DDoS

一、DDoS定义

DDOS 又称为分布式拒绝服务，全称是 Distributed Denial of Service。DDOS 本是利用合理的请求造成资源过载，导致服务不可用，从而造成服务器拒绝正常流量服务。

二、DDoS 攻击分类

1.漏洞型（基于特定漏洞进行攻击）：只对具备特定漏洞的目标有效, 通常发送特定数据包或少量的数据包即可达到攻击效果。

2.业务型（消耗业务系统性能额为主）：与业务类型高度相关，需要根据业务系统的应用类型采取对应的攻击手段才能达到效果，通常业务型攻击实现效果需要的流量远低于流量型。

3.流量型（消耗带宽资源为主）：主要以消耗目标业务系统的带宽资源为攻击手段，通常会导致网络阻塞，从而影响正常业务。

三、拒绝服务攻击检测方法

1.利用系统漏洞的拒绝服务攻击检测方法

使用资源管理器（Solaris使用ps –aux命令）检查当前内存、CPU等资源占用情况。检测系统进程和快照对比，找出非法进程。检测网络连接和快照对比，找出可疑的网络连接。

2.利用网络协议的拒绝服务攻击检测方法

对于SYN-FLOOD攻击，可通过利用netstat –an 命令（适用于Windows/Unix系统），能发现当前活动连接的状态中存在大量的 SYN_RECEIVED 状态包，这表明系统正受到SYN-FLOOD拒绝服务攻击。通过使用SNIFFER，如果发现大量非正常网络连接，或协议的非正常分布（如icmp或UDP协议数据超过总流量的20%），表明系统正在受到拒绝服务攻击。

四、如何防范

全面的防御工作需要从网络链路、域名解析、网站应用、数据库服务等多方面着手。然而DDOS的攻防是一个‘非对称战争’，攻防消耗的资源比例悬殊，很容易达到一比一千甚至更高。

针对纷繁多样的网络攻击，相关安全专家认为，要筑牢数字安全屏障，增强国家整体安全防护能力，其核心是建设面向未来的数字安全体系。这就需要所有的IT供应商和安全厂商提升自己的安全实力，对于各种攻击有各种弹性恢复的备案，保证系统即使在不可避免被攻击破坏的情况下也能及时恢复，不让业务受到影响。