ddos攻击安全防御的原理是什么？

DDos 攻击自打出现以后，就成为最难防御的攻击方式。仅仅在过去的一年里，DDoS 的数次爆发就让人大开眼界：

2016年4月，黑客组织对暴雪娱乐发动了 DDoS 攻击，魔兽世界、守望先锋多款游戏出现宕机的情况。 2016年5月，黑客组织针对全球银行机构发动 DDoS 攻击，导致约旦、韩国、摩纳哥等国的央行系统陷入瘫痪。 2016年9月，法国主机商 OVH 受到 DDoS 攻击，峰值达到1Tbps 2016年10月，DynDNS 受到 DDoS 攻击，北美众多网站无法访问，受影响的网站均排前列。

在你不经意之间，DDoS 可能已经在互联网上横行无忌了。

在谈攻防史之前，我们先来看看 DDoS 的攻击原理，知己知彼，百战不殆。

什么是 DDos 攻击？

DDoS攻击是分布式拒绝服务攻击(DistributedDenitionofService)的缩写，其核心是拒绝服务攻击。由于目标计算机的 *** 或系统资源不足，该服务被暂时中断或停止，使其正常用户无法访问它。攻击形式分为带宽消耗型和资源消耗型。带宽消耗类型包括UDP洪水攻击、ICMP洪水攻击等攻击类型，资源消耗类型包括CC攻击、SYN洪水攻击、僵尸 *** 攻击等。对于不同类型的攻击，我们的应对措施是不同的。然而，在我们的日常工作中，我们使用的DDoS攻击一般都是带宽消耗攻击，也就是说，黑客会向您的服务器发送大量UDP数据包，SYN数据包，从而使您服务器的带宽充满了攻击流量，无法向外界提供服务。例如，一个通过互联网访问你的服务器的用户就像一个过桥来找你的客人，但是由于你只有足够的钱建造一座双向四车道的桥，攻击者派了100辆大卡车在你的桥前被堵住，没有一个普通的客人能够过桥来找你。

在这种情况下，你如果想要让你的客人能够继续访问，那就需要升级你的大桥，来让有空余的车道给你的客人来通过。但是，在中国的带宽由三大运营商移动联通电信提供接入，互联网带宽的成本是非常高的，而攻击者使用肉鸡攻击，攻击的成本要低很多，所以我们无法去无限制的升级我们的带宽。

在互联网的初期，人们如何抵抗 DDoS 攻击？

DDoS现在不发生了。当防御没有时，人们如何抵抗DDoS攻击？在互联网的早期，IDC没有能力提供保护，也没有黑洞，所以攻击流量给服务器和交换机带来了很大的压力，导致 *** 拥塞，甚至服务器无法正常工作，许多IDC经常以简单而粗鲁的方式来响应，比如拔掉 *** 。后来，一些IDC在进入清洗程序时，可以攻击流程简单的过滤，大大降低了服务器和Intranet交换机的压力。但是机房的承载能力也是有限的，如果攻击的总数超过了机房的承载能力，那么整个机房的入口就会被封锁，导致机房内的所有服务器都因为 *** 堵塞而无法提供服务。

后来，黑洞出现了，但是那时候的黑洞也是在机房的入口配置，只是减轻了服务器的压力，如果攻击的总量超出了机房的承载能力，最终还是因入口被堵塞而导致整个机房的服务器无法对外提供服务。在这种情况下，宣告了攻击者的得手，没有必要再尽心攻击，但是如果攻击者并没有因为目标无法访问而停手，那么机房入口仍有拥塞的风险。

后来，黑洞进一步升级，在机房黑洞之上采用了运营商联动黑洞。在遇到大流量攻击时，DDoS防御系统调用运营商黑洞，在运营商侧丢弃流量，可以大大缓解DDoS攻击对机房带宽的压力。

云计算平台也广泛采用了此类黑洞技术隔离被攻击用户，保证机房和未受攻击用户不受DDoS攻击影响。 不仅如此，云计算平台的优势在于提供了灵活可扩展的计算资源和 *** 资源，通过整合这些资源，用户可以有效缓解DDoS带来的影响。

