72被浏览8,965分享邀请回答21 条评论分享收藏感谢收起2添加评论分享收藏感谢收起DDOS攻击是个什么鬼，会致命吗？
现如今，信息技术的发展为人们带来了诸多便利，无论是个人社交行为，还是商业活动都开始离不开网络了。但是网际空间带来了机遇的同时，也带来了威胁，其中DDOS就是最具破坏力的攻击，通过这些年的不断发展，它已经成为不同组织和个人的攻击，用于网络中的勒索、报复，甚至网络战争。
　　先聊聊DDOS的概念和发展
　　在说发展之前，咱先得对分布式拒绝服务(DDOS)的基本概念有个大体了解。
　　啥叫“拒绝服务”攻击呢?
　　其实可以简单理解为：让一个公开网站无法访问。要达到这个目的的方法也很简单：不断地提出服务请求，让合法用户的请求无法及时处理。
　　啥叫“分布式”呢?
　　其实随着网络发展，很多大型企业具备较强的服务提供能力，所以应付单个请求的攻击已经不是问题。道高一尺，魔高一丈，于是乎攻击者就组织很多同伙，同时提出服务请求，直到服务无法访问，这就叫“分布式”。但是在现实中，一般的攻击者无法组织各地伙伴协同“作战”，所以会使用“僵尸网络”来控制N多计算机进行攻击。
　　啥叫“僵尸网络”呢?
　　就是数量庞大的僵尸程序(Bot)通过一定方式组合，出于恶意目的，采用一对多的方式进行控制的大型网络，也可以说是一种复合性攻击方式。因为僵尸主机的数量很大而且分布广泛，所以危害程度和防御难度都很大。
　　僵尸网络具备高可控性，控制者可以在发布指令之后，就断开与僵尸网络的连接，而控制指令会自动在僵尸程序间传播执行。
　　恶意代码类型
　　这就像个生态系统一样，对于安全研究人员来说，通过捕获一个节点可以发现此僵尸网络的许多僵尸主机，但很难窥其全貌，而且即便封杀一些僵尸主机，也不会影响整个僵尸网络的生存。
　　DDOS的发展咋样?
　　正所谓“以史为鉴，可以知兴替”。既然大概了解DDOS是啥了，咱们就说说它的历史发展吧。
　　最早的时候，黑客们都是大都是为了炫耀个人技能，所以攻击目标选择都很随意，娱乐性比较强。后来，有一些宗教组织和商业组织发现了这个攻击的效果，就以勒索、报复等方式为目的，对特定目标进行攻击，并开发一些相应的工具，保证攻击成本降低。当国家级政治势力意识到这个价值的时候，DDOS就开始被武器化了，很容易就被用于精确目标的网络战争中。
　　再谈谈DDOS的攻击方式
　　分布式拒绝服务攻击的精髓是：利用分布式的客户端，向目标发起大量看上去合法的请求，消耗或者占用大量资源，从而达到拒绝服务的目的。
　　DDOS攻击
　　其主要攻击方法有4种：
　　1.攻击带宽
　　跟帝都的交通堵塞情况一样，大家都该清楚，当网络数据包的数量达到或者超过上限的时候，会出现网络拥堵、响应缓慢的情况。DDOS就是利用这个原理，发送大量网络数据包，占满被攻击目标的全部带宽，从而造成正常请求失效，达到拒绝服务的目的。
　　2. 攻击系统
　　创建TCP连接需要客户端与服务器进行三次交互，也就是常说的“三次握手”。这个信息通常被保存在连接表结构中，但是表的大小有限，所以当超过了存储量，服务器就无法创建新的TCP连接了。
　　3.攻击应用
　　由于DNS和Web服务的广泛性和重要性，这两种服务就成为了消耗应用资源的分布式拒绝服务攻击的主要目标。
　　比如向DNS服务器发送大量查询请求，从而达到拒绝服务的效果，如果每一个DNS解析请求所查询的域名都是不同的，那么就有效避开服务器缓存的解析记录，达到更好的资源消耗效果。当DNS服务的可用性受到威胁，互联网上大量的设备都会受到影响而无法正常使用。
　　4.混合攻击
　　在实际的生活中，攻击者并不关心自己使用的哪种攻击方法管用，只要能够达到目的，一般就会发动其所有的攻击手段，尽其所能的展开攻势。对于被攻击目标来说，需要面对不同的协议、不同资源的分布式拒绝服务攻击，分析、响应和处理的成本就会大大增加。
　　叨叨DDOS的防御
　　设置高性能设备
　　要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
　　保证带宽
　　网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYN
Flood攻击。所以，最好选择100M的共享带宽，当然是挂在1000M的主干上了。
　　勿忘升级
　　在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包。而且最好可以进行优化资源使用，提高web
server 的负载能力。
　　异常流量的清洗
　　通过DDOS硬件防火墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。
　　考虑把网站做成静态页面
　　把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，最好在需要调用数据库的脚本中，拒绝使用代理的访问，经验表明，使用代理访问你网站的80%属于恶意行为。
