ddos怎么攻击？ddos怎么防御？

　　目前网络攻击中，最常见的就是ddos攻击，小型的攻击会占用你的网络带宽，让你的服务器运行速度变慢，大型的攻击则会让你的服务器瘫痪，服务器上的业务无法运行，会对公司的业务造成很大的损失。本文就从ddos怎么攻击和ddos怎么防御两个方面来讲述。

　　如果您正在遭受重大的ddos攻击，我建议您使用安全狗抗ddos云服务：http://www.safedog.cn/index/publicCloudIndex.html?tab=6

ddos怎么攻击

　　什么是DOS和DDOS?

　　要了解DDOS攻击是什么，首先要了解DOS攻击的基本原理是至关重要的。

　　DOS仅代表拒绝服务。这项服务可以是任何类型的，例如，想象你的母亲在准备考试时没收你的手机，以帮助你学习而不会有任何分心。虽然您的母亲的意图确实是出于照顾和关注，但您将被拒绝接听电话和手机提供的任何其他服务。

　　对于计算机和计算机网络，或在道德黑客攻击期间，拒绝服务可以采取以下形式：

　　劫持网络服务器

　　使用请求重载端口使其无法使用

　　拒绝无线认证

　　拒绝在Internet上提供的任何类型的服务

　　可以从单个机器执行这种意图的攻击。虽然单机攻击更容易执行和监控，但它们也易于检测和缓解。为了解决这个问题，可以从遍布广泛区域的多个设备执行攻击。这不仅难以阻止攻击，而且几乎不可能指出主要罪魁祸首。此类攻击称为分布式拒绝服务或 DDOS攻击。

　　它是如何工作的?

　　解释DOS攻击的主要思想是使某个服务不可用。由于受到攻击的所有内容实际上都是在计算机上运行，因此如果可以降低计算机上的性能，则可以使服务不可用。这是DOS和DDOS的基础。

　　一些DOS攻击是通过使用连接请求泛滥服务器来执行的，直到服务器过载并被认为是无用的。其他通过将未分段的数据包发送到服务器来执行，而服务器无法处理。这些方法在由僵尸网络执行时，会以指数方式增加他们正在进行的破坏程度，并且难以减轻突飞猛进的增加。

　　要了解有关攻击如何工作的更多信息，让我们来看看不同的类型。

　　DDOS攻击的类型

　　虽然有很多方法可以执行DDOS攻击，但我会列出更有名的攻击方式。这些方法因其成功率和造成的损害而闻名。值得注意的是，随着技术的进步，更有创造力的人们已经设计出更加狡猾的方式来执行DOS攻击。

　　以下是攻击类型：

　　死亡之平

　　根据TCP / IP协议，数据包的最大大小可以是65,535字节。死亡攻击的攻击利用了这个特殊的事实。在这种类型的攻击中，攻击者在数据包片段加起来时发送超过最大数据包大小的数据包。计算机通常不知道如何处理这些数据包并最终冻结或有时完全崩溃。

　　反映的攻击

　　在这种情况下，这种类型的攻击是在僵尸网络(也称为反射器)的帮助下执行的。攻击者使用看起来像来自受害者机器的僵尸网络向一群无辜的计算机发送连接请求(这是通过欺骗数据包头中的源来完成的)。这使得计算机主机向受害计算机发送确认。由于从不同的计算机到同一台机器有多个这样的请求，这会使计算机过载并使其崩溃。这种类型也称为smurf攻击。

　　邮件炸弹

　　邮件炸弹攻击通常攻击电子邮件服务器。在这种类型的攻击中，填充有随机垃圾值的超大电子邮件将被发送到目标电子邮件服务器，而不是数据包。这通常会导致电子邮件服务器因负载突然飙升而崩溃，并使其无法使用直到修复。

　　Teardrop

　　在这种类型的攻击中，分组的分段偏移字段被滥用。IP报头中的一个字段是“片段偏移”字段，其指示包含在分段分组中的数据相对于原始分组中的数据的起始位置或偏移。如果一个分段分组的偏移和大小的总和不同于下一个分段分组的总和，则分组重叠。发生这种情况时，容易受到泪滴攻击的服务器无法重新组装数据包，从而导致拒绝服务的情况。

　　DOS攻击

　　在本节“什么是DDOS攻击”中，我将演示如何在无线网络上执行拒绝服务攻击，并实际上拒绝他们从该特定接入点访问Internet。这种攻击是非法的，如果被抓住你可能会被起诉，所以我敦促你只是出于教育目的而允许这样做而不会造成任何不必要的混乱。这是一个的工作道德黑客以缓解这些攻击并不会导致他们。

　　对于此特定攻击，您将需要一台Linux计算机，您可以在虚拟机上设置或双启动计算机。还需要安装以下工具：

　　aircrack-ng(apt-get install aircrack-ng)

　　macchanger(apt-get install macchanger)

　　步骤1：启动Linux计算机并以root用户身份登录。登录后，检查网络接口卡的名称， 在我的情况下是wlo1。您可以通过输入“ ifconfig”找到您的网卡名称。

