什么是DDOS攻击?

DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务，而DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection Denial of Service的简写,这是分布反射式拒绝服务的意思。

不过这3中攻击方法最厉害的还是DDoS，那个DRDoS攻击虽然是新近出的一种攻击方法，但它只是DDoS攻击的变形，它的唯一不同就是不用占领大量的“肉鸡”。这三种方法都是利用TCP三次握手的漏洞进行攻击的，所以对它们的防御办法都是差不多的。

DoS攻击是最早出现的，它的攻击方法说白了就是单挑，是比谁的机器性能好、速度快。但是现在的科技飞速发展，一般的网站主机都有十几台主机，而且各个主机的处理能力、内存大小和网络速度都有飞速的发展，有的网络带宽甚至超过了千兆级别。这样我们的一对一单挑式攻击就没有什么作用了，搞不好自己的机子就会死掉。举个这样的攻击例子，假如你的机器每秒能够发送10个攻击用的数据包，而被你攻击的机器(性能、网络带宽都是顶尖的)每秒能够接受并处理100攻击数据包，那样的话，你的攻击就什么用处都没有了，而且非常有死机的可能。要知道，你若是发送这种1Vs1的攻击，你的机器的CPU占用率是90%以上的，你的机器要是配置不够高的话，那你就死定了。

不过，科技在发展，黑客的技术也在发展。正所谓道高一尺，魔高一仗。经过无数次当机，黑客们终于又找到一种新的DoS攻击方法，这就是DDoS攻击。它的原理说白了就是群殴，用好多的机器对目标机器一起发动DoS攻击，但这不是很多黑客一起参与的，这种攻击只是由一名黑客来 *** 作的。这名黑客不是拥有很多机器，他是通过他的机器在网络上占领很多的“肉鸡”，并且控制这些“肉鸡”来发动DDoS攻击，要不然怎么叫做分布式呢。还是刚才的那个例子，你的机器每秒能发送10攻击数据包，而被攻击的机器每秒能够接受100的数据包，这样你的攻击肯定不会起作用，而你再用10台或更多的机器来对被攻击目标的机器进行攻击的话，嘿嘿!结果我就不说了。
DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形，它与DDoS的不同之处就是DrDoS不需要在攻击之前占领大量的“肉鸡”。它的攻击原理和Smurf攻击原理相近，不过DRDoS是可以在广域网上进行的，而Smurf攻击是在局域网进行的。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时，会接到它的回应;如果向本网络的广播地址发送请求包，实际上会到达网络上所有的计算机，这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的，每处理一个就要占用一份系统资源，如果同时接到网络上所有计算机的回应，接收方的系统是有可能吃不消的，就象遭到了DDoS攻击一样。不过是没有人笨到自己攻击自己，不过这种方法被黑客加以改进就具有很大的威力了。黑客向广播地址发送请求包，所有的计算机得到请求后，却不会把回应发到黑客那里，而是发到被攻击主机。这是因为黑客冒充了被攻击主机。黑客发送请求包所用的软件是可以伪造源地址的，接到伪造数据包的主机会根据源地址把回应发出去，这当然就是被攻击主机的地址。黑客同时还会把发送请求包的时间间隔减小，这样在短时间能发出大量的请求包，使被攻击主机接到从被欺骗计算机那里传来的洪水般的回应，就像遭到了DDoS攻击导致系统崩溃。骇客借助了网络中所有计算机来攻击受害者，而不需要事先去占领这些被欺骗的主机，这就是Smurf攻击。而DRDoS攻击正是这个原理，黑客同样利用特殊的发包工具，首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上，根据TCP三次握手的规则，这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。同Smurf攻击一样，黑客所发送的请求包的源IP地址是被攻击主机的地址，这样受欺骗的主机就都会把回应发到被攻击主机处，造成被攻击主机忙于处理这些回应而瘫痪。

