什麼是 DDoS 攻擊？

歡迎訪問網易雲社區，瞭解更多網易技術產品運營經驗。

全稱Distributed Denial of Service，中文意思爲「分佈式拒絕服務」，就是利用大量合法的分佈式服務器對目標發送請求，從而致使正常合法用戶沒法得到服務。通俗點講就是利用網絡節點資源如：IDC服務器、我的PC、手機、智能設備、打印機、攝像頭等對目標發起大量攻擊請求，從而致使服務器擁塞而沒法對外提供正常服務，只能宣佈game over，詳細描述以下圖所示：

DDoS攻擊示意圖

二、黑客爲何選擇DDoS

不一樣於其餘惡意篡改數據或劫持類攻擊，DDoS簡單粗暴，能夠達到直接摧毀目標的目的。另外，相對其餘攻擊手段DDoS的技術要求和發動攻擊的成本很低，只須要購買部分服務器權限或控制一批肉雞便可，並且攻擊相應速度很快，攻擊效果可視。另外一方面，DDoS具備攻擊易防守難的特徵，服務提供商爲了保證正常客戶的需求須要耗費大量的資源才能和攻擊發起方進行對抗。這些特色使得DDoS成爲黑客們手中的一把很好使的利劍，並且所向霹靂。

從另外一個方面看，DDoS雖然能夠侵蝕帶寬或資源，迫使服務中斷，但這遠遠不是黑客的正真目的。所謂沒有買賣就沒有殺害，DDoS只是黑客手中的一枚核武器，他們的目的要麼是敲詐勒索、要麼是商業競爭、要麼是要表達政治立場。在這種黑色利益的驅使下，愈來愈多的人蔘與到這個行業並對攻擊手段進行改進升級，導致DDoS在互聯網行業愈演愈烈，併成爲全球範圍內沒法攻克的一個頑疾。

三、DDoS的攻擊方式

一種服務須要面向大衆就須要提供用戶訪問接口，這些接口偏偏就給了黑客有可乘之機，如：能夠利用TCP/IP協議握手缺陷消耗服務端的連接資源，能夠利用UDP協議無狀態的機制僞造大量的UDP數據包阻塞通訊信道……能夠說，互聯網的世界自誕生之日起就不缺少被DDoS利用的攻擊點，從TCP/IP協議機制到CC、DNS、NTP反射類攻擊，更有甚者利用各類應用漏洞發起更高級更精確的攻擊。

從DDoS的危害性和攻擊行爲來看，咱們能夠將DDoS攻擊方式分爲如下幾類：

a）資源消耗類攻擊

資源消耗類是比較典型的DDoS攻擊，最具表明性的包括：Syn Flood、Ack Flood、UDP
Flood。這類攻擊的目標很簡單，就是經過大量請求消耗正常的帶寬和協議棧處理資源的能力，從而達到服務端沒法正常工做的目的。

b）服務消耗性攻擊

相比資源消耗類攻擊，服務消耗類攻擊不須要太大的流量，它主要是針對服務的特色進行精肯定點打擊，如web的CC，數據服務的檢索，文件服務的下載等。這類攻擊每每不是爲了擁塞流量通道或協議處理通道，它們是讓服務端始終處理高消耗型的業務的忙碌狀態，進而沒法對正常業務進行響應，詳細示意圖以下：

服務消耗類攻擊

c）反射類攻擊

反射攻擊也叫放大攻擊，該類攻擊以UDP協議爲主，通常請求迴應的流量遠遠大於請求自己流量的大小。攻擊者經過流量被放大的特色以較小的流量帶寬就能夠製造出大規模的流量源，從而對目標發起攻擊。反射類攻擊嚴格意義上來講不算是攻擊的一種，它只是利用某些服務的業務特徵來實現用更小的代價發動Flood攻擊，詳細示意圖以下：

反射類攻擊

d）混合型攻擊

混合型攻擊是結合上述幾種攻擊類型，並在攻擊過程當中進行探測選擇最佳的攻擊方式。混合型攻擊每每伴隨這資源消耗和服務消耗兩種攻擊類型特徵。

四、DDoS防禦困難

一方面，在過去十幾年中，網絡基礎設施核心部件從未改變，這使得一些已經發現和被利用的漏洞以及一些成成熟的攻擊工具生命週期很長，即便放到今天也依然有效。另外一方面，互聯網七層模型應用的迅猛發展，使得DDoS的攻擊目標多元化，從web到DNS，從三層網絡到七層應用，從協議棧到應用App，層出不窮的新產品也給了黑客更多的機會和突破點。再者DDoS的防禦是一個技術和成本不對等的工程，每每一個業務的DDoS防護系統建設成本要比業務自己的成本或收益更加龐大，這使得不少創業公司或小型互聯網公司不肯意作更多的投入。

五、DDoS防禦手段

DDoS的防禦系統本質上是一個基於資源較量和規則過濾的智能化系統，主要的防護手段和策略包括：

a）資源隔離

資源隔離能夠看做是用戶服務的一堵防禦盾，這套防禦系統擁有無比強大的數據和流量處理能力，爲用戶過濾異常的流量和請求。如：針對Syn Flood，防禦盾會響應Syn Cookie或Syn Reset認證，經過對數據源的認證，過濾僞造源數據包或發功攻擊的攻擊，保護服務端不受惡意鏈接的侵蝕。資源隔離系統主要針對ISO模型的第三層和第四層進行防禦。資源隔離示意圖以下：

資源隔離示意圖

b）用戶規則

從服務的角度來講DDoS防禦本質上是一場以用戶爲主體依賴抗D防禦系統與黑客進行較量的戰爭，在整個數據對抗的過程當中服務提供者每每具備絕對的主動權，用戶能夠基於抗D系統特定的規則，如：流量類型、請求頻率、數據包特徵、正常業務之間的延時間隔等。基於這些規則用戶能夠在知足正常服務自己的前提下更好地對抗七層類的DDoS，並減小服務端的資源開銷。詳細示意圖以下：

 用戶規則清洗 

c）大數據智能分析

黑客爲了構造大量的數據流，每每須要經過特定的工具來構造請求數據，這些數據包不具備正經常使用戶的一些行爲和特徵。爲了對抗這種攻擊，能夠基於對海量數據進行分析，進而對合法用戶進行模型化，並利用這些指紋特徵，如：Http模型特徵、數據來源、請求源等，有效地對請求源進行白名單過濾，從而實現對DDoS流量的精確清洗。

指紋過濾清洗

d）資源對抗

資源對抗也叫「死扛」，即經過大量服務器和帶寬資源的堆砌達到從容應對DDoS流量的效果

網易雲DDoS 高防擁有1T 超大防禦帶寬，爲您提供超強的 DDoS 攻擊保障服務，點擊可免費試用。

以上文章來自網易雲社區的博文《理解DDoS防禦本質：基於資源較量和規則過濾的智能化系統》。

相關文章：
【推薦】 selenium下拉框踩坑埋坑
【推薦】 wap html5播放器和直播開發小結