　　第2步：现在我们知道了我们的网络接口卡名称，我们需要将其设置为监控模式。有关命令。

　　步骤3：在监控模式下成功设置接口卡后，检查可能会干扰扫描的进程。使用他们的PID杀死他们。检查图片是否有命令。继续杀死进程直到没有留下。

　　第4步：现在，我们需要扫描可用的接入点。我们需要通过选择他们的BSSID从该列表中选择一个接入点。要运行扫描，您必须输入' airodump-ng wlo1'。您将不得不使用您的接口名称而不是wlo1。

　　步骤5：选择无线接入点后，您需要运行DOS攻击，复制BSSID，然后打开新的终端窗口。在这里，我们将连续对所有设备进行解除验证，并且它们将无法使用该特定接入点连接到Internet，简而言之，拒绝它们在Internet和Internet本身上的任何服务。确保您的网卡也在同一频道上运行。检查代码的屏幕截图。

　　一、DDoS攻击如何让网站停止服务?

　　DDoS攻击的工作原理是针对利用大量恶意流量让网站或服务器脱机。攻击如何实现这一过程的过程相当简单：

　　首先，将数据包发送到目标计算机并发出连接请求。这将启动TCP连接(两个主机用于通信的进程)。一旦接收到第一个数据包(SYN chronize数据包)，就会返回一个响应(SYN-ACK nowledge数据包)。然后，设置最终的ACK数据包并关闭连接。当您使用计算机访问网站时，此过程在后台进行。

　　DDoS攻击通过发送请求来利用TCP协议，然后在目标机器以开放连接响应时不响应。如果在一定时间内未建立连接，则连接超时。攻击者将做的是立即将大量流量重定向到网站，导致无数连接超时。DDOS攻击的目标是尽可能多地建立连接，以便合法访问者被拒之门外。

　　二、您怎样识别自己正在被DDoS攻击?

　　您可以通过多种方式自行检查，但最简单的方法是查看网站是否能够正常访问，如果无法访问，请登录控制面板并打开带宽统计信息。看看最近的历史记录，如果你看到一个奇怪的流量拥堵，你可能正在受到DDoS攻击。

　　您可以做的另一件事是查看哪些IP连接到您的服务器，并将按IP地址列出所有活动连接。然后，您可以选择使用防火墙阻止它们。请记住，如果您使用的是共享托管环境，则可能无法访问SSH。在这种情况下，如果您的计划不包含DDOS保护，您的Web主机将被供应商暂停服务。他们这样做是为了防止对您网站的攻击影响其他客户。

　　三、您如何阻止DDoS攻击?

　　由于没有适当的基础设施，大多数人无法处理他们自己的DDOS攻击。DDOS防护公司通过一系列策略阻止攻击，但它们通常分为2个不同的领域：

　　专业的软件/硬件

　　基础设施/带宽

　　以5G云香港服务器为例，其香港高防服务器，是结合以上两种策略。在香港数据中心接入高防线路，并通过智能化的流量识别破平台，精准识别多种DDoS变种攻击。然后，将流量引入清洗平台快速过滤，阻截恶意流量，并保证正常访问流量正常返注回源站，从而最终实现高达300Gbps以上的攻击防护能力。其香港高防服务器支持压力测试以及防御无效退款保障，可最大限度地保障用户资金安全。

　　保护您的网站免受DDOS攻击的最佳选择是与DDoS防护专家交谈。他们将能够评估您的情况并确定您面临的攻击类型(和数量)的最佳解决方案。

　　如果您正在遭受重大的ddos攻击，我建议您使用安全狗抗ddos云服务：http://www.safedog.cn/index/publicCloudIndex.html?tab=6

ddos怎么防御

　　1、备份网站

　　防范 DDOS 的第一步，就是你要有一个备份网站，或者最低限度有一个临时主页。生产服务器万一下线了，可以立刻切换到备份网站，不至于毫无办法。

　　备份网站不一定是全功能的，如果能做到全静态浏览，就能满足需求。最低限度应该可以显示公告，告诉用户，网站出了问题，正在全力抢修。我的个人网站下线的时候，我就做了一个临时主页，很简单的几行 HTML 代码。

　　这种临时主页建议放到 Github Pages 或者 Netlify，它们的带宽大，可以应对攻击，而且都支持绑定域名，还能从源码自动构建。

　　2、HTTP 请求的拦截

　　如果恶意请求有特征，对付起来很简单：直接拦截它就行了。

　　HTTP 请求的特征一般有两种：IP 地址和 User Agent 字段。比如，恶意请求都是从某个 IP 段发出的，那么把这个 IP 段封掉就行了。或者，它们的 User Agent 字段有特征(包含某个特定的词语)，那就把带有这个词语的请求拦截。

