今天上午同事接到號碼為:2631805456 的QQ聊天信息，大概意思是準備利用DDOS攻擊我們“百恒南昌做網站”的主頁，讓我們小心提防。這么好心提醒、讓你做好準備迎接攻擊?難道是傳說中的中國“紅客”，俠盜之流?我就開始納悶了，我們百恒在網絡上一直都很低調，也不曾得罪過哪路神仙，憑什么攻擊我們呢?目的何在?然而，細看他與同事的聊天記錄，不難發(fā)現他原來是真有目的的。是否真正蓄意攻擊目前還不得而知，但是恐嚇與嫁禍他人的真實意途已經很明顯，只是這種小屁孩的手段讓他的慌言不攻自破。下面把同事與他的聊天記錄貼上：

不可否認，中國的網絡高手數不勝數，如果真的有意攻擊某個站點服務器，也并非難事。當然高手一般都深藏不露，黑你的站于無形當中，很少留下任何蛛絲馬跡。高手一般是不會輕易出招的。也很少因你的網站在百度排名較好而眼紅去攻擊你的站。像這樣先拍你一下然后跟你說：我要打你了，你做好準備的把戲，只有在劇情中才會出現吧。誰不怕做壞事后被抓接受法律的制裁呢?

既然提到DDOS攻擊，那百恒工程師就為大家整理一下傳說中的DDOS攻擊：(部分資料摘抄于百度百科，由SYN和青島迅博信息技術提供)

DDOS全名是Distributed Denial of service (分布式拒絕服務攻擊)，很多DOS攻擊源一起攻擊某臺服務器就組成了DDOS攻擊。

說到DDOS攻擊，還得先從DOS攻擊開始，因為他是由傳統(tǒng)的DoS攻擊基礎之上產生的另一類更加強大攻擊方式。最早單一的DoS攻擊一般是采用一對一的方式，它的攻擊方法說白了就是單挑，是比誰的機器性能好、速度快。當被攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項性能指標不高，它的攻擊效果也是很明顯的。隨著計算機與網絡技術的發(fā)展，計算機的處理能力迅速增長，內存大大增加，同時也出現了千兆級別的網絡，這使得DoS攻擊的困難程度加大了 - 被攻擊目標對惡意攻擊包的"消化能力"加強了很多，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個攻擊包，但被攻擊的主機與網絡帶寬每秒鐘可以處理10,000個攻擊包，這樣我們的一對一單挑式攻擊就沒有什么作用了，搞不好自己的機子就會死掉。這時候分布式的拒絕服務攻擊手段(DDoS)就應運而生了。它的原理就很簡單，如果說計算機與網絡的處理能力加大了10倍，用一臺攻擊機來攻擊不再能起作用的話，攻擊者使用10臺攻擊機同時攻擊呢?用100臺呢?DDoS就是利用更多的傀儡機來發(fā)起進攻，以比從前更大的規(guī)模來進攻受害者。

DDOS攻擊原理

通過使網絡過載來干擾甚至阻斷正常的網絡通訊。通過向服務器提交大量請求，使服務器超負荷。阻斷某一用戶訪問服務器阻斷某服務與特定系統(tǒng)或個人的通訊。DoS攻擊、DDoS攻擊和DRDoS攻擊相信大家已經早有耳聞了吧!DoS是Denial of Service的簡寫就是拒絕服務，DDoS就是Distributed Denial of Service的簡寫就是分布式拒絕服務，而DRDoS就是Distributed Reflection Denial of Service的簡寫，這是分布反射式拒絕服務的意思。不過這3中攻擊方法最厲害的還是DDoS，那個DRDoS攻擊雖然是新近出的一種攻擊方法，但它只是DDoS攻擊的變形，它的唯一不同就是不用占領大量的“肉雞”。這三種方法都是利用TCP三次握手的漏洞進行攻擊的，所以對它們的防御辦法都是差不多的。

一個比較完善的DDoS攻擊體系分成4大部分，先來看一下最重要的第2和第3部分：它們分別用做控制和實際發(fā)起攻擊。請注意控制機與攻擊機的區(qū)別，對第4部分的受害者來說，DDoS的實際攻擊包是從第3部分攻擊傀儡機上發(fā)出的，第2部分的控制機只發(fā)布命令而不參與實際的攻擊。對第2和第3部分計算機，黑客有控制權或者是部分的控制權，并把相應的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運行并等待來自黑客的指令，通常它還會利用各種手段隱藏自己不被別人發(fā)現。在平時，這些傀儡機器并沒有什么異常，只是一旦黑客連接到它們進行控制，并發(fā)出指令的時候，攻擊傀儡機就成為害人者去發(fā)起攻擊了。

