单挑 VS 群殴 专栏

一、谶曰

大东：小白啊，你知道“世界拳王”迈克•泰森吗？

小白：知道啊东哥，泰森应该算是家喻户晓了吧，他可是历史上最年轻的重量级拳王啊，而且在《叶问3》里面的精彩演出还让他获得了“最佳新演员”呢。

大东：呦呵，小白你知道的还真不少呀，那你觉得泰森这样的大块头和100个你这样的小体格比武的话，谁能赢呢？

小白：那当然是拳王稳赢啊！感觉人家的大胳膊比我的腰都粗（委屈脸）。

大东：不要这么妄自菲薄嘛，俗话说双拳难敌四手，就算是拳王也不一定能打赢100个你哦。在我们电脑攻击里也有这种群起而攻却不单打独斗的攻击。

小白：东哥，快给我讲讲吧！

形象的DDoS攻击（图片来自网络）

二、话说事件——2000年DDoS攻击事件

大东：一晃2019年都已经过半了，时间过得好快啊，回想在过去的2018年里，DDoS在全球的攻击事件越来越频繁，攻击流量也越来越大，攻击的方式越来越多样化，网络安全问题渐渐成为了大家关注的焦点。

小白：是啊，在20世纪的最后几年里，DDoS横空出世，随后屡次在网络中引起轩然大波，即使对网络安全并不那么了解的人，对它也是耳熟能详。东哥，其实不瞒您说，我对于DDoS也只是知道一点皮毛，在您面前不敢卖弄。

大东：你个小鬼头还算诚实，我来给你讲讲DDoS的“前世”“今生”吧，你以后再跟别人聊起来的时候也能侃侃而谈了。

小白：东哥我小板凳都搬好了，就等您开讲了。

DDoS攻击（图片来自网络）

大东：这首先要从2000年的DDoS攻击事件讲起了。2000年2月，不少知名网站遭到了DDoS的攻击，并且导致部分网站瘫痪。这是一位来自加拿大年仅15岁的孩子干的，虽然他年纪不大，但这次造成的损失却相当大，全部损失估计达到12亿美元。

小白：年仅15岁就可以造成这么大的损失了，那这么说这个DDoS攻击很简单喽？

大东：也不能这么片面地说，DDoS的攻击因为周期短、频率高、强度大，所以能给网站带来不小的损失，但是攻击操作确实非常简单。它是利用多台已经被攻击者所控制的机器对某一台单机发起攻击，在带宽相对的情况下，被攻击的主机很容易失去反应能力。

小白：东哥，我刚刚查了一下，网上对于DDoS是这么说的，说它是分布式拒绝服务攻击，借助于客户或者服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。那到底是怎么利用多台机器呢？

三、大话始末

DDoS攻击系统（图片来自网络）

大东：举个例子来说吧。假如一个饭店可以容纳100人同时就餐，但有一天某个商家恶意竞争，雇佣了200人来这个饭店坐着不吃不喝，导致饭店满满当当无法正常营业，这就相当于DDoS攻击。

小白：哦，我明白了，它的原理就是拒绝服务攻击，也就是攻击者想办法让目标机器停止提供服务或者资源访问，从而阻止正常用户的访问。这些资源既包括磁盘空间、内存、进程，也包括网络带宽。东哥，现在我知道了什么是DDoS，那DDoS攻击的方式是什么呢？

大东：比如攻击宽带，就跟现在的交通堵塞情况一样，当网络数据包的数量达到或者超过上限的时候，会出现网络拥堵、响应缓慢的情况。DDoS就是利用这个原理，发送大量网络数据包，占满被攻击目标的全部带宽，从而造成正常请求失效，达到拒绝服务的目的。

DDoS攻击宽带（图片来自网络）

小白：那DDoS只有这一种攻击方式吗？

大东：还有攻击系统的方式。这种攻击方式是用受控主机建立大量恶意的TCP连接，占满被攻击目标的连接表，使其无法接受新的TCP连接请求。如果攻击者发送了大量的TCP SYN报文，连接表被很快占满，这就导致无法建立新的TCP连接。不过这并不是DDoS最常用的攻击方式。

小白：那最常用的攻击方式是什么呢？

大东：随着僵尸网络向着小型化的趋势发展，黑客为降低攻击成本，有效隐藏攻击源，躲避安全设备，同时保证攻击效果，DDoS攻击方式主要有两个：一种是UDP及反射式大流量高速攻击，另一种是多协议小流量及慢速攻击。2016年美国就曾经遭遇史上最大规模DDoS攻击，导致东海岸网站集体瘫痪。

受到DDoS攻击的美国地图

小白：那次事件我也听说了，据调查共有83家网站受到了影响呢。

四、小白内心说

小白：这么强悍的DDoS攻击就没有办法来防御吗？

大东：完全杜绝DDoS是不可能的，但通过适当的措施抵御90%的DDoS攻击是可以做到的。首先要经常检查系统是否存在漏洞，以便于及时安装系统补丁程序。并且建立备案机制，对一些重要的信息实施双重保护，还有一些特权账号的密码设置一定要谨慎。

提高系统安全性抵御DDoS攻击

小白：嗯，对了，我们还要经常检查系统的物理环境，将不必要的网络服务禁止。建立边界安全界限，确保输出的包受到正确限制。经常查看系统配置信息，并检查每天的安全日志。

大东：是的，除了这些方式，我们还可以利用网络安全设备来加固网络的安全性，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包。与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。

小白：如果发现正在遭受DDoS攻击时，我们应该怎么办呢？

大东：应当启动应急策略，尽可能快地追踪攻击包，并且及时联系ISP和有关应急组织，分析受影响的系统，查看涉及的其他节点情况，从而阻挡从已知攻击节点的流量。如果用户是潜在的DDoS攻击受害者，并且用户发现自己的计算机被攻击者用作主控端和代理端时，不能掉以轻心。攻击者一旦发现用户系统的漏洞，就会抓住时机对该用户进行攻击。所以在系统中存在DDoS攻击的工具软件一定要及时把它清除，以免留下后患。

小白：强悍的DDoS攻击也是有办法防御的嘛！长知识了！

大东：小白，今天给你介绍了这么多防御DDoS攻击的方法，记得介绍给身边的朋友哦~

来源：中国科学院计算技术研究所