ddos攻擊能防住嗎？在討論這個(gè)問(wèn)題之前我們先要知道什么是ddos攻擊；ddos攻擊就是能夠利用受控的機(jī)器向一臺(tái)機(jī)器進(jìn)行發(fā)起攻擊，這樣攻擊由于來(lái)勢(shì)迅猛就讓攻擊難以令人進(jìn)行防備，也正是如此這種攻擊就具有很大的破壞性。

? ? ? ?ddos攻擊特性是分布式；在攻擊的模式改變了傳統(tǒng)的點(diǎn)對(duì)點(diǎn)的攻擊模式，使攻擊方式出現(xiàn)了沒(méi)有規(guī)律的情況，而且在進(jìn)行攻擊的時(shí)候，通常使用的也是常見(jiàn)的協(xié)議和服務(wù)，這樣只是從協(xié)議和服務(wù)的類型上是很難對(duì)攻擊進(jìn)行區(qū)分的。在進(jìn)行攻擊的時(shí)候，攻擊數(shù)據(jù)包都是經(jīng)過(guò)偽裝的，在源IP 地址上也是進(jìn)行偽造的，這樣就很難對(duì)攻擊進(jìn)行地址的確定，在查找方面也是很難的。這樣就導(dǎo)致了分布式拒絕服務(wù)攻擊在檢驗(yàn)方法上是很難做到的。

?什么是ddos攻擊？

最常見(jiàn)的DDoS攻擊是利用TCP協(xié)議三次握手的缺陷進(jìn)行的。基于TCP協(xié)議的通信在通信之前，首先要協(xié)商，這個(gè)協(xié)商過(guò)程就是以三次握手實(shí)現(xiàn)的。正常情況下，客戶端發(fā)送一個(gè)SYN數(shù)據(jù)包，說(shuō)明要進(jìn)行通信了。服務(wù)器收到該SYN包后，回應(yīng)一個(gè)ACK確認(rèn)包?？蛻舳嗽倩貞?yīng)一個(gè)確認(rèn)包。這樣三次握手就協(xié)商完成，下面就會(huì)正式進(jìn)行通信。當(dāng)黑客要進(jìn)行DDoS攻擊時(shí)，他會(huì)操縱很多僵尸主機(jī)向被攻擊的服務(wù)器發(fā)送SYN數(shù)據(jù)包，當(dāng)服務(wù)器回復(fù)ACK確認(rèn)包后，僵尸主機(jī)不再回應(yīng)，這樣服務(wù)器就會(huì)保持這個(gè)半連接的存在進(jìn)行等待。每一個(gè)這樣的半連接都會(huì)耗費(fèi)服務(wù)器的資源，如果有數(shù)量極大的半連接，服務(wù)器就會(huì)停止正常工作了。

還有一些DDoS攻擊是基于UDP的攻擊。UDP是無(wú)連接的協(xié)議，倘若服務(wù)器上開(kāi)放了漏洞端口，發(fā)送大量的無(wú)用UDP數(shù)據(jù)包，可以很快淹沒(méi)該服務(wù)器。另外的基于ICMP的DDoS攻擊，也是類似的原理。

?

ddos攻擊預(yù)防方法分析

方法一：

需要能夠進(jìn)行定期的掃描。預(yù)防ddos攻擊需要能夠定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn)，以能好的清查可能存在的安全漏洞，尤其對(duì)新出現(xiàn)的漏洞要能進(jìn)行及時(shí)清理;很多時(shí)候骨干節(jié)點(diǎn)的計(jì)算由于具有較高的帶寬就成黑客利用的最佳位置，而對(duì)這些主機(jī)本身加強(qiáng)主機(jī)安全就非常重要，且連接到網(wǎng)絡(luò)主節(jié)點(diǎn)的往往都是服務(wù)器級(jí)別的電腦，這樣定期進(jìn)行漏洞的掃描也變得比較重要。