有的朋友也許會問道："為什么黑客不直接去控制攻擊傀儡機，而要從控制傀儡機上轉一下呢?"。這就是導致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說，肯定不愿意被捉到，而攻擊者使用的傀儡機越多，他實際上提供給受害者的分析依據就越多。在占領一臺機器后，高水平的攻擊者會首先做兩件事：1. 考慮如何留好后門!2. 如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺到。比較不敬業(yè)的黑客會不管三七二十一把日志全都刪掉，但這樣的話網管員發(fā)現日志都沒了就會知道有人干了壞事了，頂多無法再從日志發(fā)現是誰干的而已。相反，真正的好手會挑有關自己的日志項目刪掉，讓人看不到異常的情況。這樣可以長時間地利用傀儡機。

但是在第3部分攻擊傀儡機上清理日志實在是一項龐大的工程，即使在有很好的日志清理工具的幫助下，黑客也是對這個任務很頭痛的。這就導致了有些攻擊機弄得不是很干凈，通過它上面的線索找到了控制它的上一級計算機，這上級的計算機如果是黑客自己的機器，那么他就會被揪出來了。但如果這是控制用的傀儡機的話，黑客自身還是安全的?？刂瓶軝C的數目相對很少，一般一臺就可以控制幾十臺攻擊機，清理一臺計算機的日志對黑客來講就輕松多了，這樣從控制機再找到黑客的可能性也大大降低。

被DDoS攻擊時的現象

能瞬間造成對方電腦死機或者假死，有人曾經測試過，攻擊不到1秒鐘，電腦就已經死機和假死，鼠標圖標不動了，系統(tǒng)發(fā)出滴滴滴滴的聲音。從而使被攻擊服務器停止正常運行，造成網絡訪問不穩(wěn)定!

DDOS的防護方法

1 手工防護

一般而言手工方式防護DDOS主要通過兩種形式：

系統(tǒng)優(yōu)化――主要通過優(yōu)化被攻擊系統(tǒng)的核心參數，提高系統(tǒng)本身對DDoS攻擊的響應能力。但是這種做法只能針對小規(guī)模的DDOS進行防護。

網絡追查――遭受DDoS攻擊的系統(tǒng)的管理人員一般第一反應是詢問上一級網絡運營商，這有可能是ISP、IDC等，目的就是為了弄清楚攻擊源頭。

2 退讓策略

為了抵抗DDOS攻擊，客戶可能會通過購買硬件的方式來提高系統(tǒng)抗DDOS的能力。但是這種退讓策略的效果并不好，一方面由于這種方式的性價比過低，另一方面，黑客提高供給流量之后，這種方法往往失效，所以不能從根本意義上防護DDoS攻擊。

3 路由器

通過路由器，我們可以實施某些安全措施，比如ACL等，這些措施從某種程度上確實可以過濾掉非法流量。一般來說，ACL可以基于協(xié)議或源地址進行設置，但是目前眾多的DDOS攻擊采用的是常用的一些合法協(xié)議，比如http協(xié)議，這種情況下，路由器就無法對這樣的流量進行過濾。同時，如果DDOS攻擊采用地址欺騙的技術偽造數據包，那么路由器也無法對這種攻擊進行有效防范。 　　另一種基于路由器的防護策略是采用Unicast Reverse Path Forwarding (uRPF)在網絡邊界來阻斷偽造源地址IP的攻擊，但是對于今天的DDOS攻擊而言，這種方法也不能奏效，其根本原因就在于uRPF的基本原理是路由器通過判斷出口流量的源地址，如果不屬于內部子網的則給予阻斷。而攻擊者完全可以偽造其所在子網的IP地址進行DDoS攻擊，這樣就完全可以繞過uRPF防護策略。除此之外，如果希望uRPF策略能夠真正的發(fā)揮作用，還需要在每個潛在攻擊源的前端路由器上配置uRPF，但是要實現這種情況，現實中幾乎不可能做到。

4 防火墻

防火墻幾乎是最常用的安全產品，但是防火墻設計原理中并沒有考慮針對DDOS攻擊的防護，在某些情況下，防火墻甚至成為DDOS攻擊的目標而導致整個網絡的拒絕服務。 　　首先是防火墻缺乏DDOS攻擊檢測的能力。通常，防火墻作為三層包轉發(fā)設備部署在網絡中，一方面在保護內部網絡的同時，它也為內部需要提供外部Internet服務的設備提供了通路，如果DDOS攻擊采用了這些服務器允許的合法協(xié)議對內部系統(tǒng)進行攻擊，防火墻對此就無能為力，無法精確的從背景流量中區(qū)分出攻擊流量。雖然有些防火墻內置了某些模塊能夠對攻擊進行檢測，但是這些檢測機制一般都是基于特征規(guī)則，DDOS攻擊者只要對攻擊數據包稍加變化，防火墻就無法應對，對DDOS攻擊的檢測必須依賴于行為模式的算法。

