DDoS是英文Distributed Denial of Service的縮寫(xiě)，意即“分布式拒絕服務(wù)”，那么什么又是拒絕服務(wù)（Denial of Service）呢？

　　可以這么理解，凡是能導(dǎo)致合法用戶不能夠訪問(wèn)正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說(shuō)拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對(duì)正常網(wǎng)絡(luò)資源的訪問(wèn)，從而達(dá)成攻擊者不可告人的目的。

　　分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會(huì)從很多DOS攻擊源（俗稱肉雞）猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒(méi)，導(dǎo)致合法用戶無(wú)法正常訪問(wèn)服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”，常見(jiàn)的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。

　　目前而言，黑客甚至對(duì)攻擊進(jìn)行明碼標(biāo)價(jià)，打1G的流量到一個(gè)網(wǎng)站一小時(shí)，只需50塊錢(qián)。10G攻擊相當(dāng)于一小時(shí)幾百塊這樣，DDoS的成本如此之低，而且攻擊了也沒(méi)人管。

　　//

　　常見(jiàn)的DDoS攻擊有哪些？

　　//

　　常見(jiàn)的DDoS攻擊包括以下幾類：

　　1、網(wǎng)絡(luò)層攻擊

　　比較典型的攻擊類型是UDP反射攻擊，例如NTP Flood攻擊。這類攻擊主要利用大流量擁塞被攻擊者的網(wǎng)絡(luò)帶寬，導(dǎo)致被攻擊者的業(yè)務(wù)無(wú)法正常響應(yīng)客戶訪問(wèn)。

　　2、傳輸層攻擊

　　比較典型的攻擊類型包括SYN Flood攻擊、連接數(shù)攻擊等。這類攻擊通過(guò)占用服務(wù)器的連接池資源從而達(dá)到拒絕服務(wù)的目的。

　　3、會(huì)話層攻擊

　　比較典型的攻擊類型是SSL連接攻擊。這類攻擊占用服務(wù)器的SSL會(huì)話資源從而達(dá)到拒絕服務(wù)的目的。

　　4、應(yīng)用層攻擊

　　比較典型的攻擊類型包括DNS flood攻擊、HTTP flood攻擊（即CC攻擊）、游戲假人攻擊等。這類攻擊占用服務(wù)器的應(yīng)用處理資源，極大地消耗服務(wù)器計(jì)算資源，從而達(dá)到拒絕服務(wù)的目的。

　　//

　　阿里云DDoS攻擊緩解最佳實(shí)踐

　　//

　　建議阿里云用戶從以下幾個(gè)方面著手緩解DDoS攻擊的威脅：

　　1、縮小暴露面，隔離資源和不相關(guān)的業(yè)務(wù)，降低被攻擊的風(fēng)險(xiǎn)。

　　1.1配置安全組

　　盡量避免將非業(yè)務(wù)必須的服務(wù)端口暴露在公網(wǎng)上，從而避免與業(yè)務(wù)無(wú)關(guān)的請(qǐng)求和訪問(wèn)。通過(guò)配置安全組可以有效防止系統(tǒng)被掃描或者意外暴露。

　　1.2使用專有網(wǎng)絡(luò)VPC（Virtual Private Cloud ）

　　通過(guò)專有網(wǎng)絡(luò)VPC實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部邏輯隔離，防止來(lái)自內(nèi)網(wǎng)肉雞的攻擊。

　　2、優(yōu)化業(yè)務(wù)架構(gòu)，利用公共云的特性設(shè)計(jì)彈性伸縮和災(zāi)備切換的系統(tǒng)。

　　2.1科學(xué)評(píng)估業(yè)務(wù)架構(gòu)性能

　　在業(yè)務(wù)部署前期或運(yùn)營(yíng)期間，技術(shù)團(tuán)隊(duì)?wèi)?yīng)該對(duì)業(yè)務(wù)架構(gòu)進(jìn)行壓力測(cè)試，以評(píng)估現(xiàn)有架構(gòu)的業(yè)務(wù)吞吐處理能力，為DDoS防御提供詳細(xì)的技術(shù)參數(shù)指導(dǎo)信息。

　　2.2彈性和冗余架構(gòu)

　　通過(guò)負(fù)載均衡或異地多中心架構(gòu)避免業(yè)務(wù)架構(gòu)中出現(xiàn)單點(diǎn)故障。如果您的業(yè)務(wù)在阿里云上，可以靈活地使用負(fù)載均衡服務(wù)SLB（Server Load Balancer）實(shí)現(xiàn)多臺(tái)服務(wù)器的多點(diǎn)并發(fā)處理業(yè)務(wù)訪問(wèn)，將用戶訪問(wèn)流量均衡分配到各個(gè)服務(wù)器上，降低單臺(tái)服務(wù)器的壓力，提升業(yè)務(wù)吞吐處理能力，這樣可以有效緩解一定流量范圍內(nèi)的連接層DDoS攻擊。

