DDOS全稱Distributed Denial of Service，中文叫做“分布式拒絕服務(wù)”，就是利用大量合法的分布式服務(wù)器對目標(biāo)發(fā)送請求，從而導(dǎo)致正常合法用戶無法獲得服務(wù)。DDOS會耗盡網(wǎng)絡(luò)服務(wù)的資源，使服務(wù)器失去響應(yīng)，為實施下一步網(wǎng)絡(luò)攻擊來做準(zhǔn)備。比如用KaLi_Linux的hping3就可以很容易的實現(xiàn)DDOS攻擊。

1. DDOS攻擊的具體步驟

如圖，未受攻擊時，netstat -nat可以查看到只有少量的網(wǎng)絡(luò)鏈接。

用KaLi Linux的hping3進行SYN Flood攻擊。修改參數(shù)還可以進行UDP Flood和ICMP Flood攻擊。

主機上用netstat查看，可以看到大量的SYN RECV狀態(tài)的連接，CPU耗用也很高。由于來源IP地址都是偽造的，而TCP SYN的超時時間至少需要30秒。這樣就可以消耗服務(wù)器的大量端口和網(wǎng)絡(luò)資源。

2. 如何防護DDOS攻擊？

DDOS必須在網(wǎng)絡(luò)邊緣處進行防護，大部分的防火墻都有類似的功能。以我司的WSG上網(wǎng)行為管理網(wǎng)關(guān)為例，開啟“DDOS防護”即可進行有效的阻擋。如圖：

開啟DDOS防護后，SYN RECV的連接數(shù)大大減少，CPU的占用也少很多。

在WSG的“DDOS防護”中還可以看到防護的狀態(tài)統(tǒng)計。

DDOS防護模塊在網(wǎng)絡(luò)請求數(shù)量異常時，會自動把新請求拒絕掉，從而把服務(wù)器的負(fù)載和資源占用控制在合理范圍，避免受到嚴(yán)重的損失。