DDos攻击为什么让人头疼，它的目的和原理是什么？

DDos的英文全称叫做Distributed Denial of Service，中文翻译过来就叫分布式拒绝服务攻击。是当前网络安全领域破坏性较高的手段之一

主要是通过分布在全球各地的节点，让它们一起向目标发送海量的无效请求，耗尽对方的服务器带宽和算力等资源；然后它目标大概率就会因耗尽所有而停摆了

为什么DDos攻击令人头疼？

用一群僵尸机器拖垮你

DDos：攻击者会控制多台设备同时向目标发送海量的访问请求，直到耗尽资源导致对方停摆。是为了影响对方的运营或可用性，多数用来打击对手等恶意目的

Dos：属于比较单一的类型，这个威力就比较弱了。属于早期的简单攻击手段，按现在的角度说是很容易被防御的

恶意流量：属于被发起的无效请求集合，单位通常是Gbps，一般影响带宽。还有PPS，是用数据包来作为手段的

流量清洗：对进出目标的流量进行过滤，能有效剔出恶意流量，保留正常的请求。也是针对DDos的有效防御手段之一

僵尸网络：就是一群被控制的肉鸡，电脑、服务器或物联网设备，成本极低。直接向目标使劲发送访问请求

高防IP：具备大带宽、强过滤的防护节点，替代目标真实IP，可对外提供服务。能有效转移恶意流量，避免真实的服务器遭受冲击

TCP SYN洪水攻击：是很常见的DDos类型，它会伪造TCP连接请求，是针对传输层的打击，隐蔽性强且成本更低

关于网络攻击的注意事项

DDos会直接导致数据泄露吗？

不会，它的目的只是为了让你没办法继续运营而已，但如果对方结合了SQL注入和其他手段，那就悬了

所以一般建议防护要全面才行

只有大厂和大平台才会被各种有心者盯上吗？

不是，中小平台、个人博主或主播、一些网店都可以成为攻击目标，一般都是为了打击竞争对手的

而且这种占比是很多的，不要掉以轻心哦

流量清洗能彻底根治DDos攻击吗？

不能，它只是一种被动的防御手段，无法完全杜绝外来的入侵。就像我饿了要吃饭，但我不能吃一顿管一天

而且当流量超过一定阈值的时候，它也会被突破，且部分隐蔽性较高的手段也无法被精准识别

DDos的原理和构成

攻防关系

攻击方：通过僵尸网络扩大规模、降低单节点成本，利用恶意流量占满对方的资源，同时隐藏控制端和源头，所以一般很难被溯源

防守方：需要精准识别恶意流量，你得区分恶意请求和正常请求，同时也得具备足够的带宽承接攻击。在不影响用户访问的前提下防御并溯源

大厂一般会优先建立高防集群，中小平台的话就得研究如何低成本防护了

它的逻辑

控制阶段：攻击者通过漏洞和一些其它的弱点入侵大量电脑、路由器、物联网等设备；将其纳入僵尸网络，形成一定的规模

指令阶段：僵尸网络会收到一样的指令，比如指定目标IP、攻击类型、时长等

攻击阶段：所有僵尸机会同时向目标发送海量的无效请求，服务器就得拿出资源处理。然后因为CPU、内存、带宽耗尽而停摆，访客也点不开你的页面了

为什么难防？

难溯源：僵尸机一般分布在全球各地，IP地址随机切换，而且对方也能通过多层代理隐藏自己的真实位置，几乎无法精准定位

多样化：除了常见的洪水，还有慢速、传输层、应用层攻击等。这类流量一般很小，特征也不明显，所以很容易被忽略

防护成本高：抵御大规模打击需要海量的带宽和高性能过滤设备，中小主体很难承担，且防御永远滞后于打击手段升级