當我們網站(zhàn)受到DDOS攻擊怎麽辦？應該采取什麽措施解決與防範？相(xiàng)信很多人(rén)應該遇到這樣的情況吧(ba)？

盡管大(dà)型網站(zhàn)經常受到攻擊，并且在超負荷的負載下，這些公司和網絡仍然要竭盡所能地去(qù)轉移這些攻擊，而且最重要是要保持他(tā)們的網站(zhàn)能夠正常地浏覽。即便你(nǐ)管理(lǐ)的是一個小站(zhàn)點，比如(rú)小公司或者小型網站(zhàn)這種規模的網絡，你(nǐ)不知道什麽時候就(jiù)有人(rén)會對你(nǐ)下黑(hēi)手。那麽接下來(lái)，讓我們深圳網站(zhàn)建設公司帶您去(qù)看(kàn)看(kàn)DDOS"背後"的一些細節和攻擊方式，以便于我們能夠讓我們的網絡更加地安全。

多種攻擊類型

用PING命令就(jiù)可(kě)以執行操作(zuò)ICMP請(qǐng)求，這個請(qǐng)求非常容易造成網絡堵塞。DDOS攻擊可(kě)以通過多種途徑來(lái)完成，ICMP也隻是其中之一。

此外，有一種Syn攻擊，發動這種攻擊時，實際上僅僅是打開了一個TCP鏈接，之後通常會連接到一個網站(zhàn)上，但(dàn)關鍵是，這個操作(zuò)并沒有完成初始握手，就(jiù)離(lí)開了挂靠的服務器。

另一種聰明的做法是使用DNS。有很多網絡供應商都(dōu)有自(zì)己的DNS服務器，而且允許任何人(rén)進行查詢，甚至有些人(rén)都(dōu)不是他(tā)們的客戶。并且一般DNS都(dōu)使用UDP，UDP是一種無連接的傳輸層協議(yì)。有了以上兩個條件(jiàn)作(zuò)爲基礎，那些攻擊者就(jiù)非常容易發動一場拒絕服務攻擊。所有攻擊者要做的就(jiù)是找到一個開放(fàng)的DNS解析器，制作(zuò)一個虛拟UDP數據包并僞造一個地址，對着目标網站(zhàn)将其發送到DNS服務器上面。當服務器接收到攻擊者發送的請(qǐng)求，将會信以爲真，并且向僞造地址發送請(qǐng)求回應。事(shì)實上是目标網站(zhàn)接收了互聯網上一群開放(fàng)的DNS解析器的請(qǐng)求與回複，從(cóng)而代替了僵屍網絡的攻擊。另外，這類攻擊具有非常大(dà)的伸縮性，因爲你(nǐ)可(kě)以給DNS服務器發送一種UDP數據包，請(qǐng)求某一側的轉存，造成一個大(dà)流量的回應。

DDOS攻擊的多種途徑

拒絕服務曾經是一種非常簡單的攻擊方式。有些人(rén)開始在他(tā)們的電腦上運行PING命令，鎖定目标地址，讓其高速運轉，試圖向另一端發送洪水般的ICMP請(qǐng)求指令或者數據包。當然，因爲這邊發送速度的改變，攻擊者需要一個比對方站(zhàn)點更大(dà)的帶寬。首先，他(tā)們會搬到有大(dà)型主機(jī)的地方，類似有大(dà)學服務器或者教研所那樣的大(dà)型帶寬的地方，然後從(cóng)這裡(lǐ)發出攻擊。但(dàn)現代的僵屍網絡在任何情況下幾乎都(dōu)能使用，相(xiàng)對來(lái)說(shuō)它的操作(zuò)更簡單，使攻擊完全分(fēn)布開來(lái)，顯得(de)更加隐蔽。

事(shì)實上，因爲惡意軟件(jiàn)的制造者，僵屍網絡的運營已經成爲了一條鮮明的産業鏈。實際他(tā)們已經開始出租那些肉機(jī)，并且按小時收費。如(rú)果有人(rén)想要搞垮一個網站(zhàn)，隻要給這些攻擊者付夠錢，然後就(jiù)會有成千上萬的僵屍電腦去(qù)攻擊那個網站(zhàn)。一台受感染的電腦或許無法把一個站(zhàn)點搞垮，但(dàn)若是有10000台以上的電腦同時發送請(qǐng)求，它們會将把未受保護的服務器"塞滿"。

如(rú)何保護你(nǐ)的網絡

正如(rú)你(nǐ)所見(jiàn)，DDOS攻擊五花八門(mén)，防不勝防，當你(nǐ)想建立一個防禦系統對抗DDOS的時候，你(nǐ)需要掌握這些攻擊的變異形态。

最笨的防禦方法，就(jiù)是花大(dà)價錢買更大(dà)的帶寬。拒絕服務就(jiù)像個遊戲一樣。如(rú)果你(nǐ)使用10000個系統發送1Mbps的流量，那就(jiù)意味着你(nǐ)輸送給你(nǐ)的服務器每秒鍾10Gb的數據流量。這就(jiù)會造成擁堵。這種情況下，同樣的規則适用于正常的冗餘。這時，你(nǐ)就(jiù)需要更多的服務器，遍布各地的數據中心，和更好的負載均衡服務了。将流量分(fēn)散到多個服務器上，幫助你(nǐ)進行流量均衡，更大(dà)的帶寬能夠幫你(nǐ)應對各種大(dà)流量的問(wèn)題。但(dàn)現代的DDOS攻擊越來(lái)越瘋狂，需要的帶寬越來(lái)越大(dà)，你(nǐ)的财政狀況根本不允許你(nǐ)投入更多的資金。另外，絕大(dà)多數的時候，你(nǐ)的網站(zhàn)并不是主要攻擊目标，很多管理(lǐ)員(yuán)都(dōu)忘了這一點。