方法二：

需要能夠在骨干節(jié)點(diǎn)配置相關(guān)防火墻。大家知道防火墻本身就能抵御ddos攻擊和其他很多的攻擊，在實(shí)際中發(fā)現(xiàn)受到攻擊的時(shí)候完全能夠?qū)⒐糁苯尤?dǎo)向一些犧牲性的主機(jī)，這樣就能有效保證真正的主機(jī)不被直接攻擊;不過(guò)在進(jìn)行導(dǎo)向的時(shí)候，一定要選擇一些不重要的主機(jī)或者可以直接導(dǎo)向一些具有優(yōu)秀防范的系統(tǒng)主機(jī)上。

方法三：

使用多的計(jì)算機(jī)以能承受ddos攻擊。很多時(shí)候使用這種方法效果是最好的，當(dāng)用戶擁有更多容量和足夠資源的時(shí)候，就非常適合使用這種方法，畢竟在攻擊中黑客的能量也在逐漸耗損，面對(duì)足夠資源和容量攻擊方也往往沒(méi)有其他方法可用;不過(guò)需要提醒大家的是，使用這種方法可能會(huì)浪費(fèi)多的資金甚至在平時(shí)中讓太多的設(shè)備一直都處于空閑狀態(tài)下。

方法四：

好的利用網(wǎng)絡(luò)設(shè)備來(lái)進(jìn)行保護(hù)網(wǎng)絡(luò)資源。在預(yù)防ddos攻擊中指的網(wǎng)絡(luò)設(shè)備就是路由器和防火墻等負(fù)載均衡的設(shè)備，這些設(shè)備完全可以將網(wǎng)絡(luò)給有效的進(jìn)行保護(hù)起來(lái);當(dāng)網(wǎng)絡(luò)被黑客攻擊的時(shí)候最先受到影響的是路由器，其其他設(shè)備并沒(méi)有能夠收到影響;對(duì)于受到影響的路由器僅僅只用重啟后還能恢復(fù)正常使用，且路由器的啟動(dòng)也是非常快的幾乎造成不了什么損失;如果是服務(wù)器設(shè)備受到影響的話往往會(huì)造成數(shù)據(jù)的丟失，再加上服務(wù)器重啟需要漫長(zhǎng)的過(guò)程因此造成的損失就相對(duì)過(guò)大，還是使用負(fù)載設(shè)備更好一點(diǎn)。

方法五：

需要過(guò)濾不必要的服務(wù)和端口。大家完全也可以使用一些工具過(guò)濾掉一些不必要的服務(wù)和端口以達(dá)到預(yù)防攻擊的目的。

當(dāng)知道了DDoS攻擊的類型和危害之后，就要有效預(yù)防它。不做好預(yù)防，等危害已經(jīng)造成才發(fā)現(xiàn)，則未免已經(jīng)太晚。接下來(lái)，以基于TCP的DDoS攻擊的預(yù)防為例，簡(jiǎn)要闡明。

DDoS攻擊的一大特征，是突然產(chǎn)生巨大的攻擊流量。借助流量監(jiān)控設(shè)備，可以及時(shí)發(fā)現(xiàn)異常流量的突現(xiàn)。

基于TCP的DDoS攻擊，會(huì)產(chǎn)生異常會(huì)話。異常會(huì)話的特征是有大量的虛假IP地址隨機(jī)開(kāi)啟多個(gè)端口發(fā)送SYN數(shù)據(jù)包攻擊服務(wù)器。因此攻擊的過(guò)程中，一是會(huì)有大量的虛假地址，二是會(huì)產(chǎn)生大量的SYN數(shù)據(jù)包。借助wireshark抓包分析，可以迅速發(fā)現(xiàn)這些攻擊特征。

?

　　DDoS攻擊預(yù)防思路分享

　　如果只有幾臺(tái)計(jì)算機(jī)是攻擊的來(lái)源，并且你已經(jīng)確定了這些來(lái)源的 IP 地址， 你就在防火墻服務(wù)器上放置一份ACL（訪問(wèn)控制列表） 來(lái)阻斷這些來(lái)自這些 IP 的訪問(wèn)。如果可能的話 將 web 服務(wù)器的 IP 地址變更一段時(shí)間，但是如果攻擊者通過(guò)查詢你的 DNS 服務(wù)器解析到你新設(shè)定的IP，那這一措施及不再有效了。

