淺談計算機網絡DDos攻擊與防御

汪德鄰

摘 ?要：隨著電子計算機科技的發展，我國的計算機網絡系統也有了很大的提高。計算機網絡系統的建設在帶動經濟發展的同時，也有了很多的安全隱患。本文主要從計算機網絡中常見DDos攻擊由展開的探討，并提出了計算機網絡防御DDos的措施和有效的策略，希望有一定的借鑒作用。

關鍵詞：計算機網絡安全;DDos攻擊;DDos防御

一、前言

隨著電子計算機科技的發展，我國的計算機網絡系統也有了很大的提高。計算機網絡系統的建設在帶動經濟發展的同時，也有了很多的安全隱患。本文主要從計算機網絡中常見DDos攻擊由展開的探討，并提出了計算機網絡防御DDos的措施和有效的策略，希望有一定的借鑒作用。

二、DDos基本概念

分布式拒絕服務攻擊（Distributed Denial of service）簡稱DDOS，這個詞是專業術語，我們可以拆分來解釋一下這個專業術語，首先要理解什么是拒絕服務攻擊，黑客通過發起網絡攻擊，導致合法用戶不能夠訪問正常網絡服務，那這樣的黑客攻擊行為就算是拒絕服務攻擊。也就是說黑客要阻止合法用戶對正常網絡資源的訪問。舉個好理解例子，比如用戶要訪問網易網站www.163.com，如果該網站被DDos攻擊成功了，就會導致用戶打不開這個網站，瀏覽器顯示網站出現連接錯誤。

其次，我們解釋下分布式，我們繼續以網易網站為例，黑客攻擊網易網站的服務器，他不是用自己上網的這一臺機器發起對網易網站服務器的攻擊，而是控制在網絡上各個不同地方的計算機，同時發起對網易的攻擊，這些不同地方的計算機，我們就可以簡單理解成是地域上分布式的。如下圖數字3里面的傀儡機，他們就是分布式的，在各個不同的地方，但是他們都會統一攻擊一個目標受害者。

所以，DDos專業術語就是分布式拒絕服務攻擊。

DDos攻擊的步驟

那知道了術語的解釋，我們在結合上圖，了解下黑客到底是怎么發起DDos攻擊的，首先，黑客會在網絡上找一臺被他通過網絡攻克并控制的計算機，然后黑客把DDoS主控程序安裝在這個個計算機上，如上圖中2里面所示，這臺被安裝了DDos主控程序的計算機，就稱為控制傀儡機。

上圖3里面，那些分布式的 攻擊傀儡機，也都是被黑客攻克并安裝了大量代理程序，

在一個設定的時間，黑客操作控制傀儡機主控程序與大量攻擊傀儡機保持通訊，攻擊傀儡機上的代理程序收到控制傀儡機發出的攻擊指令時，就會對受害者發動攻擊。

那被攻擊的受害者是什么情況呢？同一時間大量的攻擊傀儡機訪問受害者服務器主機，就等于短時間制造了很多高流量無用數據，這些無用的數據造成網絡擁塞，使受害主機無法正常和外界通訊。大量無用數據也使受害主機無法及時處理所有正常請求，是主機上一些應用程序 CPU 利用率達到 100%，嚴重時會造成系統死機。

DDos攻擊動機

我們理解了DDos攻擊原理，那有沒有想過，黑客為什么要做這樣一件事情？僅僅是為了炫耀自己的技術嗎？

其實不是，真正的黑客沒有這么無聊的。他們的一切行為，大部分都是沖著利益去的。黑客常見的行為有三種：敲詐勒索、實施報復和獲取競爭優勢。

敲詐勒索

這個很好理解，比如網易公司網站推廣做的很好，黑客用DDos攻擊了網易公司的網站，網易的網站打不開了，用戶訪問不了網站，對網易公司而言，原本網站上有客戶投放的廣告，現在因為打不開網站而無法顯示，這樣就會對網易的正常業務造成嚴重的影響。而這個時候，黑客都會主動去找網易公司負責人，比如向負責人發送勒索信，要求網易公司給他一筆錢，如果不按照要求支付，就會繼續遭受黑客攻擊。這樣的行為有點類似古代的蒙面土匪搶劫。被搶劫的用戶被搶之后，都不知道是搶劫的自己。由于黑客是匿名搶劫，所以自己相對安全，這樣就導致了大量的黑客使用DDos攻擊來實施敲詐勒索。尤其是在比特幣區塊鏈技術上的匿名支付功能興起后，越來越多的黑客選擇通過使用比特幣來獲取收入，這樣的好處就是就實現了黑客賬戶的絕對安全，壞處就是越來越的黑客開始在互聯網上發起DDos攻擊來敲詐勒索。