　　拦截可以在三个层次做。

　　(1)专用硬件

　　Web 服务器的前面可以架设硬件防火墙，专门过滤请求。这种效果最好，但是价格也最贵。

　　(2)本机防火墙

　　操作系统都带有软件防火墙，Linux 服务器一般使用 iptables。比如，拦截 IP 地址1.2.3.4的请求，可以执行下面的命令。

　　$ iptables -A INPUT -s 1.2.3.4 -j DROP

　　iptables 比较复杂，我也不太会用。它对服务器性能有一定影响，也防不住大型攻击。

　　(3)Web 服务器

　　Web 服务器也可以过滤请求。拦截 IP 地址1.2.3.4，nginx 的写法如下。

　　location / {

　　deny 1.2.3.4;

　　}

　　Apache 的写法是在.htaccess文件里面，加上下面一段。

　　Require all granted

　　Require not ip 1.2.3.4

　　如果想要更精确的控制(比如自动识别并拦截那些频繁请求的 IP 地址)，就要用到 WAF。这里就不详细介绍了，nginx 这方面的设置可以参考这里和这里。

　　Web 服务器的拦截非常消耗性能，尤其是 Apache。稍微大一点的攻击，这种方法就没用了。

　　3、带宽扩容

　　上一节的 HTTP 拦截有一个前提，就是请求必须有特征。但是，真正的 DDOS 攻击是没有特征的，它的请求看上去跟正常请求一样，而且来自不同的 IP 地址，所以没法拦截。这就是为什么 DDOS 特别难防的原因。

　　当然，这样的 DDOS 攻击的成本不低，普通的网站不会有这种待遇。不过，真要遇到了该怎么办呢，有没有根本性的防范方法呢?

　　答案很简单，就是设法把这些请求都消化掉。30个人的餐厅来了300人，那就想办法把餐厅扩大(比如临时再租一个门面，并请一些厨师)，让300个人都能坐下，那么就不影响正常的用户了。对于网站来说，就是在短时间内急剧扩容，提供几倍或几十倍的带宽，顶住大流量的请求。这就是为什么云服务商可以提供防护产品，因为他们有大量冗余带宽，可以用来消化 DDOS 攻击。

　　一个朋友传授了一个方法，给我留下深刻印象。某云服务商承诺，每个主机保 5G 流量以下的攻击，他们就一口气买了5个。网站架设在其中一个主机上面，但是不暴露给用户，其他主机都是镜像，用来面对用户，DNS 会把访问量均匀分配到这四台镜像服务器。一旦出现攻击，这种架构就可以防住 20G 的流量，如果有更大的攻击，那就买更多的临时主机，不断扩容镜像。

　　4、CDN

　　CDN 指的是网站的静态内容分发到多个服务器，用户就近访问，提高速度。因此，CDN 也是带宽扩容的一种方法，可以用来防御 DDOS 攻击。

　　网站内容存放在源服务器，CDN 上面是内容的缓存。用户只允许访问 CDN，如果内容不在 CDN 上，CDN 再向源服务器发出请求。这样的话，只要 CDN 够大，就可以抵御很大的攻击。不过，这种方法有一个前提，网站的大部分内容必须可以静态缓存。对于动态内容为主的网站(比如论坛)，就要想别的办法，尽量减少用户对动态数据的请求。

　　上一节提到的镜像服务器，本质就是自己搭建一个微型 CDN。各大云服务商提供的高防 IP，背后也是这样做的：网站域名指向高防 IP，它提供一个缓冲层，清洗流量，并对源服务器的内容进行缓存。

　　这里有一个关键点，一旦上了 CDN，千万不要泄露源服务器的 IP 地址，否则攻击者可以绕过 CDN 直接攻击源服务器，前面的努力都白费。搜一下"绕过 CDN 获取真实 IP 地址"，你就会知道国内的黑产行业有多猖獗。

　　5、保证服务器系统的安全

　　首先要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。

　　6、隐藏服务器的真实IP地址

　　不要把域名直接解析到服务器的真实IP地址，不能让服务器真实IP泄漏，服务器前端加CDN中转(免费的CDN一般能防止5G左右的DDOS)，如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。

　　总之，只要服务器的真实IP不泄露，5G以下小流量DDOS的预防花不了多少钱，免费的CDN就可以应付得了。如果攻击流量超过10G，那么免费的CDN可能就顶不住了，需要购买一个高防的盾机来应付了，而服务器的真实IP同样需要隐藏。

　　7、定期扫描：要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。

　　8、骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

　　9、在骨干节点配置专业的抗拒绝服务设备，抗拒绝服务设备针对目前广泛存在的DOS、DDOS等攻击而设计，为您的网站、信息平台、基于Internet的服务等提供完善的保护，使其免受别有用心之人的攻击、破坏。

　　10、用足够的机器承受黑客攻击这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

　　11、充分利用网络设备保护网络资源：所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。

　　关于ddos怎么攻击和ddos怎么防御就为大家介绍到这里，如果您有任何关于服务器安全的问题，都可以向安全狗的技术咨询，我们会尽量帮您解决，如果您遇到比较大型的，复杂的ddos攻击，自己或者公司无法解决，可以试着用一下安全狗的抗ddos云服务http://www.safedog.cn/index/publicCloudIndex.html?tab=6，注册即可免费试用。