DDOS攻击的那些事

DDOS攻击的那些事"/>

DDOS攻击的那些事

在互联网中一谈起DDOS攻击，人们往往谈虎色变。DDOS攻击被认为是安全领域最难解决的问题之一，迄今为止也没有一个完美的解决方案。各个互联网公司都等着5G时代的来临，等它来临分物联网领域的一份羹。当物联网时代真正来临的时候，网络设备数量会呈指数性地增长，对DDOS攻击的防御确实带来了一个很大的威胁。

一.DDOS简介

DDOS又称为分布式拒绝服务攻击，全称是Distributed Denial os Service。DDOS本是利用合理的请求造成资源过载，导致服务不可用。比如一个停车场总共有100个车位，当100个车位都停满车后，再有车想要停进来，就必须等已有的车先出去才行。如果已有的车一直不出去，那么停车场的入口就会排起长队，停车场的负荷过载，不能正常工作了，这种情况就是“拒绝服务”。

我们的系统就好比是停车场，系统中的资源就是车位。资源是有限的，而服务必须一直提供下去。如果资源都已经被占用了，那么服务也将过载，导致系统停止新的响应。

分布式拒绝服务攻击，将正常请求放大了若干倍，通过若干网络节点同时发起攻击，以达成规模响应。这些网络节点往往是黑客们所控制的“肉鸡”，数量达到一定规模后，就形成了一个“僵尸网络”。大型的僵尸网络，甚至达到了数万、数十万台的规模。如此规模的僵尸网络发起的DDOS攻击，几乎是不可阻挡的。

常见的DDOS攻击有SYN flood、UDP flood、ICMP flood等。其中SYN flood是一种最为经典的DDOS攻击，其发现于1996年，但是至今仍然保持着非常强大的生命力。SYN flood如此猖獗是因为它利用了TCP协议设计中的缺陷，而TCP/IP协议是整个互联网的基础，牵一发而动全身，如今想要修复这样的缺陷几乎成为不可能的事情。

在正常情况下，TCP三次握手过程如下：

(1)客户端向服务器发送一个SYN包，包含客户端使用的端口号和初始序列号x

(2)服务器端收到客户端发送来的SYN包后，向客户端发送一个SYN和ACK都置位的TCP报文，包含确认号x+1和服务器端的初始序列号y；

(3)客户端收到服务器端返回的SYN+ACK报文后，向服务器端返回一个确认号为y+1、序号为x+1的ACK报文，一个标准的TCP连接完成。

而SYN flood在攻击时，首先伪造大量的源IP地址，分别向服务器端发送大量的SYN包，此时服务器端会返回SYN/ACK包，因为源地址时伪造的，所以伪造