一、为何要DDOS？ 

　　随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断宣布，DDOS拒尽服务攻击的实行越来越轻易，DDOS攻击事件正在成上升趋势。出于贸易竞争、打击报复和网络讹诈等多种因素，导致很多IDC托管机房、贸易站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受连累、法律纠纷、贸易丧失等一系列标题，因此，解决DDOS攻击标题成为网络服务商必需考虑的头等大事。 

二、什么是DDOS？ 

　　DDOS是英文Distributed Denial of Service的缩写，意即“散布式拒尽服务”，那么什么又是拒尽服务（Denial of Service）呢？可以这么懂得，凡是能导致正当用户不能够拜访正常网络服务的行动都算是拒尽服务攻击。也就是说拒尽服务攻击的目标非常明白，就是要禁止正当用户对正常网络资源的拜访，从而达成攻击者不可告人的目标。固然同样是拒尽服务攻击，但是DDOS和DOS还是有所不同，DDOS的攻击策略着重于通过很多“僵尸主机”（被攻击者进侵过或可间接利用的主机）向受害主机发送大批看似正当的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒尽服务，散布式拒尽服务攻击一旦被实行，攻击网络包就会如同洪水般涌向受害主机，从而把正当用户的网络包沉没，导致正当用户无法正常拜访服务器的网络资源，因此，拒尽服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS则着重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机逝世机而无法供给正常的网络服务功效，从而造成拒尽服务，常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒尽服务攻击而言，迫害较大的重要是DDOS攻击，原因是很难防备，至于DOS攻击，通过给主机服务器打补丁或安装防火墙软件就可以很好地防备，后文会具体先容怎么对付DDOS攻击。 

三、被DDOS了吗？ 

　　DDOS的表现情势重要有两种，一种为流量攻击，重要是针对网络带宽的攻击，即大批攻击包导致网络带宽被阻塞，正当网络包被虚伪的攻击包沉没而无法达到主机；另一种为资源耗尽攻击，重要是针对服务器主机的攻击，即通过大批攻击包导致主机的内存被耗尽或CPU被内核及利用程序占完而造成无法供给网络服务。 

　　如何判定网站是否遭遇了流量攻击呢？可通过Ping命令来测试，若发明Ping超时或丢包严重(假定平时是正常的)，则可能遭遇了流量攻击，此时若发明和你的主机接在同一交换机上的服务器也拜访不了了，基础可以断定是遭遇了流量攻击。当然，这样测试的条件是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采用Telnet主机服务器的网络服务端口来测试，后果是一样的。不过有一点可以确定，假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，忽然都Ping不通了或者是严重丢包，那么假如可以消除网络故障因素的话则确定是遭遇了流量攻击，再一个流量攻击的典范现象是，一旦遭遇流量攻击，会发明用远程终端连接网站服务器会失败。 

相对于流量攻击而言，资源耗尽攻击要轻易判定一些，假如平时Ping网站主机和拜访网站都是正常的，发明忽然网站拜访非常缓慢或无法拜访了，而Ping还可以Ping通，则很可能遭遇了资源耗尽攻击，此时若在服务器上用Netstat -na命令观察到有大批的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定确定是遭遇了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种原因是网站主机遭遇攻击后导致系统内核或某些利用程序CPU利用率达到100%无法回应Ping命令，实在带宽还是有的，否则就Ping不通接在同一交换机上的主机了。 


　　当前重要有三种风行的DDOS攻击： 

　　1、SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，重要是通过向受害主机发送大批捏造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒尽服务，由于源都是捏造的故追踪起来比拟艰苦，毛病是实行起来有必定难度，需要高带宽的僵尸主机支撑。少量的这种攻击会导致主机服务器无法拜访，但却可以Ping的通，在服务器上用Netstat -na命令会观察到存在大批的SYN_RECEIVED状态，大批的这种攻击会导致Ping失败、TCP/IP栈失效，并会呈现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵抗此种攻击。 

　　2、TCP全连接攻击：这种攻击是为了绕过惯例防火墙的检查而设计的，一般情况下，惯例防火墙大多具备过滤TearDrop、Land等DOS攻击的才能，但对于正常的TCP连接是放过的，殊不知很多网络服务程序（如：IIS、Apache等Web服务器）能接收的TCP连接数是有限的，一旦有大批的TCP连接，即便是正常的，也会导致网站拜访非常缓慢甚至无法拜访，TCP全连接攻击就是通过很多僵尸主机不断地与受害服务器建立大批的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒尽服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目标，毛病是需要找很多僵尸主机，并且由于僵尸主机的IP是***露的，因此轻易被追踪。 

　　3、刷Script脚本攻击：这种攻击重要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特点是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大批耗费数据库资源的调用，典范的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户真个耗费和带宽的占用是几乎可以疏忽的，而服务器为处理此恳求却可能要从上万条记录中往查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支撑数百个查询指令同时履行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过Proxy代理向主机服务器大批递交查询指令，只需数分钟就会把服务器资源耗费掉而导致拒尽服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完整绕过普通的防火墙防护，轻松找一些Proxy代理就可实行攻击，毛病是对付只有静态页面的网站后果会大打折扣，并且有些Proxy会***露攻击者的IP地址。 

四、怎么抵抗DDOS？ 

　　对付DDOS是一个系统工程，想仅仅依附某种系统或产品防住DDOS是不现实的，可以确定的是，完整杜尽DDOS目前是不可能的，但通过适当的措施抵抗90%的DDOS攻击是可以做到的，基于攻击和防御都有本钱开销的缘故，若通过适当的措施加强了抵抗DDOS的才能，也就意味着加大了攻击者的攻击本钱，那么尽大多数攻击者将无法持续下往而放弃，也就相当于成功的抵抗了DDOS攻击。以下为笔者多年以来抵抗DDOS的经验和建议，和大家分享！