　　如果你確定攻擊來(lái)自一個(gè)特定的國(guó)家，可以考慮將來(lái)自那個(gè)國(guó)家的 IP 阻斷，至少要阻斷一段時(shí)間。

　　監(jiān)控進(jìn)入的網(wǎng)絡(luò)流量。通過(guò)這種方式可以知道誰(shuí)在訪問(wèn)你的網(wǎng)絡(luò)，可以監(jiān)控到異常的訪問(wèn)者，可以在事后分析日志和來(lái)源IP。在進(jìn)行大規(guī)模的攻擊之前，攻擊者可能會(huì)使用少量的攻擊來(lái)測(cè)試你網(wǎng)絡(luò)的健壯性。

　　對(duì)付帶寬消耗型的攻擊來(lái)說(shuō)，最有效（也很昂貴）的解決方案是購(gòu)買更多的帶寬。

　　也可以使用高性能的負(fù)載均衡軟件，使用多臺(tái)服務(wù)器，并部署在不同的數(shù)據(jù)中心。

　　對(duì)Web和其他資源使用負(fù)載均衡的同時(shí)，也使用相同的策略來(lái)保護(hù)DNS。

　　優(yōu)化資源使用提高web server的負(fù)載能力。例如，使用apache可以安裝apachebooster插件，該插件與varnish和nginx集成，可以應(yīng)對(duì)突增的流量和內(nèi)存占用。

　　使用高可擴(kuò)展性的DNS設(shè)備來(lái)保護(hù)針對(duì)DNS的DDoS攻擊。可以考慮購(gòu)買Cloudflare的商業(yè)解決方案，它可以提供針對(duì)DNS或TCP/IP3到7層的DDoS攻擊保護(hù)。如果想獲得更多的服務(wù)支持（國(guó)外的安全服務(wù)一般是沒(méi)有售后的，如果遇到問(wèn)題只能提交工單進(jìn)行解決，效率很低。），可以考慮選擇國(guó)內(nèi)的安全服務(wù)商。推薦知道創(chuàng)宇、騰訊云和阿里云。

　　啟用路由器或防火墻的反IP欺騙功能。在CISCO的ASA防火墻中配置該功能要比在路由器中更方便。在 ASDM（Cisco Adaptive Security Device Manager）中啟用該功能只要點(diǎn)擊“配置”中的“防火墻”，找到“anti-spoofing”然后點(diǎn)擊啟用即可。也可以在路由器中使用 ACL（access control list）來(lái)防止 IP 欺騙，先針對(duì)內(nèi)網(wǎng)創(chuàng)建 ACL，然后應(yīng)用到互聯(lián)網(wǎng)的接口上。

　　使用第三方的服務(wù)來(lái)保護(hù)你的網(wǎng)站。有不少公司有這樣的服務(wù)，提供高性能的基礎(chǔ)網(wǎng)絡(luò)設(shè)施幫你抵御拒絕服務(wù)攻擊。你只需要按月支付幾百美元費(fèi)用就行。

　　注意服務(wù)器的安全配置，避免資源耗盡型的 DDoS 攻擊。

　　聽(tīng)從專家的意見(jiàn)，針對(duì)攻擊事先做好應(yīng)對(duì)的應(yīng)急方案。

　　監(jiān)控網(wǎng)絡(luò)和 web 的流量。如果有可能可以配置多個(gè)分析工具，例如：Statcounter 和 Google analytics，這樣可以更直觀了解到流量變化的模式，從中獲取更多的信息。

　　保護(hù)好 DNS 避免 DNS 放大攻擊。

　　在路由器上禁用 ICMP。僅在需要測(cè)試時(shí)開(kāi)放 ICMP。在配置路由器時(shí)也考慮下面的策略：流控，包過(guò)濾，半連接超時(shí)，垃圾包丟棄，來(lái)源偽造的數(shù)據(jù)包丟棄，SYN 閥值，禁用 ICMP 和 UDP 廣播。

DDoS攻擊預(yù)防注意事項(xiàng)

DDoS攻擊危害巨大，要及時(shí)預(yù)防，預(yù)防為主，否則后果不堪設(shè)想。（綜合自銳速云 southx博客等）