　　2.3部署彈性伸縮

　　彈性伸縮（Auto Scaling）是根據(jù)用戶的業(yè)務(wù)需求和策略，經(jīng)濟(jì)地自動(dòng)調(diào)整彈性計(jì)算資源的管理服務(wù)。通過(guò)部署彈性伸縮，系統(tǒng)可以有效的緩解會(huì)話層和應(yīng)用層攻擊，在遭受攻擊時(shí)自動(dòng)增加服務(wù)器，提升處理性能，避免業(yè)務(wù)遭受嚴(yán)重影響。

　　2.4優(yōu)化DNS解析

　　通過(guò)智能解析的方式優(yōu)化DNS解析，可以有效避免DNS流量攻擊產(chǎn)生的風(fēng)險(xiǎn)。同時(shí)，建議您將業(yè)務(wù)托管至多家DNS服務(wù)商，并可以從以下方面考慮優(yōu)化DNS解析。

　　2.5屏蔽未經(jīng)請(qǐng)求發(fā)送的DNS響應(yīng)信息

　　◎丟棄快速重傳數(shù)據(jù)包

　　◎啟用TTL

　　◎丟棄未知來(lái)源的DNS查詢請(qǐng)求和響應(yīng)數(shù)據(jù)

　　◎丟棄未經(jīng)請(qǐng)求或突發(fā)的DNS請(qǐng)求

　　◎啟動(dòng)DNS客戶端驗(yàn)證

　　◎?qū)憫?yīng)信息進(jìn)行緩存處理

　　◎使用ACL的權(quán)限

　　◎利用ACL，BCP38及IP信譽(yù)功能

　　2.6提供余量帶寬

　　通過(guò)服務(wù)器性能測(cè)試，評(píng)估正常業(yè)務(wù)環(huán)境下所能承受的帶寬和請(qǐng)求數(shù)。在購(gòu)買(mǎi)帶寬時(shí)確保有一定的余量帶寬，可以避免遭受攻擊時(shí)帶寬大于正常使用量而影響正常用戶的情況。

　　3、服務(wù)器安全加固，提升服務(wù)器自身的連接數(shù)等性能。

　　對(duì)服務(wù)器上的操作系統(tǒng)、軟件服務(wù)進(jìn)行安全加固，減少可被攻擊的點(diǎn)，增大攻擊方的攻擊成本：

　　◎確保服務(wù)器的系統(tǒng)文件是最新的版本，并及時(shí)更新系統(tǒng)補(bǔ)丁。

　　◎?qū)λ蟹?wù)器主機(jī)進(jìn)行檢查，清楚訪問(wèn)者的來(lái)源。

　　◎過(guò)濾不必要的服務(wù)和端口。例如，對(duì)于WWW服務(wù)器，只開(kāi)放80端口，將其他所有端口關(guān)閉，或在防火墻上設(shè)置阻止策略。

　　◎限制同時(shí)打開(kāi)的SYN半連接數(shù)目，縮短SYN半連接的timeout時(shí)間，限制SYN/ICMP流量。

　　◎仔細(xì)檢查網(wǎng)絡(luò)設(shè)備和服務(wù)器系統(tǒng)的日志。一旦出現(xiàn)漏洞或是時(shí)間變更，則說(shuō)明服務(wù)器可能遭到了攻擊。

　　◎限制在防火墻外進(jìn)行網(wǎng)絡(luò)文件共享。降低黑客截取系統(tǒng)文件的機(jī)會(huì)，若黑客以特洛伊木馬替換它，文件傳輸功能將會(huì)陷入癱瘓。

　　◎充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源。在配置路由器時(shí)應(yīng)考慮針對(duì)流控、包過(guò)濾、半連接超時(shí)、垃圾包丟棄、來(lái)源偽造的數(shù)據(jù)包丟棄、SYN閥值、禁用ICMP和UDP廣播的策略配置。

　　◎通過(guò)iptable之類的軟件防火墻限制疑似惡意IP的TCP新建連接，限制疑似惡意IP的連接、傳輸速率。

　　4、做好業(yè)務(wù)監(jiān)控和應(yīng)急響應(yīng)。

　　4.1關(guān)注基礎(chǔ)DDoS防護(hù)監(jiān)控

　　當(dāng)您的業(yè)務(wù)遭受DDoS攻擊時(shí)，基礎(chǔ)DDoS默認(rèn)會(huì)通過(guò)短信和郵件方式發(fā)出告警信息，針對(duì)大流量攻擊基礎(chǔ)DDoS防護(hù)也支持電話報(bào)警，建議您在接受到告警的第一時(shí)間進(jìn)行應(yīng)急處理。

　　4.2云監(jiān)控

　　云監(jiān)控服務(wù)可用于收集、獲取阿里云資源的監(jiān)控指標(biāo)或用戶自定義的監(jiān)控指標(biāo)，探測(cè)服務(wù)的可用性，并支持針對(duì)指標(biāo)設(shè)置警報(bào)