黑洞是如何抵挡 DDoS 攻击的

目前最常用的黑洞防御手段的流程图如上图所示。攻击时，黑客会从全球汇集攻击流量，攻击流量汇集进入运营商的骨干 *** ，再由骨干 *** 进入下一级运营商，通过运营商的线路进入云计算机房，直到抵达云主机。 而我们的防御策略刚好是逆向的，云服务商与运营商签订协议，运营商支持云服务厂商发布的黑洞路由，并将黑洞路由扩散到全网，就近丢弃指定IP的流量。当云服务商监测到被攻击，且超出了免费防御的限度后，为了防止攻击流量到达机房的阈值，云计算系统会向上级运营商发送特殊的路由，丢弃这个 IP 的流量，使得流量被就近丢弃在运营商的黑洞中。

为什么托管服务商不会替你无限制承担攻击？

一般来说，服务舱会帮助你承受少量的攻击，因为很多时候它可能是检测流量等，而不是真正的攻击，如果你每次扔进一个黑洞，用户体验都很差。DDoS攻击是我们的共同敌人，大多数云计算平台都试图免费保护客户大多数DDoS，并且客户分担DDoS的风险。当您受到大规模的DDoS攻击时，您不是唯一的受害者，整个机房、机群都会受到严重影响，所有服务的稳定性都无法保证。此外，正如我们前面提到的，DDoS是一种带宽消耗攻击，如果要解决它，带宽消耗攻击需要提高带宽，但是机房本身的更大成本是带宽成本。带宽由机房从电信、联通、移动和其他通信运营商购买。运营商的收费是根据带宽收取的。当收费时，运营商将不会清理DDoS的攻击流量，但也包括在计费中，这导致了高成本的机房。如果你不承担相应的成本，机房的无奈选择就是把你的服务器扔进黑洞。

当你的主机被攻击后，服务商如何处理？

目前随着大家都在普遍的上云，我们在这里整理了市场上的几家云计算服务提供商的黑洞策略，来供你选择。

AWS

AWS 的 AWS Sheild 服务为用户提供了 DDoS 防御服务。该服务分为免费的标准版和收费的高级班，免费的标准版不承诺防护效果，存在屏蔽公网 IP 的可能。付费版只需要每月交 3000 美米，则可以享受防护服务。

Azure

Azure 为用户提供了免费的抗 DDoS 攻击的服务，但是不承诺防护的效果。如果攻击的强度过大，影响到了云平台本身，则存在屏蔽公网 IP 的可能。

阿里云

阿里云的云盾服务为用户提供 DDoS 攻击的防护能力，在控制成本的情况下，会为用户免费抵御 DDoS 攻击，当攻击超出阈值后，阿里云就会对被攻击 IP 实行屏蔽操作。 阿里云免费为用户提供更高 5Gbps 的恶意流量的攻击防护，你可以在各个产品（ECS、SLB、EIP等）的产品售卖页面看到相关的说明和条款。在其帮助文档也说明了相关的服务的限制。

腾讯云

腾讯云也为用户提供了免费的 DDoS 攻击防护服务，其免费提供的防御服务的标准如下：外网 IP 被攻击峰值超过 2Gbps 会执行 IP 封堵操作（丢入黑洞），一般黑洞的时长为2小时，大流量攻击时，封堵的时长从24小时到72小时不等。

普通 IDC

普通的 IDC 大多不提供防御能力，如果受到攻击，会存在被拔网线的可能。

如何合理的借助云计算的能力来抵抗 DDoS 攻击

合理的借助云计算的能力，可以让我们尽可能的减少被攻击时的损失： 1，充分利用云平台的弹性可扩展资源。设计可以横向扩展的系统架构，避免IP资源或者CPU资源耗尽，不仅可以有效缓解DDoS攻击的影响，而且可以提升系统可靠性。 2，缩小攻击半径。在设计系统时分离应用层和数据层，分离 *** 访问层和系统服务层，充分利用云服务提供商提供的云数据库、云存储、负载均衡、云 *** 等产品，可以有效缓解DDoS攻击的危害。 3，考虑选择合适的DDoS防护方案，主动抵御可能出现的DDoS攻击。 4，准备应对DDoS预案，之一时间响应并实施应对方案。