網絡中最關鍵的一塊就(jiù)是DNS服務器。将DNS解析器處于開放(fàng)狀态這是絕對不可(kě)取的，你(nǐ)應當把它鎖定，從(cóng)而減少一部分(fēn)攻擊風(fēng)險。但(dàn)這樣做了以後，我們的服務器就(jiù)安全了嗎(ma)？答案當然是否定的，即使你(nǐ)的網站(zhàn)，沒有一個可(kě)以鏈接到你(nǐ)的DNS服務器，幫你(nǐ)解析域名，這同樣是非常糟糕的事(shì)情。大(dà)多數完成注冊的域名需要兩個DNS服務器，但(dàn)這遠(yuǎn)遠(yuǎn)不夠。你(nǐ)要确保你(nǐ)的DNS服務器以及你(nǐ)的網站(zhàn)和其他(tā)資源都(dōu)處于負載均衡的保護狀态下。你(nǐ)也可(kě)以使用一些公司提供的冗餘DNS。比如(rú)，有很多人(rén)使用内容分(fēn)發網絡（分(fēn)布式的狀态）給客戶發送文件(jiàn)，這是一種很好的抵禦DDOS攻擊的方法。若你(nǐ)需要，也有很多公司提供了這種增強DNS的保護措施。

若是你(nǐ)自(zì)己管理(lǐ)你(nǐ)的網絡和數據，那麽就(jiù)需要着重保護你(nǐ)的網絡層，要進行很多配置。首先确保你(nǐ)所有的路(lù)由器都(dōu)能夠屏蔽垃圾數據包，剔除掉一些不用的協議(yì)，比如(rú)ICMP這種的。然後設置好防火(huǒ)牆。很顯然，你(nǐ)的網站(zhàn)永遠(yuǎn)不會讓随機(jī)DNS服務器進行訪問(wèn)，所以沒有必要允許UDP 53端口的數據包通過你(nǐ)的服務器。此外，你(nǐ)可(kě)以讓你(nǐ)的供應商幫你(nǐ)進行一些邊界網絡的設置，阻止一些沒用的流量，保證你(nǐ)能夠得(de)到一個最大(dà)的最通暢的帶寬。很多網絡供應商都(dōu)給企業提供這種服務，你(nǐ)可(kě)以與其網絡運營中心聯系，讓他(tā)們幫你(nǐ)優化流量，幫你(nǐ)監測一下你(nǐ)是否到了攻擊。

類似Syn的攻擊，也有很多方法來(lái)阻止，比如(rú)通過給TCP積壓，減少Syn-Receive定時器，或者使用Syn緩存等等。

最後，你(nǐ)還(hái)得(de)想想如(rú)何在這些攻擊到達你(nǐ)網站(zhàn)前就(jiù)将它們攔截住。例如(rú)，現代網站(zhàn)應用了許多動态資源。在受到攻擊的時候其實帶寬是比較容易掌控的，但(dàn)最終往往受到損失的是數據庫或是你(nǐ)運行的腳本程序。你(nǐ)可(kě)以考慮使用緩存服務器提供盡可(kě)能多的靜(jìng)态内容，還(hái)要快(kuài)速用靜(jìng)态資源取代動态資源并确保檢測系統正常運行。

最糟糕的一種情況就(jiù)是你(nǐ)的網絡或站(zhàn)點完全癱瘓了，你(nǐ)應該在攻擊剛剛開始的時候就(jiù)做好預備方案。因爲攻擊一旦開始，想要從(cóng)源頭阻止DDOS是非常困難的。最後，你(nǐ)應該好好琢磨琢磨如(rú)何讓你(nǐ)的基礎建設更加合理(lǐ)與安全，并且要着重注意你(nǐ)的網絡設置。這些都(dōu)是非常重要的。

以上就(jiù)是我們深圳網站(zhàn)建設公司教您的如(rú)何應對DDOS的攻擊的方法，看(kàn)完以上的内容您是不是對如(rú)何應對DDOS的攻擊已經有了一定的了解了呢(ne)？源美設計(jì)是企業營銷型網站(zhàn)制作(zuò)專家，爲您提供專業的深圳營銷型網站(zhàn)建設服務，全網推廣服務，深圳企業網站(zhàn)推廣，互聯網營銷課程培訓，深圳新媒體(tǐ)營銷服務，并提供一體(tǐ)化的網站(zhàn)推廣解決方案，服務熱(rè)線：0755-36630155，緻電客戶專線：138-2888-3821謝先生(shēng)

文章(zhāng)引用：

本站(zhàn)文章(zhāng)爲深圳網站(zhàn)建設·源美網絡原創策劃，如(rú)有版權糾紛或者違規問(wèn)題，請(qǐng)聯系我們删除，謝謝！