第二個原因就是傳統(tǒng)防火墻計算能力的限制，傳統(tǒng)的防火墻是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。而DDOS攻擊中的海量流量會造成防火墻性能急劇下降，不能有效地完成包轉發(fā)的任務。 　　最好防火墻的部署位置也影響了其防護DDOS攻擊的能力。傳統(tǒng)防火墻一般都是部署在網絡入口位置，雖然某種意義上保護了網絡內部的所有資源，但是其往往也成為DDOS攻擊的目標，攻擊者一旦發(fā)起DDOS攻擊，往往造成網絡性能的整體下降，導致用戶正常請求被拒絕。

5 入侵檢測

目前IDS系統(tǒng)是最廣泛的攻擊檢測工具，但是在面臨DDOS攻擊時，IDS系統(tǒng)往往不能滿足要求。

原因其一在于入侵檢測系統(tǒng)雖然能夠檢測應用層的攻擊，但是基本機制都是基于規(guī)則，需要對協(xié)議會話進行還原，但是目前DDoS攻擊大部分都是采用基于合法數據包的攻擊流量，所以IDS系統(tǒng)很難對這些攻擊有效檢測。雖然某些IDS系統(tǒng)本身也具備某些協(xié)議異常檢測的能力，但這都需要安全專家手工配置才能真正生效，其實施成本和易用性極低。

原因之二就在于IDS系統(tǒng)一般對攻擊只進行檢測，但是無法提供阻斷的功能。IDS系統(tǒng)需要的是特定攻擊流檢測之后實時的阻斷能力，這樣才能真正意義上減緩DDOS對于網絡服務的影響。

IDS系統(tǒng)設計之初就是作為一種基于特征的應用層攻擊檢測設備。而DDOS攻擊主要以三層或是四層的協(xié)議異常為其特點，這就注定了IDS技術不太可能作為DDOS的檢測或是防護手段。目前的防御算法對所有已知的拒絕服務攻擊是免疫的，也就是說，是完全可以抵抗已知DoS/DDoS攻擊的。

對于DDOS防御的理解

對付DDOS是一個系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產品防住DDOS是不現實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當的措施抵御90%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當的辦法增強了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數攻擊者將無法繼續(xù)下去而放棄，也就相當于成功的抵御了DDOS攻擊。

DDoS防御的方法總結：

1.采用高性能的網絡設備

首先要保證網絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協(xié)議的話就更好了，當大量攻擊發(fā)生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

2.盡量避免NAT的使用

無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用，因為采用此技術會較大降低網絡通信能力，其實原因很簡單，因為NAT需要對地址來回轉換，轉換過程中需要對網絡包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。

3.充足的網絡帶寬保證

網絡帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主干上了。但需要注意的是，主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網絡服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。

4.升級主機服務器硬件

在有網絡帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存，若有志強雙CPU的話就用它吧，內存一定要選擇DDR的高速內存，硬盤要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。

5.把網站做成靜態(tài)頁面

大量事實證明，把網站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現在為止關于HTML的溢出還沒出現，看看吧!新浪、搜狐、網易等門戶網站主要都是靜態(tài)頁面，若你非需要動態(tài)腳本調用，那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務器，當然，適當放一些不做數據庫調用腳本還是可以的，此外，最好在需要調用數據庫的腳本中拒絕使用代理的訪問，因為經驗表明使用代理訪問你網站的80%屬于惡意行為。

6.增強操作系統(tǒng)的TCP/IP棧

Win2000和Win2003作為服務器操作系統(tǒng)，本身就具備一定的抵抗DDOS攻擊的能力，只是默認狀態(tài)下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵御數百個，具體怎么開啟，自己去看微軟的文章吧!《強化 TC

P/IP 堆棧安全》。 　　也許有的人會問，那我用的是Linux和FreeBSD怎么辦?很簡單，按照這篇文章去做吧!《SYN Cookies》。

7.安裝專業(yè)抗DDOS防火墻

綠盟黑洞： X86架構，Linux內核與自主專利的抗syn-flood算法。對抗單一類型的syn，udp，icmp dos效果很好，但是當多種混合時效果就略差。優(yōu)點是更新快，技術支持比較好，在100M環(huán)境下對syn-flood有絕對優(yōu)勢。缺點是文檔和信息缺乏，同時工作(軟硬件兩方面)不是很穩(wěn)定。

