在互聯(lián)網(wǎng)時代最難把控的就是DDoS攻擊，為什么防御DDOS攻擊非常困難呢？在沒有準備好的情況下，當(dāng)你反應(yīng)過來的時候已經(jīng)遭到攻擊和破壞了。如何辨別是否是網(wǎng)絡(luò)DDoS攻擊？今天就跟著快快網(wǎng)絡(luò)小編一起來學(xué)習(xí)下關(guān)于DDoS攻擊的相關(guān)知識。

　　遭到大流量DDoS攻擊如何清洗？

　　1.本地DDos防護設(shè)備

　　一般惡意組織發(fā)起DDos攻擊時，率先感知并起作用的一般為本地數(shù)據(jù)中心內(nèi)的DDos防護設(shè)備，金融機構(gòu)本地防護設(shè)備較多采用旁路鏡像部署方式。

　　本地DDos防護設(shè)備一般分為DDos檢測設(shè)備、清洗設(shè)備和管理中心。首先，DDos檢測設(shè)備日常通過流量基線自學(xué)習(xí)方式，按各種和防御有關(guān)的維度：比如syn報文速率、http訪問速率等進行統(tǒng)計，形成流量模型基線，從而生成防御閾值。

　　學(xué)習(xí)結(jié)束后繼續(xù)按基線學(xué)習(xí)的維度做流量統(tǒng)計，并將每一秒鐘的統(tǒng)計結(jié)果和防御閾值進行比較，超過則認為有異常，通告管理中心。由管理中心下發(fā)引流策略到清洗設(shè)備，啟動引流清洗。異常流量清洗通過特征、基線、回復(fù)確認等各種方式對攻擊流量進行識別、清洗。

　　經(jīng)過異常流量清洗之后，為防止流量再次引流至DDos清洗設(shè)備，可通過在出口設(shè)備回注接口上使用策略路由強制回注的流量去往數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)，訪問目標(biāo)系統(tǒng)。

　　2.運營商清洗服務(wù)

　　當(dāng)流量型攻擊的攻擊流量超出互聯(lián)網(wǎng)鏈路帶寬或本地DDos清洗設(shè)備性能不足以應(yīng)對DDos流量攻擊時，需要通過運營商清洗服務(wù)或借助運營商臨時增加帶寬來完成攻擊流量的清洗。運營商通過各級DDos防護設(shè)備以清洗服務(wù)的方式幫助用戶解決帶寬消耗型的DDos攻擊行為。實踐證明，運營商清洗服務(wù)在應(yīng)對流量型DDos攻擊時較為有效。

　　3.云清洗服務(wù)

　　當(dāng)運營商DDos流量清洗不能實現(xiàn)既定效果的情況下，可以考慮緊急啟用運營商云清洗服務(wù)來進行最后的對決。依托運營商骨干網(wǎng)分布式部署的異常流量清洗中心，實現(xiàn)分布式近源清洗技術(shù)，在運營商骨干網(wǎng)絡(luò)上靠近攻擊源的地方把流量清洗掉，提升攻擊對抗能力。

　　具備適用場景的可以考慮利用CNAME或域名方式，將源站解析到安全廠商云端域名，實現(xiàn)引流、清洗、回注，提升抗D能力。進行這類清洗需要較大的流量路徑改動，牽涉面較大，一般不建議作為日常常規(guī)防御手段。

　　以上三種防御方式存在共同的缺點，由于本地DDos防護設(shè)備及運營商均不具備HTTPS加密流量解碼能力，導(dǎo)致針對HTTPS流量的防護能力有限;同時由于運營商清洗服務(wù)多是基于Flow的方式檢測DDos攻擊，且策略的顆粒度往往較粗，因此針對CC或HTTP慢速等應(yīng)用層特征的DDos攻擊類型檢測效果往往不夠理想。對比三種方式的不同適用場景，發(fā)現(xiàn)單一解決方案不能完成所有DDos攻擊清洗，因為大多數(shù)真正的DDos攻擊都是“混合”攻擊(摻雜各種不同的攻擊類型)。

　　比如：以大流量反射做背景，期間混入一些CC和連接耗盡，以及慢速攻擊。這時很有可能需要運營商清洗(針對流量型的攻擊)先把80%以上的流量清洗掉，把鏈路帶寬清出來;在剩下的20%里很有可能還有80%是攻擊流量(類似CC攻擊、HTTP慢速攻擊等)，那么就需要本地配合進一步進行清洗。

