想必大家都有这样的经历，就是在访问某个网站时，如果这个网站比较大，访问的人比较多，打开页面的速度会比较慢，对不？！一般来说，访问的人越多，论坛的页面越多，数据库就越大，被访问的频率也越高，占用的系统资源也就相当可观，现在知道为什么很多空间服务商都说大家不要上传论坛，聊天室等东西了吧。

一个静态页面不需要服务器多少资源，甚至可以说直接从内存中读出来发给你就可以了，但是论坛之类的动态网站就不一样了，我看一个帖子，系统需要到数据库中判断我是否有读帖子的权限，如果有，就读出帖子里面的内容，显示出来——这里至少访问了2次数据库，如果数据库的体积有200MB大小，系统很可能就要在这200MB大小的数据空间搜索一遍，这需要多少的CPU资源和时间？如果我是查找一个关键字，那么时间更加可观，因为前面的搜索可以限定在一个很小的范围内，比如用户权限只查用户表，帖子内容只查帖子表，而且查到就可以马上停止查询，而搜索肯定会对所有的数据进行一次判断，消耗的时间是相当的大。

CC攻击就是充分利用了这个特点，模拟多个用户（多少线程就是多少用户）不停的进行访问（访问那些需要大量数据操作，就是需要大量CPU时间的页面，比如asp/php/jsp/cgi）。很多朋友问到，为什么要使用代理呢？因为代理可以有效地隐藏自己的身份，也可以绕开所有的防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。当然也可以使用肉鸡发动CC攻击。肉鸡的CC攻击效果更可观。致使服务器CPU%100，甚至死机的现象。

使用代理攻击还能很好的保持连接，我们这里发送了数据，代理帮我们转发给对方服务器，我们就可以马上断开，代理还会继续保持着和对方连接（我知道的记录是有人利用2000个代理产生了35万并发连接）。

当然，CC也可以利用这里方法对FTP、游戏端口、聊天房间等进行攻击，也可以实现TCP-FLOOD，这些都是经过测试有效的。

防御CC攻击可以通过多种方法，禁止网站代理访问，尽量将网站做成静态页面，限制连接数量等。这里就不一一介绍了，推荐您使用云盾抗DDoS防火墙，%100防御CC攻击！

[云盾抗DDoS防火墙 ].

在云计算时代，对于任何 DDoS 攻击而言，需要的不是防御方案，不是某一个安全设备，而是是一个快速响应的机制，一个团队，是一个能够做迅速做系统分析，快速做出决策的团队。从目前来看，虽然降低 DDoS 攻击的影响并非易事，但是我们也要主动采取措施进行避免。一般而言，我们常见的防御方案如下：

多域名备份

每个域名的接入服务器分别部署在不同的主流云系统上，并分别使用 CDN

在云之间架设隧道 VPN，服务器相互之间通过 VPN 做数据同步和心跳

DDoS 发生后可能短时间无法完全防御，因此要有保证最小服务的生存的意思。例如：留1-2个站点作为不对外提供服务的冗余节点，并做好保密措施

那么问题来了，如何快速分析大面积受限服务的原因呢?如何能帮助云服务厂商和客户构筑一个快速响应机制呢?首先，我们需要确定是由于 DDoS 攻击，还是因为设备故障。然后再想方设法帮助云平台客户快速响应，及时跟云服务厂商沟通，进而采取相应的备选方案。

如果是 DDoS 攻击，及时求助云厂商过滤可疑攻击源地址，或采用应急备份服务如果是网络硬件问题，云服务商就可以根据客户反馈快速甄别是否是外部问题，这样会极大降低客户的损失，并且保障好公有云(IaaS)厂商的服务质量。

---