週五下班比較早，我正在家裡面玩吃雞遊戲，正在瘋狂的跑毒，這時候坐在旁邊刷著抖音的女朋友問了我一個奇怪的問題。

分散式拒絕服務(DDoS：Distributed Denial of Service)攻擊，是指攻擊者利用大量“肉雞”對攻擊目標發動大量的正常或非正常請求、耗盡目標主機資源或網路資源，從而使被攻擊的主機不能為正常使用者提供服務。

DoS

在介紹DDoS之前，需要先簡單介紹一下什麼是DoS。

DoS（拒絕服務，Denial of Service）就是利用合理的服務請求來佔用過多的服務資源，從而使合法使用者無法得到服務的響應。這是早期非常基本的網路攻擊方式。

舉一個簡單的例子，小王開了一家商店，店面不大，加上小王一共有三個服務員。由於他們這裡物美價廉，工作人員的態度又比較友善，所以慢慢的生意越來越好。

但是，這家店所在的小鎮上有一個惡霸，惡霸看到小王的店很賺錢，想要通過一些下作的手段謀取私利。於是他裝扮成普通的顧客，在小王的店裡有一搭無一搭的總和店員攀談，問問這個多少錢，問問那個怎麼賣，還時不時的給店員提供一些虛假資訊，比如哪裡缺貨了之類的資訊。使店員們都被他搞的團團轉。

由於惡霸是裝作普通顧客的，小王和店員們又不能徹底不理他，所以就要分出一些精力來服務他，但是由於店內的服務員有限。這樣一來，很多其他的顧客就可能受到了冷落。

對於網站來說，其實也是一樣的，網站就像是小王的商店一樣。對於一個網站來說，他是要搭建在伺服器上面的，而由於硬體資源有限，所以服務能力也是有限的。如果有人頻繁訪問或者長時間佔用資源，就會導致其他使用者的體驗有所下降。

這種，利用合理的服務請求來佔用過多的服務資源，從而使合法使用者無法得到服務的響應的行為，就是DoS攻擊。

在資訊保安的三要素——保密性、完整性和可用性中，DoS針對的目標正是可用性。該攻擊方式利用目標系統網路服務功能缺陷或者直接消耗其系統資源，使得該目標系統無法提供正常的服務。

DDoS

如果只是一個惡霸的話，只要能夠識別出來，然後阻止他進入店鋪就行了。

隨著惡霸被發現之後，他也想了一個辦法，這次他不再自己一個人跑去店裡搗亂了，而是糾集了一群無賴，而這些無賴每天都換，店鋪裡面的服務員根本識別不出來到底誰是惡霸派來的。

無賴們扮作普通客戶一直擁擠在商場，賴著不走，真正的購物者卻無法進入；或者總是和營業員有一搭沒一搭的東扯西扯，讓工作人員不能正常服務客戶；也可以為商鋪的經營者提供虛假資訊，商鋪的上上下下忙成一團之後卻發現都是一場空，最終跑了真正的大客戶，損失慘重。一個無賴去胡鬧，就是 DoS攻擊，而一群無賴去胡鬧，就是 DDoS攻擊。

DDoS的危害

當伺服器被DDos攻擊時，一般會出現以下現象：

被攻擊主機上有大量等待的TCP連線；

網路中充斥著大量的無用的資料包；

受害主機無法正常和外界通訊；

受害主機無法處理所有正常請求；嚴重時會造成系統宕機。

對於使用者來說，在常見的現象就是網站無法訪問。

DDoS的防範

為了對抗 DDoS攻擊，你需要對攻擊時發生了什麼有一個清楚的理解。簡單來講，DDoS 攻擊可以通過利用伺服器上的漏洞，或者消耗伺服器上的資源(例如 記憶體、硬碟等等)來達到目的。

一般來說，可以用以下辦法防範：

1、如果可以識別出攻擊源，如機器IP等，可以在防火牆伺服器上放置一份 ACL（訪問控制列表) 來阻斷這些來自這些 IP 的訪問。

2、對於頻寬消耗型攻擊，最有效的辦法那就是增加貸款。

3、提高伺服器的服務能力，增加負載均衡，多地部署等。

4、優化資源使用提高 web server 的負載能力。例如，使用 apache 可以安裝 apachebooster 外掛，該外掛與 varnish 和 nginx 整合，可以應對突增的流量和記憶體佔用。

5、使用高可擴充套件性的 DNS 裝置來保護針對 DNS 的 DDOS 攻擊。可以考慮購買 Cloudfair 的商業解決方案，它可以提供針對 DNS 或 TCP/IP3 到7層的 DDOS 攻擊保護。

6、啟用路由器或防火牆的反IP欺騙功能。

7、付費，使用第三方的服務來保護你的網站。

8、監控網路和 web 的流量。時刻觀察流量變化

9、保護好 DNS 避免 DNS 放大攻擊。

對於網路攻擊，沒有任何辦法徹底阻止和避免 ，只能盡最大努力不斷提高黑客攻擊成本。

參考資料：https://www.oschina.net/translate/15-ways-to-stop-ddos-attacks-in-network