　　分布式集群防御
　　这是目前网络安全界防御大规模DDOS攻击的最有效办法。分布式集群防御的特点是在#FormatImgID_6#每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的DDOS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。
　　就DDOS防御方面来说，目前主要是两个方面，大流量攻击可以交给运营商及云端清洗，小流量攻击可以在企业本地进行设备防护，这个分界点根据行业及业务特性的不同会有所差异，大概的量级应该在百兆BPS左右。
　　其实，对抗DDOS攻击是一个涉及多个层面的问题，在有的环节，有效性和收益率并不对等。所以需要各方面合作，用户也可以多多听听专家的意见，针对攻击事先做好应对的应急方案。
　　随着全球互联网业务和云计算的发展热潮，可以预见到，针对云数据中心的DDOS攻击频率还会大幅度增长，攻击手段也会更加复杂。安全工作是一个长期持续性而非阶段性的工作，所以需要时刻保持一种警觉，而且网络安全不仅仅是某个企业的责任，更是全社会的共同责任，需要大家共同努力。
更多相关话题
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。青青子衿, 悠悠我心, 但为君故, 沉吟至今
服务器预防DDoS攻击的方法
　　8月25日晚，锤子&坚果手机&发布会因故推迟、PPT一堆错漏、抢红包故障，据悉是因锤子官网服务器遭遇了数十G流量DDoS恶意攻击，现场PPT也是临时赶制、边写边用，好端端的一场发布会被DDoS攻击搞的狼狈不堪。　　分布式拒绝服务攻击(DDoS)是目前常见的网络攻击方法，它的英文全称为Distributed Denial of Service?简单来说，很多DoS攻击源一起攻击某台服务器就形成了DDOS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者将攻击程序通过代理程序安装在网络上的各个&肉鸡&上，代理程序收到指令时就发动攻击。　　DDoS攻击的危害很大，而且很难防范，可以直接导致网站宕机、服务器瘫痪，造成权威受损、品牌蒙羞、财产流失等巨大损失，严重威胁着中国互联网信息安全的发展。图：DDoS攻击示意图　　随着DDOS攻击在互联网上的肆虐泛滥，使得DDoS的防范工作变得更加困难。数据显示，今年Q2，DDoS攻击活动创下新纪录，同比增长了132%。其中，最大规模的DDoS攻击峰值流量超过了240 Gbps，持续了13个小时以上。目前而言，黑客甚至对攻击进行明码标价，打1G的流量到一个网站一小时，只需50块钱。DDoS的成本如此之低，使用如此之嚣张，而且攻击了也没人管，那么，广大的网站用户应该采取怎样的措施进行有效的防御呢？下面我就介绍一下防御DDoS的基本方法。　　1、保证服务器系统的安全　　首先要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。　　2、隐藏服务器的真实IP地址　　服务器前端加CDN中转（免费的有百度云加速、360网站卫士、加速乐、安全宝等），如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。　　另外，防止服务器对外传送信息泄漏IP地址，最常见的情况是，服务器不要使用发送邮件功能，因为邮件头会泄漏服务器的IP地址。如果非要发送邮件，可以通过第三方代理（例如sendcloud）发送，这样对外显示的IP是代理的IP地址。　　总之，只要服务器的真实IP不泄露，10G以下小流量DDOS的预防花不了多少钱，免费的CDN就可以应付得了。如果攻击流量超过20G，那么免费的CDN可能就顶不住了，需要购买一个高防的盾机来应付了，而服务器的真实IP同样需要隐藏。
　　除非注明，文章均为原创，转载请以链接形式标明本文地址
　　本文地址：
.陈宗鹤先生
如果一起众筹DDOS阿里，淘宝不就完了？……hao 于
11:02:25 回复好主意，我出10块
ddos 跟 ppt 啥关系？
DDOS和PPT是个什么关系？锤子自己开发的云PPT？
.大吨位蜀黍
所有事，所有人，通通都得给我大阅病靠边让路。
必须含有中文。
我一直很好奇，如果把受攻击的域名给指向工信部之类的机构网站会发生什么…666 于
16:38:24 回复你敢吗？
.多ip服务器-小凡
DDos威胁网络健康啊，现在的防御成本也不断的增加啊，肉鸡越多，流量越大越廉价，在服务器硬件软件防御方面的投入就要更多。不具备一定的网络安全知识，让坏银更容易得手。
关键是要用阿里云。
他们那弄的带宽？不是说因为360的免费，所以中国人普遍安装了各种安全软件，肉鸡的数量降低了几个数量级吗？
没用 就是加带宽 加带宽 加带宽
.当时就吓死我了
