了解DDOS攻击

了解DDOS攻击

1. 什么事DDOS攻击？

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。

例子：我开了一家有五十个座位的重庆火锅店，由于用料上等，童叟无欺。平时门庭若市，生意特别红火，而对面二狗家的火锅店却无人问津。二狗为了对付我，想了一个办法，叫了五十个人来我的火锅店坐着却不点菜，让别的客人无法吃饭。上面这个例子讲的就是典型的 DDoS 攻击，全称是 Distributed Denial of Service，翻译成中文就是分布式拒绝服务。一般来说是指攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求，大规模消耗目标网站的主机资源，让它无法正常服务。在线游戏、互联网金融等领域是 DDoS 攻击的高发行业。

2. 发动一场DDoS大概要哪些东西，什么过程？可以理解为，DDoS攻击前，黑客需要准备什么东西？以及攻击过程是什么样的？

• 第一、搜集目标，刺探军情。比如：搜集目标家有多少人，都使用哪些设备，家庭情况怎么样，值不值得攻击，然后找个机会顺便潜入目标家拿到开门的最高权限。
• 第二、确定攻击时间段。当目标一家人都在家或者有很多客人上门的时候是发动攻击的最佳时间段；
• 第三、发动肉鸡攻击。经过前2步的精心准备后，“鸡主”把这些肉鸡全引向盯梢已久的目标家门口，打开门，让肉鸡如洪水般涌入目标家里。经过以上三步，便完成了一次完整的DDoS攻击过程。

其实在DDOS 攻击中，为了提高攻击的有效性，攻击者首先会对目标进行前期的基本调查，了解攻击目标的一些信息，包括目标的主机数量、地址、网络宽带以及基本的配置性能等。在得到这些信息后，攻击者对于攻击力度就有了一定的了解。接着，攻击者便会寻找一定数量的“肉鸡”，构建攻击网络组织，自己抓取或者找人购买。

为了利用“肉鸡”进行攻击，攻击者还会在“肉鸡”上安装攻击软件，这样攻击者便可以向“肉鸡”发送攻击方法、攻击周期等内容。在以上工作完成中，攻击者通过操控“肉鸡”，向受害者的发送攻击数据包，占领受害者的服务器资源，影响主机或者网络的正常使用，直到被攻击者的带宽或者计算机内存消耗殆尽。

什么是“肉鸡”？

“肉鸡”也称“傀儡机”，常指受到攻击者控制的电脑，但是随着技术的发展具备“肉鸡”价值的设备除了电脑、服务器外，手机以及物联网设备也沦为攻击者进行网络攻击的傀儡。简单点儿说，智能电子产品都有可能成为攻击的目标，一旦攻击成功，意味着它们的所有者，就是“肉鸡”本鸡了。

知道了“肉鸡”概念，那么，接下来我们会问，黑客是怎么进行攻击的呢？对于这个问题，目前来看主要是源于两方面：漏洞入侵和网络陷阱。

漏洞入侵： 对于普通用户来说，攻击者可以通过地址扫描识别用户的地理位置和发现漏洞并入侵，目前的技术可以做到在45分钟内将全球的IP地址扫描一遍，搜集到活动主机信息从而发起攻击，入侵用户的计算机。虽说这种方式看起不太炫酷，但是茫茫机海，总有有一些不设防的“裸奔机”，当他们无忧无虑的徜徉在网络的海洋时，不知不觉就被选中了，成为“肉鸡贩”的囊中之物。

这里提到一点，在一台肉鸡的背后绝不仅仅是一个网络攻击者，还有为他提供扫描软件的“高级专家”以及负责为“肉鸡贩”提供“接单”服务的“中介商”。所以说，如果个人电脑沦为肉鸡，可能是不止一个攻击者，细思极恐。

网络陷阱： 普通用户在日常的使用中还可能通过访问被挂了木马的网页、下载来历不明的软件和文件、游戏外挂，汉化包，破解补丁，以及点击包含有恶意程序的邮件或者链接等遭到控制，被植入病毒让自己的电脑变成“肉鸡”用于DDoS攻击。诸如美女荷官在线发牌这类网站、热映XX电影最新资源等文件，他们可能不仅会让电脑变成肉鸡，还可能掏光用户的荷包。

3. 如何应对 DDoS 攻击？

1. 采用高性能的网络设备首先需要保证路由器、交换机、硬件防火墙等网络设备的性能，当发生DDoS攻击的时候，用足够性能的机器、容量去承受攻击，充分利用网络设备保护网络资源是十分有效的应对策略。
2. 保证服务器系统的安全首先要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。
3. 充足的网络带宽保证网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。
4. 把网站做成静态页面或者伪静态大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现。如果非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的。
5. 增强操作系统的TCP/IP栈Windows操作系统本身就具备一定的抵抗DDoS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，还需自行去微软官网了解。
6. HTTP 请求的拦截HTTP 请求的特征一般有两种：IP 地址和 User Agent 字段。比如，恶意请求都是从某个 IP 段发出的，那么把这个 IP 段封掉就行。或者，它们的 User Agent 字段有特征(包含某个特定的词语)，那就把带有这个词语的请求拦截。
7. 部署CDNCDN 指的是网站的静态内容分发到多个服务器，用户就近访问，提高速度。因此，CDN 也是带宽扩容的一种方法，可以用来防御 DDOS 攻击。
8. 隐藏服务器的真实IP地址服务器前端加CDN中转，如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。
9. 定期检查企业网骨干需要定期检查主要的网络节点，清查可能会出现的问题，对于新出现的漏洞及时处理。主要因为是骨干节点本身就具有很高的带宽，这是黑客们可以利用的好位置，所以说要加强这些主机是十分必要的。
10. 利用专业的安全防护产品这里讲解一个案例，在2018年年末，腾讯云某知名互联网行业客户遭受了一次大型DDoS攻击，流量峰值一度逼近T级。客户遭受大流量DDoS攻击时,如何抗D维稳是当务之急，710Gbps大流量攻击对业界传统防护方案挑战不小。在快速分析完客户情况之后,腾讯云大禹团队立即响应，针对客户业务情况提供大禹高防IP专业版解决方案，智能调度防护节点,满足跨区域T级大流量抗D需求，攻击持续了一天，决战却只在一分钟内完成。截至目前，腾讯云大禹DDoS高防,还在江苏省公安厅、阅文集团、熊猫直播、携程、摩拜单车等各行各业的客户中守护企业网络安全。

HTTP请求头之User-Agent

User-Agent会告诉网站服务器，访问者是通过什么工具来请求的

User-Agent通常格式：

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3100.0 Safari/537.36
Mozilla/5.0 (平台) 引擎版本 浏览器版本号