單挑 VS 羣毆丨專欄_風聞

【歡迎關注中科院之聲公眾號（ID：zkyzswx）或微博@中科院之聲，看科學界的大事兒】

一、讖曰

大東：小白啊，你知道“世界拳王”邁克•泰森嗎？ 

小白：知道啊東哥，泰森應該算是家喻户曉了吧，他可是歷史上最年輕的重量級拳王啊，而且在《葉問3》裏面的精彩演出還讓他獲得了“最佳新演員”呢。

大東：呦呵，小白你知道的還真不少呀，那你覺得泰森這樣的大塊頭和100個你這樣的小體格比武的話，誰能贏呢？

小白：那當然是拳王穩贏啊！感覺人家的大胳膊比我的腰都粗（委屈臉）。

大東：不要這麼妄自菲薄嘛，俗話説雙拳難敵四手，就算是拳王也不一定能打贏100個你哦。在我們電腦攻擊裏也有這種羣起而攻卻不單打獨鬥的攻擊。

小白：東哥，快給我講講吧！

形象的DDoS攻擊（圖片來自網絡）

二、話説事件——2000年DDoS攻擊事件

大東：一晃2019年都已經過半了，時間過得好快啊，回想在過去的2018年裏，DDoS在全球的攻擊事件越來越頻繁，攻擊流量也越來越大，攻擊的方式越來越多樣化，網絡安全問題漸漸成為了大家關注的焦點。

小白：是啊，在20世紀的最後幾年裏，DDoS橫空出世，隨後屢次在網絡中引起軒然大波，即使對網絡安全並不那麼瞭解的人，對它也是耳熟能詳。東哥，其實不瞞您説，我對於DDoS也只是知道一點皮毛，在您面前不敢賣弄。

大東：你個小鬼頭還算誠實，我來給你講講DDoS的“前世”“今生”吧，你以後再跟別人聊起來的時候也能侃侃而談了。

小白：東哥我小板凳都搬好了，就等您開講了。 

DDoS攻擊（圖片來自網絡）

大東：這首先要從2000年的DDoS攻擊事件講起了。2000年2月，不少知名網站遭到了DDoS的攻擊，並且導致部分網站癱瘓。這是一位來自加拿大年僅15歲的孩子乾的，雖然他年紀不大，但這次造成的損失卻相當大，全部損失估計達到12億美元。

小白：年僅15歲就可以造成這麼大的損失了，那這麼説這個DDoS攻擊很簡單嘍？ 

大東：也不能這麼片面地説，DDoS的攻擊因為週期短、頻率高、強度大，所以能給網站帶來不小的損失，但是攻擊操作確實非常簡單。它是利用多台已經被攻擊者所控制的機器對某一台單機發起攻擊，在帶寬相對的情況下，被攻擊的主機很容易失去反應能力。

小白：東哥，我剛剛查了一下，網上對於DDoS是這麼説的，説它是分佈式拒絕服務攻擊，藉助於客户或者服務器技術，將多個計算機聯合起來作為攻擊平台，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。那到底是怎麼利用多台機器呢？

三、大話始末

DDoS攻擊系統（圖片來自網絡）

大東：舉個例子來説吧。假如一個飯店可以容納100人同時就餐，但有一天某個商家惡意競爭，僱傭了200人來這個飯店坐着不吃不喝，導致飯店滿滿當當無法正常營業，這就相當於DDoS攻擊。

小白：哦，我明白了，它的原理就是拒絕服務攻擊，也就是攻擊者想辦法讓目標機器停止提供服務或者資源訪問，從而阻止正常用户的訪問。這些資源既包括磁盤空間、內存、進程，也包括網絡帶寬。東哥，現在我知道了什麼是DDoS，那DDoS攻擊的方式是什麼呢？

大東：比如攻擊寬帶，就跟現在的交通堵塞情況一樣，當網絡數據包的數量達到或者超過上限的時候，會出現網絡擁堵、響應緩慢的情況。DDoS就是利用這個原理，發送大量網絡數據包，佔滿被攻擊目標的全部帶寬，從而造成正常請求失效，達到拒絕服務的目的。

DDoS攻擊寬帶（圖片來自網絡）

小白：那DDoS只有這一種攻擊方式嗎？ 

大東：還有攻擊系統的方式。這種攻擊方式是用受控主機建立大量惡意的TCP連接，佔滿被攻擊目標的連接表，使其無法接受新的TCP連接請求。如果攻擊者發送了大量的TCP SYN報文，連接表被很快佔滿，這就導致無法建立新的TCP連接。不過這並不是DDoS最常用的攻擊方式。

小白：那最常用的攻擊方式是什麼呢？

大東：隨着殭屍網絡向着小型化的趨勢發展，黑客為降低攻擊成本，有效隱藏攻擊源，躲避安全設備，同時保證攻擊效果，DDoS攻擊方式主要有兩個：一種是UDP及反射式大流量高速攻擊，另一種是多協議小流量及慢速攻擊。2016年美國就曾經遭遇史上最大規模DDoS攻擊，導致東海岸網站集體癱瘓。

受到DDoS攻擊的美國地圖

小白：那次事件我也聽説了，據調查共有83家網站受到了影響呢。

四、小白內心説

小白：這麼強悍的DDoS攻擊就沒有辦法來防禦嗎？

大東：完全杜絕DDoS是不可能的，但通過適當的措施抵禦90%的DDoS攻擊是可以做到的。首先要經常檢查系統是否存在漏洞，以便於及時安裝系統補丁程序。並且建立備案機制，對一些重要的信息實施雙重保護，還有一些特權賬號的密碼設置一定要謹慎。

提高系統安全性抵禦DDoS攻擊

小白：嗯，對了，我們還要經常檢查系統的物理環境，將不必要的網絡服務禁止。建立邊界安全界限，確保輸出的包受到正確限制。經常查看系統配置信息，並檢查每天的安全日誌。

大東：是的，除了這些方式，我們還可以利用網絡安全設備來加固網絡的安全性，配置好這些設備的安全規則，過濾掉所有可能的偽造數據包。與網絡服務提供商協調工作，讓網絡服務提供商幫助實現路由的訪問控制和對帶寬總量的限制。

小白：如果發現正在遭受DDoS攻擊時，我們應該怎麼辦呢？

大東：應當啓動應急策略，儘可能快地追蹤攻擊包，並且及時聯繫ISP和有關應急組織，分析受影響的系統，查看涉及的其他節點情況，從而阻擋從已知攻擊節點的流量。如果用户是潛在的DDoS攻擊受害者，並且用户發現自己的計算機被攻擊者用作主控端和代理端時，不能掉以輕心。攻擊者一旦發現用户系統的漏洞，就會抓住時機對該用户進行攻擊。所以在系統中存在DDoS攻擊的工具軟件一定要及時把它清除，以免留下後患。

小白：強悍的DDoS攻擊也是有辦法防禦的嘛！長知識了！

大東：小白，今天給你介紹了這麼多防禦DDoS攻擊的方法，記得介紹給身邊的朋友哦~

**來源：**中國科學院計算技術研究所