金盾抗拒絕服務系統(tǒng)：金盾抗拒絕服務系列產品，應用了自主研發(fā)的抗拒絕服務攻擊算法，對SYN Flood，UDP Flood，ICMP Flood，IGMP Flood，Fragment Flood，HTTP Proxy Flood，CC Proxy Flood，Connection Exhausted等各種常見的攻擊行為均可有效識別，并通過集成的機制實時對這些攻擊流量進行處理及阻斷，保護服務主機免于攻擊所造成的損失。內建的WEB保護模式及游戲保護模式，徹底解決針對此兩種應用的DOS攻擊方式。金盾抗拒絕服務系列產品，除了提供專業(yè)的DOS/DDOS攻擊檢測及防護外，還提供了面向報文的通用規(guī)則匹配功能，可設置的域包括地址、端口、標志位，關鍵字等，極大的提高了通用性及防護力度。同時，內置了若干預定義規(guī)則，涉及局域網防護、漏洞檢測等多項功能，易于使用。

天網防火墻: 最早基于OpenBSD內核，X86架構，現在應該也是Linux內核了。很早就加入了抗syn-flood功能，實際應該是syn-cache/syn-cookie的改進或加強版。實際測試syn流量64B包抵抗極限大概是25M左右。當小于20M是還是可以看到效果的。同時結合良好的防火墻策略應該也可以做到針對udp/icmp等類型的限制。 　　一己拙見： 防火墻一般來說還是讓它作為自己的專業(yè)用途(訪問控制)比較好，當然在網絡業(yè)務不是很重要的生產類企業(yè)來說，買個防火墻同時兼有簡單的抗syn功能倒也不錯。

8.其他防御措施

以上幾條對抗DDOS建議，適合絕大多數擁有自己主機的用戶，但假如采取以上措施后仍然不能解決DDOS問題，就有些麻煩了，可能需要更多投資，增加服務器數量并采用DNS輪巡或負載均衡技術，甚至需要購買七層交換機設備，從而使得抗DDOS攻擊能力成倍提高，只要投資足夠深入。

DDOS應付方法

DdoS攻擊是黑客最常用的攻擊手段，下面列出了對付它的一些常規(guī)方法。

1.定期掃描

要定期掃描現有的網絡主節(jié)點，清查可能存在的安全漏洞，對新出現的漏洞及時進行清理。骨干節(jié)點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網絡主節(jié)點的都是服務器級別的計算機，所以定期掃描漏洞就變得更加重要了。

2.在骨干節(jié)點配置防火墻

防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發(fā)現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)秀的系統(tǒng)。

3.用足夠的機器承受黑客攻擊

這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數設備處于空閑狀態(tài)，和目前中小企業(yè)網絡實際運行情況不相符。

4.充分利用網絡設備保護網絡資源

所謂網絡設備是指路由器、防火墻等負載均衡設備，它們可將網絡有效地保護起來。當網絡被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經重啟后會恢復正常，而且啟動起來還很快，沒有什么損失。若其他服務器死掉，其中的數據會丟失，而且重啟服務器又是一個漫長的過程。特別是一個公司使用了負載均衡設備，這樣當一臺路由器被攻擊死機時，另一臺將馬上工作。從而最大程度的削減了DdoS的攻擊。

5.過濾不必要的服務和端口

過濾不必要的服務和端口，即在路由器上過濾假IP……只開放服務端口成為目前很多服務器的流行做法，例如WWW服務器那么只開放80而將其他所有端口關閉或在防火墻上做阻止策略。

6.檢查訪問者的來源

使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來自何處。因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現，有助于提高網絡安全性。

7.過濾所有RFC1918 IP地址

RFC1918 IP地址是內部網的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它們不是某個網段的固定的IP地址，而是Internet內部保留的區(qū)域性IP地址，應該把它們過濾掉。此方法并不是過濾內部員工的訪問，而是將攻擊時偽造的大量虛假內部IP過濾，這樣也可以減輕DdoS的攻擊。

8.限制SYN/ICMP流量

用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬，這樣，當出現大量的超過所限定的SYN/ICMP流量時，說明不是正常的網絡訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法，雖然目前該方法對于DdoS效果不太明顯了，不過仍然能夠起到一定的作用。

最后為今天的事做個總結：小蟲還是那句話，在網絡路上想走得長久，走得穩(wěn)。還是得務實本分，憑真功夫真刀實槍地干。你妒忌別人在百度上排名好，那你就把自己也排上去，耍花招不算大本事，也成不了氣候的。因為魔高一尺，道高一丈!沒準哪到被收監(jiān)就更不劃算了。