【转】《从入门到精通云服务器》第四讲—DDOS攻击

　　上周咱们深入分析了云服务器的配置问题，好了，现在手上有了云服务器之后，我们又不得不提它：DDOS攻击。这是所有运维者的心头痛，也是任何公司听闻后都将心惊胆战的强大对手。下面我们将用浅显易懂的方式讲述什么叫DDOS攻击。

　　DDOS攻击形象比喻

　　某饭店可以容纳100人同时就餐，某日有个商家恶意竞争，雇佣了200人来这个饭店坐着不吃不喝，导致饭店满满当当无法正常营业。（DDOS攻击成功）

　　老板当即大怒，派人把不吃不喝影响正常营业的人全都轰了出去，且不再让他们进来捣乱，饭店恢复了正常营业。（添加规则和黑名单进行DDOS防御，防御成功）

　　主动攻击的商家心存不满，这次请了五千人逐批次来捣乱，导致该饭店再次无法正常营业。（增加DDOS流量，改变攻击方式）

　　饭店把那些捣乱的人轰出去后，另一批接踵而来。此时老板将饭店营业规模扩大，该饭店可同时容纳1万人就餐，5000人同时来捣乱饭店营业也不会受到影响。（增加硬防与其抗衡）

　　DDOS是Distributed Denial of Service的缩写，翻译成中文是“分布式拒绝服务“攻击，网络中的DDOS攻击与防御与上面例子所述差不多，DDOS只不过是一个概称，其下有各种攻击方式，比如“CC攻击、SYN攻击、NTP攻击、TCP攻击、DNS攻击等等”，现在DDOS发展变得越来越可怕，NTP攻击渐渐成为主流了，这意味着可以将每秒的攻击流量放大几百倍，比如每秒1G的SYN碎片攻击换成NTP放大攻击，就成为了200G或者更多。

　　每秒200G的攻击意味着什么？

　　家庭用户直接掉线或死机。

　　瞬间瘫痪腾讯网、迅雷看看官网等大型网站。

　　可以让QQ或YY大面积掉线且无法登录。

　　可以瞬间瘫痪360内容分发网络（俗称CDN），让大量网站无法访问。

　　重大DDOS攻击案例

　　2000年2月，包括雅虎、CNN、亚马逊、eBay、ZDNet，以及E*Trade和Datek等网站均遭受到了DDOS攻击，并致使部分网站瘫痪。

　　2007年5月，爱沙尼亚三周内遭遇三轮DDOS攻击, 总统府、议会、几乎全部政府部门、主要政党、主要媒体和2家大银行和通讯公司的网站均陷入瘫痪，为此北约顶级反网络恐怖主义专家前往该国救援。

　　2009年519断网事件导致南方六省运营商服务器全部崩溃，电信在南方六省的网络基本瘫痪。

　　2009年7月，韩国主要网站三天内遭遇三轮猛烈的DDOS攻击，韩国宣布提前成立网络司令部。

　　最近比较著名的案例有：全球三大游戏平台：暴雪战网、Valve Steam和EA Origin遭到大规模DDoS攻击，致使大批玩家无法登录与进行游戏。随后名为DERP的黑客组织声称对此次大规模的DDoS攻击行动负责。

　　企业对于DDOS攻击的防护

　　1、主机与系统层面上：

　　关闭不必要的服务和端口；

　　限制同一时间内打开的syn半连接数目；

　　缩短syn半连接超时时间；

　　系统设置防火墙iptables，ipsec等策略；

　　不要在服务器上安装破解类程序，所有软件必须来源于官网；

　　及时安装官方系统更新的安全补丁。

　　2、程序层面：

　　安全的架构设计；安全的编码；安全测试；安装服务器相应的防护软件

　　（比如安全狗、云锁、360网站卫士之类的）

　　3、网络设备层面上（路由和防火墙）：

　　禁止对主机非开放服务的访问；

　　限制同时间内打开的syn最大连接数；

　　限定特定ip地址的访问，过滤未使用的保留ip地址段；

　　启用防火墙防DDOS属性或者购买DDOS硬防设备；

　　（小鸟云辽宁高防节点：最低硬防20G，最高可达300Gbps）

　　严格限制对外开放服务器的对外访问；

　　CEF和UnicastReverse_path设置，减少伪造ip攻击的危害；

　　4.非技术因素上的防护：

　　培养安全意识，警惕社会工程学的攻击；

　　建立安全责任制度。