肉鸡这么多？？？这么便宜？？？
.永乐_游戏人生
谁干的呢？红衣主教？
.游戏打折情报
估计ppt在服务区上 服务器挂了只能现场再做一个
.医学统计分析精粹
DDOS和PPT是个什么关系？
.Matterwind
这么低！！！那昨晚攻击老罗也不过花了500块，只要是一个看不顺眼老罗的路人都可以为之。
入寻衅滋事罪，公安冲过去抓人不就啥事都没有了？
.今儿只争朝夕
阿里云5G形同虚设的赶脚
UPYUN每GB流量只用不到0.3元，好像攻击人更亏
.跛脚的追梦人
那么多持续流量不会被抓到吗？还是有法律漏洞这个DDOS攻击很难鉴定？
这个有必要备着，或许以后有用！！！
我觉得 DDoS 并不会导致到现场赶写PPT。估计是我理解能力有误。
防御成本远高于攻击成本。
来个阴谋论问题，如果一个路由器厂商暗地里控制该品牌已售出并已连上网的产品去ping一个网址，是不是连那?50也不用花了？
今年最大规模的DDoS攻击在昨晚发生
.轴向力效应
成本这么低啊，那昨晚锤子官网那几十G的流量也就几千块钱，对于老罗的仇家来说这点小钱太小儿科了。。。
如果页面上有高频ajax请求更新的内容，哪些CDN中转还可用吗？
.言_多_必_失
一个PPT鉴定了,一大群人的智商,也不知道哪家的PPT可以在演示的时候,可以插入PPT
求介绍！哪里卖？
挖坑的机器被哪来做DDOS？
主要是这方法简单粗暴又实用_(:3
.请叫我丁大胖子
那么多肉机……
.Jacky-WYJ
难道不是应该用DOS表示攻击吗？deny of service? DDOS不是说防御的吗？
.Your2BigGrandPa
比快餐还便宜,你懂的
.冰冻冷咖啡BH1SMB
只是觉得把数据交给百度云加速。。。谁知道他获取了什么
法规和法国恢复规划法规规范化
大站肯定要有防范措施，小站就不用担心qnnp 于
12:06:08 回复觉得多少防点为好
.加肥猫zzzzzzzzzZ
这图就不用画了吧~
任务海不错哦，可以去点击百度renwuhai去看看
那防1G流量一小时要多少费用呢?
不懂技术，这种情况报警警察会管吗，能抓住作案人吗
如何管理 可以被监管吗？
谁能想到呢。。。锤子躺枪
呵呵，1G 50？好赚钱，现在几十G不过百元
._Thefirst1_
有人降到50了？恶性竞争啊妈蛋！
.枫叶路人c
这成本太低了吧，1G才50.。。。。
如果把博客服务器搭在谷歌blogger上，就没事了吧？
主要是抓鸡成本不高
谁在做，请留下联系方式！
发布会用的不是keynote吗？
高防服务器可以联系我，联邦小项，新浪博客高防服务器
服务器租用/托管，优选盛网科技，高性能，高配置，高防护，高独享7x24小时售后服务，定制属于你的专属服务器。33ol,com
.逸才Renault
说ppt现场做的简直侮辱人智商，10几秒做一页，呵呵
防御成本是不是会比较高？对系统的架构设计是不是会有比较高的要求。
.HuangLisen
用含有搜索引擎的假UA即可获取真实IP
反正我是非常恶心玩DDoS的脚本小子，然而这个只要做成规模基本无解，算得上简单粗暴。吾等也就只能一声叹息。
.我比东风破
简单粗暴有效。
谁在做大流量业务，留下联系方式
昨天老罗已经辟谣了，今天还在洗，也是醉了
.面朝大海的东方来客LI
老罗的团队在广告投放这块，想必是砸了不少钱嘛，哈哈哈
.锐品创意网
这个年头什么人都有 总有一些闲来无事的人~~~
特尔特瑞特瑞特人尔特瑞特让他
呃。。。还真是便宜。
.皮皮阳之天下无敌
前两天月光还说被DDOS哦。。结果昨晚锤子中枪。。oh my god
昨天github刚被捅菊花
我们国家重点都在管人说什么话，至于攻击这种小事，哪会有时间管
.背着方天画戟写代码
这得益于大部分计算机用户基本没有任何计算机知识，从而导致黑客轻轻松松的就能获得一大堆的肉鸡资源。
数据显示，今年Q2，DDoS攻击活动创下新纪录，同比增长了132%。其中，最大规模的DDoS攻击峰值流量超过了240 Gbps，持续了13个小时以上。目前而言，黑客甚至对攻击进行明码标价，打1G的流量到一个网站一小时，只需50块钱。
攻防成本差太多了
网络攻击不是犯罪?
.腼腆的盛从理
ddos越来越猖狂了
。。好像是个不错的方法。ＳＭＴＰ发邮件会泄露真实ＩＰ吗
不信，你说的是dos还是ddos
.方小新FXX
昨天锤子科技谁干的？
抓到了，1g关一年
PPT不是赶制的呀
.多ip服务器-小凡
为什么要DDOS他？
赞助商广告
本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.拒绝访问 | lusongsong.com | 百度云加速
请打开cookies.
此网站 (lusongsong.com) 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(3fbb2b3b94eb166b-ua98).
重新安装浏览器，或使用别的浏览器