　　為什么防御DDOS攻擊非常困難？

　　如果用戶正在遭受攻擊，他所能做的抵御工作將是非常有限的。因為在原本沒有準備好的情況下有大流量的災(zāi)難性攻擊沖向用戶，很可能在用戶還沒回過神之際，網(wǎng)絡(luò)已經(jīng)癱瘓。但是，用戶還是可以抓住機會尋求一線希望的。

　　1．檢查攻擊來源，通常駭客會通過很多假IP地址發(fā)起攻擊，此時，用戶若能夠分辨出哪些是真IP哪些是假IP地址，然后了解這些IP來自哪些網(wǎng)段，再找網(wǎng)絡(luò)管理員將這些機器關(guān)閉，從而在第一時間消除攻擊。如果發(fā)現(xiàn)這些IP地址是來自外面的而不是公司內(nèi)部的IP的話，可以采取臨時過濾的方法，將這些IP地址在服務(wù)器或路由器上過濾掉。

　　2．找出攻擊者所經(jīng)過的路由，把攻擊屏蔽掉。若駭客從某些端口發(fā)動攻擊，用戶可把這些端口屏蔽掉，以阻止入侵。不過此方法對于公司網(wǎng)絡(luò)出口只有一個，而又遭受到來自外部的DdoS攻擊時不太奏效，畢竟將出口端口封閉后所有計算機都無法訪問internet了。

　　3．最后還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時他無法完全消除入侵，但是過濾掉ICMP后可以有效的防止攻擊規(guī)模的升級，也可以在一定程度上降低攻擊的級別。

　　4.要用360安全衛(wèi)士之類的東東定期掃描，清查可能存在的安全漏洞，對新出現(xiàn)的漏洞及時進行清理。"

　　如何辨別是否是網(wǎng)絡(luò)DDoS攻擊？

　　1、服務(wù)器連接不到，網(wǎng)站也打不開

　　如果網(wǎng)站服務(wù)器被大量DDoS攻擊時，有可能會造成服務(wù)器藍屏或者死機，這時就意味著服務(wù)器已經(jīng)連接不上了，網(wǎng)站出現(xiàn)連接錯誤的情況。

　　2、服務(wù)器CPU被大量占用

　　DDoS攻擊其實是一種惡意性的資源占用攻擊，攻擊者利用肉雞或者攻擊軟件對目標(biāo)服務(wù)器發(fā)送大量的無效請求，導(dǎo)致服務(wù)器的資源被大量的占用，因而正常的進程沒有得到有效的處理，這樣網(wǎng)站就會出現(xiàn)打開緩慢的情況。如果服務(wù)器某段時期能突然出現(xiàn)CPU占用率過高，那么就可能是網(wǎng)站受到CC攻擊影響。

　　3、服務(wù)器帶寬被大量占用

　　占用帶寬資源通常是DDoS攻擊的一個主要手段，畢竟對很多小型企業(yè)或者個人網(wǎng)站來說，帶寬的資源可以說非常有限，網(wǎng)絡(luò)的帶寬被大量無效數(shù)據(jù)給占據(jù)時，正常流量數(shù)據(jù)請求很很難被服務(wù)器進行處理。如果服務(wù)器上行帶寬占用率達到90%以上時，那么你的網(wǎng)站通常出現(xiàn)被DDoS攻擊的可能。

　　4、域名ping不出IP

　　域名ping不出IP這種情況站長們可能會比較少考慮到，這其實也是DDoS攻擊的一種表現(xiàn)，只是攻擊著所針對的攻擊目標(biāo)是網(wǎng)站的DNS域名服務(wù)器。在出現(xiàn)這種攻擊時，ping服務(wù)器的IP是正常聯(lián)通的，但是網(wǎng)站就是不能正常打開，并且在ping域名時會出現(xiàn)無法正常ping通的情況。

　　如果經(jīng)常發(fā)生DDoS攻擊，對于網(wǎng)站來說是比較危險的，因此要重視DDOS攻擊。為什么防御DDOS攻擊非常困難？防御DDoS攻擊，要做到提前進行防備，如果在沒有任何措施的情況下遭到攻擊的話是來不及做出反應(yīng)的。