阿里云代理商:阿里云短信提示DDoS攻擊了怎么辦？
DDoS攻擊介紹分布式拒絕服務(wù)（Distributed Denial of Service，簡(jiǎn)稱(chēng)DDoS）將多臺計算機聯(lián)合起來(lái)作為攻擊平臺，通過(guò)遠程連接利用惡意程序，對一個(gè)或多個(gè)目標發(fā)起DDoS攻擊，消耗目標服務(wù)器性能或網(wǎng)絡(luò )帶寬，從而造成服務(wù)器無(wú)法正常地提供服務(wù)。
攻擊原理
通常，攻擊者使用一個(gè)非法賬號將DDoS主控程序安裝在一臺計算機上，并在網(wǎng)絡(luò )上的多臺計算機上安裝代理程序。在所設定的時(shí)間內，主控程序與大量代理程序進(jìn)行通訊，代理程序收到指令時(shí)對目標發(fā)動(dòng)攻擊，主控程序甚至能在幾秒鐘內激活成百上千次代理程序的運行。
DDoS攻擊的危害
DDoS攻擊會(huì )對您的業(yè)務(wù)造成以下危害：
重大經(jīng)濟損失
在遭受DDoS攻擊后，您的源站服務(wù)器可能無(wú)法提供服務(wù)，導致用戶(hù)無(wú)法訪(fǎng)問(wèn)您的業(yè)務(wù)，從而造成巨大的經(jīng)濟損失和品牌損失。
例如：某電商平臺在遭受DDoS攻擊時(shí)，網(wǎng)站無(wú)法正常訪(fǎng)問(wèn)甚至出現短暫的關(guān)閉，導致合法用戶(hù)無(wú)法下單購買(mǎi)商品等。
數據泄露
黑客在對您的服務(wù)器進(jìn)行DDoS攻擊時(shí)，可能會(huì )趁機竊取您業(yè)務(wù)的核心數據。
惡意競爭
部分行業(yè)存在惡性競爭，競爭對手可能會(huì )通過(guò)DDoS攻擊惡意攻擊您的服務(wù)，從而在行業(yè)競爭中獲取優(yōu)勢。
例如：某游戲業(yè)務(wù)遭受了DDoS攻擊，游戲玩家數量銳減，導致該游戲業(yè)務(wù)幾天內迅速徹底下線(xiàn)。
常見(jiàn)的DDoS攻擊類(lèi)型
DDoS攻擊分類(lèi)攻擊子類(lèi)描述
畸形報文畸形報文主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形報文、TCP畸形報文、UDP畸形報文等?；螆笪墓糁竿ㄟ^(guò)向目標系統發(fā)送有缺陷的IP報文，使得目標系統在處理這樣的報文時(shí)出現崩潰，從而達到拒絕服務(wù)的攻擊目的。
傳輸層DDoS攻擊傳輸層DDoS攻擊主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等。以Syn Flood攻擊為例，它利用了TCP協(xié)議的三次握手機制，當服務(wù)端接收到一個(gè)Syn請求時(shí)，服務(wù)端必須使用一個(gè)監聽(tīng)隊列將該連接保存一定時(shí)間。因此，通過(guò)向服務(wù)端不停發(fā)送Syn請求，但不響應Syn+Ack報文，從而消耗服務(wù)端的資源。當監聽(tīng)隊列被占滿(mǎn)時(shí)，服務(wù)端將無(wú)法響應正常用戶(hù)的請求，達到拒絕服務(wù)攻擊的目的。
DNS DDoS攻擊DNS DDoS攻擊主要包括DNS Request Flood、DNS Response Flood、虛假源+真實(shí)源DNS Query Flood、權威服務(wù)器攻擊和Local服務(wù)器攻擊等。以DNS Query Flood攻擊為例，其本質(zhì)上執行的是真實(shí)的Query請求，屬于正常業(yè)務(wù)行為。但如果多臺傀儡機同時(shí)發(fā)起海量的域名查詢(xún)請求，服務(wù)端無(wú)法響應正常的Query請求，從而導致拒絕服務(wù)。
連接型DDoS攻擊連接型DDoS攻擊主要是指TCP慢速連接攻擊、連接耗盡攻擊、Loic、Hoic、SlowlORIs、 Pyloris、Xoic等慢速攻擊。以Slowloris攻擊為例，其攻擊目標是Web服務(wù)器的并發(fā)上限。當Web服務(wù)器的連接并發(fā)數達到上限后，Web服務(wù)即無(wú)法接受新的請求。Web服務(wù)接收到新的HTTP請求時(shí)，建立新的連接來(lái)處理請求，并在處理完成后關(guān)閉這個(gè)連接。如果該連接一直處于連接狀態(tài)，收到新的HTTP請求時(shí)則需要建立新的連接進(jìn)行處理。而當所有連接都處于連接狀態(tài)時(shí)，Web將無(wú)法處理任何新的請求。
Slowloris攻擊利用HTTP協(xié)議的特性來(lái)達到攻擊目的。HTTP請求以\r\n\r\n標識Headers的結束，如果Web服務(wù)端只收到\r\n，則認為HTTP Headers部分沒(méi)有結束，將保留該連接并等待后續的請求內容。
Web應用層DDoS攻擊Web應用層攻擊主要是指HTTP Get Flood、HTTP Post Flood、CC等攻擊。通常應用層攻擊完全模擬用戶(hù)請求，類(lèi)似于各種搜索引擎和爬蟲(chóng)一樣，這些攻擊行為和正常的業(yè)務(wù)并沒(méi)有嚴格的邊界，難以辨別。
Web服務(wù)中一些資源消耗較大的事務(wù)和頁(yè)面。例如，Web應用中的分頁(yè)和分表，如果控制頁(yè)面的參數過(guò)大，頻繁的翻頁(yè)將會(huì )占用較多的Web服務(wù)資源。尤其在高并發(fā)頻繁調用的情況下，類(lèi)似這樣的事務(wù)就成了早期CC攻擊的目標。
由于現在的攻擊大都是混合型的，因此模擬用戶(hù)行為的頻繁操作都可以被認為是CC攻擊。例如，各種刷票軟件對網(wǎng)站的訪(fǎng)問(wèn)，從某種程度上來(lái)說(shuō)就是CC攻擊。
CC攻擊瞄準的是Web應用的后端業(yè)務(wù)，除了導致拒絕服務(wù)外，還會(huì )直接影響Web應用的功能和性能，包括Web響應時(shí)間、數據庫服務(wù)、磁盤(pán)讀寫(xiě)等。
如何判斷業(yè)務(wù)是否已遭受DDoS攻擊？
出現以下情況時(shí)，您的業(yè)務(wù)可能已遭受DDoS攻擊：
網(wǎng)絡(luò )和設備正常的情況下，服務(wù)器突然出現連接斷開(kāi)、訪(fǎng)問(wèn)卡頓、用戶(hù)掉線(xiàn)等情況。
服務(wù)器cpu或內存占用率出現明顯增長(cháng)。
網(wǎng)絡(luò )出方向或入方向流量出現明顯增長(cháng)。
您的業(yè)務(wù)網(wǎng)站或應用程序突然出現大量的未知訪(fǎng)問(wèn)。
登錄服務(wù)器失敗或者登錄過(guò)慢。