通过 TCP 进行的内部蠕虫传播
连接表安全漏洞利用
蠕虫传播期间的未决域名系统 (DNS) 安全漏洞利用
淹没攻击期间的连续 TCP 连接
使用现有连接的超文本传输协议 (>京东云路由器加密要这样设置。
1、首先，将京东云无线宝路由器通电，路由器WAN口与上级交换机或路由器连接，如果你是打算直连光猫也联悦侨是可以的。通过设置静态IP，为该设备分配可靠的IP，这也是为了后面的 *** 作提供保障。
2、顺道检查一下上级路由器的相关信息，发现现在买的路由器大多推出了检查网络的功能，如果你的路由器受到支持，那么更新版本后再来试一试，也许可以用上这个功能。
3、在下一步 *** 作前，先检查更新版本，考虑到有些路由器出厂较早，固件版本什么的都很低，当然，近期生产的可以忽略。
4、修改京东云无线宝路由器的局域网信息，这是防止和已经存在的家中网络冲突，一般这个冲突的概率也不算特别高，同型号的路由必然冲突，要手动设置信召。
5、切记打开DHCP，并将IP范围设置较远，100-250也行。如果想在局域网有专属IP地址，一定要修改，这样服务器的IP可以在2-99任意选择。
6、台式机有线网卡，备份照片的NAS，那就是服务器啊。上一步的 *** 作，为之后的分配IP，提供了很大方便，在DHCP设定范围，所有设备共享，今天是101，30分钟后可能就是102。这一步就把NAS的IP固定。这样接下来的 *** 作就可以继续了。
7、接下来设置DMZ，让上级设备能访问上一步设置的NAS。可以想象成NAS在上级网络完全暴露，在京东云无线宝路由器的局域网也是完全暴露。因此如果京东云无线宝路由器是作为主要路由器，不要开放DMZ。

CC攻击的防御手段

1提高服务器性能

CC攻击是以消耗服务器资源为主，那么高性能服务器硬件能力和充足的网络带宽资源可以提升系统对CC攻击的承载能力，不过提升服务器性能的成本要远比CC攻击成本高，所以谨慎使用。

2网页静态化

纯静态的网页请求可以减少对服务器资源的消耗，提高服务器并发能力，从而让网站具有一定的抗CC能力。

3使用负载均衡

现在很多云服务器商都提供负载均衡器，负载均衡器通过将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力，消除单点故障并提升应用系统的可用性，可以解决一些中小型CC攻击，但其实这跟提高服务器性能一样，成本相当高，跟CC攻击比起来，差太远。

4限制非法请求IP

一些简单的CC攻击其IP是非常少的，可以通过防火墙对CC攻击的IP进行屏蔽访问。这方法只适用于攻击方代理IP少的情况下有效。

5限制浏览器UA

UA是识别浏览器的重要证明，一些CC工具的访问UA都是一样的，我们只要利用防火墙把对方的UA禁止访问，就可以达到防御作用。

6限制IP请求频率

CC攻击为了达到消耗服务器的作用，每个IP都会对服务器进行频繁的访问，通过防火墙限制每个IP 10秒钟内可以访问多少次，超过会被暂时拦截，可有效防御CC攻击。

7JS挑战

这是一种安全防御商常用的防御CC攻击的手段，通过对每个访问网站的访客进行JS质询，合法用户正常跳转，非法用户进行拦截。

8CDN内容分发

CDN类似于负载均衡器， 不同的是CDN对源服务器配置要求高，普通CDN想要防御CC攻击，需要把网站内容全部缓存至CDN节点，让CC攻击尽可能少的请求进服务器，从而达到防御CC攻击的作用，不过CC攻击会产生大量的流量，如果你的CDN是按量计费的，那么请谨慎使用，一不小心就会产生大量的费用，造成严重经济损失。

9推荐防御产品

目前市面上很多防御CC攻击的产品，不过很多效果并不理想，而且误杀几率很高，主机吧这里推荐百度云加速和京东云星盾，这两个都是高防CDN，而且都是大厂产品，主机吧代理百度云加速超过5年，百度云加速防御效果杠杠的，市面上几乎999%的CC攻击都是可以防御，而且误杀极低，推荐大家使用。相关链接

可以采用打通模式开启。
1、如果是打通模式，需要有自研CRM软件或第三方CRM软件支持，并且需要进行入鼎 *** 作，即购买京东云服务器，云服务器的购买费用需要商家承担。其余模式不收费。
2、线上线下打通模式涉及用户数据处理，需要签署品牌会员合作协议，模板找采销提供。

---