DDoS攻擊作為目前常見的網(wǎng)絡(luò)攻擊之一，給許多企業(yè)用戶的網(wǎng)站業(yè)務(wù)或主機(jī)/服務(wù)器造成了嚴(yán)重的損失。DDoS攻擊因其“破壞性大、防范難度大、無法徹底根除”而成為云計(jì)算服務(wù)、IDC、游戲、電子商務(wù)等行業(yè)的“公敵”。

DDoS是“分布式拒絕服務(wù)”的縮寫，中文意思是“分布式拒絕服務(wù)”。DDoS攻擊，即“分布式拒絕服務(wù)攻擊”，本質(zhì)上屬于“資源消耗”攻擊。它是一種利用“客戶機(jī)/服務(wù)器”技術(shù)，耗盡目標(biāo)系統(tǒng)資源或阻塞攻擊目標(biāo)網(wǎng)絡(luò)帶寬，導(dǎo)致目標(biāo)無法響應(yīng)正常服務(wù)，將多臺計(jì)算機(jī)組合為攻擊平臺，對一個(gè)或多個(gè)目標(biāo)進(jìn)行攻擊。DDoS攻擊是基于DOS的拒絕服務(wù)攻擊的一種特殊形式。它是一種分布式協(xié)作的大規(guī)模攻擊模式。主要針對一些企業(yè)或政府部門的網(wǎng)站發(fā)起攻擊。

DDoS攻擊的危害在于，它可以在短時(shí)間內(nèi)向目標(biāo)發(fā)送大量的訪問請求，試圖耗盡目標(biāo)的網(wǎng)絡(luò)帶寬或服務(wù)器資源，導(dǎo)致目標(biāo)的網(wǎng)絡(luò)被阻塞、癱瘓或服務(wù)器無法響應(yīng)正常的訪問請求，終導(dǎo)致目標(biāo)網(wǎng)站基本無法訪問。如何判斷服務(wù)器是否遭受過DDoS流量攻擊或資源耗盡攻擊，可以通過以下現(xiàn)象來判斷：

1、網(wǎng)站或服務(wù)器訪問突然變得非常緩慢或無法訪問，服務(wù)器上有很多等待“TCP半連接”狀態(tài)；

2、通過ping命令進(jìn)行測試，如果發(fā)現(xiàn)ping超時(shí)或丟包嚴(yán)重（一般情況下），如果排除了網(wǎng)絡(luò)故障因素，則很可能遭受了流量攻擊；如果同時(shí)發(fā)現(xiàn)與您主機(jī)連接的同一交換機(jī)上的服務(wù)器無法訪問，已基本確認(rèn)流量攻擊已經(jīng)發(fā)生。目前，防范和抵御DDoS攻擊的方法很多：

（1）選擇服務(wù)器提供商的“防御服務(wù)器”，利用機(jī)房硬件防火墻對惡意流量進(jìn)行過濾、清理和分發(fā)。磐石云專注于簡單、易用、安全、穩(wěn)定、廉價(jià)的殺毒云服務(wù)器，提供多線BGP防御、DDoS單機(jī)防御、忽略CC等高性價(jià)比云計(jì)算服務(wù)。

（2）購買云服務(wù)提供商或防御CDN服務(wù)提供商的防護(hù)CDN（內(nèi)容分發(fā)網(wǎng)絡(luò)）”，加速網(wǎng)絡(luò)服務(wù)，隱藏網(wǎng)站源服務(wù)器的IP地址。

（3）網(wǎng)絡(luò)帶寬直接決定了抵抗和抵御DDoS攻擊的能力。如果網(wǎng)絡(luò)帶寬容量不足，當(dāng)遇到DDoS流量攻擊時(shí)，由于帶寬已滿并阻塞，很容易無法響應(yīng)正常用戶的訪問請求。因此，必須保證服務(wù)器有足夠的網(wǎng)絡(luò)帶寬來應(yīng)對一定規(guī)模和流量的攻擊。

（4）在網(wǎng)絡(luò)帶寬充足的前提下，請盡量升級和加強(qiáng)服務(wù)器的硬件配置。為了有效抵御DDoS攻擊，關(guān)鍵硬件是CPU和內(nèi)存。

（5）關(guān)閉服務(wù)器不必要的服務(wù)和端口，這也是服務(wù)器運(yùn)維人員常見的做法。在服務(wù)器防火墻中，只打開使用的端口，如：web服務(wù)的端口80、數(shù)據(jù)庫的端口3306、SSH服務(wù)的端口22等，關(guān)閉并屏蔽服務(wù)器不必要的服務(wù)和端口，過濾路由器上的假IP地址，在一定程度上也可以在服務(wù)器防火墻中使用，能夠有效抵御DDoS攻擊。

（6）通過“負(fù)載均衡”技術(shù)，將訪問請求均衡分配給多臺服務(wù)器，外部服務(wù)由多臺服務(wù)器完成，解決了網(wǎng)站大量并發(fā)訪問的問題。