實施報復

這個可以這樣理解，比如一家公司在上周開除了一個技術員工，可是公司不知道，這個員工其實是個黑客，這個員工對公司心存不滿，而且剛從公司出來，對公司的內容情況很是了解，這樣這個黑客就能從公司網站最薄弱的地方發起攻擊，讓公司網站無法訪問，影響公司正常的業務，通過這樣的方式實施對公司的打擊報復，以發泄自己的不滿，也是DDos攻擊常見的方式。

獲取競爭優勢

有人的地方就有江湖，尤其是一些競爭激烈的行業，有競爭的公司都會想著用一些方式打壓自己的競爭對手，以此來提升自己。比如有兩家公司，一家名稱為A公司，一家名稱為B公司。他們都在網站上賣自行車，銷售方式是網絡包郵，貨到付款。用戶通過搜索引擎搜索關鍵詞，自行車，排名第一的就是A公司的網站，排名第二的是B公司的網站。因為排名第一，A公司的業績比B公司好很多，B公司為了提高業績，聯系了黑客，付費給黑客，讓黑客發起對A公司的攻擊，破壞A公司的正常業務。黑客在同意并接受B公司的付款后，就會發起對A公司的DDos攻擊，這樣A公司網站就打不開了。對用戶而言，A公司網站打不開，那用戶自然就都會去B公司買自行車，這樣B公司在競爭中就獲得了極大優勢。當然，對一些極端的黑客而言，他們的做法可能更令人不齒，他們會在結束與B公司的合作后，反過來主動去聯系A公司，讓A公司付費給他，他再去公司B公司。于是這樣，網絡上就存在大量因為為了獲取競爭優勢而出現的DDos攻擊。

DDos常見攻擊方式

●HTTP Flood：針對系統的每個Web頁面，或者資源，或者Rest API，用大量肉雞，發送大量http request。這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調用MSSQLServer、MySQLServer、Oracle等數據庫的網站系統而設計的，特征是和服務器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用，典型的以小博大的攻擊方法。缺點是對付只有靜態頁面的網站效果會大打折扣。

●P2P攻擊：每當網絡上出現一個熱門事件，比如XX門，精心制作一個種子，里面包含正確的文件下載，同時也包括攻擊目標服務器的IP。這樣，當很多人下載的時候，會無意中發起對目標服務器的TCP連接。

SYN Flood：利用TCP協議的原理，這種攻擊方法是經典最有效的DDOS方法，可通殺各種系統的網絡服務，主要是通過向受害主機發送大量偽造源IP和源端口的SYN或ACK 包，導致主機的緩存資源被耗盡或忙于發送回應包而造成拒絕服務。

4.? ?慢速攻擊：Http協議中規定，HttpRequest以＼r＼n＼r＼n結尾來表示客戶端發送結束。攻擊者打開一個Http 1.1的連接，將Connection設置為Keep-Alive，保持和服務器的TCP長連接。然后始終不發送＼r＼n＼r＼n，每隔幾分鐘寫入一些無意義的數據流，拖死機器。

DDos常見防御方法

我們在了解了互聯網上黑客發起攻擊的動機與常見的攻擊方式后，就會明白DDos攻擊在未來只會越來越多，那針對這樣的情況，作為網絡安全的管理人員，就需要全面武裝自己的網站，來抵御黑客發起的攻擊。

對于網站管理員而言，可以在服務器端進行這些操作來優化自己的服務器

1 .制作IP黑名單

加入黑名單的IP就不會讓他們訪問網站了

2.限制IP的每日訪問次數

一般來說，一個用戶的訪問深度很少超過10個，跳出率一般在50%-70%之間。其實我們要做的把單個IP的日訪問量控制在100甚至50以內即可。

3.限制并發數

光限制訪問次數還是不夠的，攻擊者可能瞬間涌入成百上千的請求，如果這些請求到后端服務，會打垮數據庫服務的，所以我們還要基于我們自身網站訪問情況設置并發數。

4. 配置CDN

基于帶寬以及正常用戶訪問速度的考量，建議配置CDN，因為cdn擁有強大的帶寬，每個節點可以承受住大量的訪問。因此可以保證網站的運行穩定。網站運行穩定了，沒有漏洞了，在一定程度上是可以抵制ddos攻擊。

5.加強防火墻配置

例如設置防火墻的開發端口，關閉服務器上不必要的服務。確保服務器的系統文件是最新的版本，并及時更新系統補丁。

結語

信息技術日益發達的今天，數據安全越來越受到人們的重視，防范于未然，同時，既要學會保護自己數據，也要做個守民，不做威脅他人數據安全的行為。

參考文獻

[1]? 孫向軍.計算機安全漏洞檢測技術的應用[J].電子制作，2015，（7）：134-134，135.

[2]? 卿桐.互聯網+時代大學計算機基礎教育應與時俱進[J].電腦知識與技術，2017（32）：132-133+135.