编者按:

  2016年7月20日,乐视视频官微发布公告称:7月19日,乐视视频遭受高强度的DDOS流量***,流量峰值高达200Gbps/s。***发生后,乐视公司启动最高级应急预案,经过紧急抢修后恢复正常访问。

wKioL1fbjWqBjozzAAEghaTaO1U711.png-wh_50

图片来源:微博截图

  事件发生后,有网友发出疑问,200G的DDOS流量***究竟有多大威力?居然能把一家大型互联网公司网站***瘫痪?如何才能做到防患于未然呢?这些问题要先从什么是DDOS说起。

  • 什么是DDOS流量***?

wKioL1fbjeLwLU1PAAAO6K3CUNc604.png-wh_50

图片来源:网络


  据公开资料显示,DdoS(Distributed Denial of Service)全称分布式拒绝服务***(也称流量洪水)。其主要***方式为利用多台计算机向指定目标服务器发送洪水般的***数据包,导致被***服务器系统资源或带宽耗尽,无法响应用户正常请求。

  打个通俗的比方,就好像是***者雇佣大量重型卡车全部停在公路上,导致正常行驶的车辆无法顺利通过,使得交通瘫痪。

  • 200Gbps流量***是什么概念?

wKiom1fbjgmB9VCiAAAtmEPsxhw421.png-wh_50

图片来源:网络

 

  众所周知,由于服务器自身硬件条件的限制,所能容纳的最高访问数量也是有限的,类比上文中的公路,一条固定的路所能同时容纳的车辆数量也是有限的。用户在线访问服务器需要占用服务器一定的带宽资源,抛开内存不谈,单是200Gbps的纯流量***,折合成普通用户所使用的家庭电脑数量,数量可能在15万~20万台之间,甚至更高,如此之多数量的恶意访问,同时占用服务器带宽、内存资源,服务器由于资源耗尽而瘫痪。

  • 如何正确防范DDOS流量***?

wKiom1fbjiXgaVXgAAFTcPX-Mnk588.jpg-wh_50

图片来源:网络


  TCP/IP协议是目前互联网采用最广泛的数据传输协议,在所有网络***手段中,DDOS流量***几乎是最难防范的一个,其原因是TCP/IP协议本身的安全缺陷造成的。

对于DDOS流量***,目前还没有完全有效的方法,但可以从以下几个方面加以防范:

  1. 对系统设定相应的内核参数,使得系统强制对超时的SYN请求连接数据包的复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包。

  2. 在该网段的路由器上做些配置的调整,这些调整包括限制SYN半开数据包的流量和个数。在路由器的前端多必要的TCP拦截,使得只有完成TCP三次握手过程的数据包才可以进入该网段,这样可以有效的保护本网段内的服务器不受此类***。

  3.租用高防抗***服务器,这类服务器通常采用硬件防火墙对服务器进行安全防护,代替服务器执行部分功能,使IP路由更加稳定,达到抵御DDOS流量***的效果。银凌数据(www.3389idc.cn)专注于高防服务体系,为中小企业与个人互联网应用提供高防服务器租用/托管业务,目前已服务上百家客户。