DDos攻击是网络安全领域最棘手的问题之一。随着5G商业化、物联网普及的进程加快，网络设备数量会呈指数性地增长，这时候，DDos攻击对于网络安全更是一个巨大的难题。

DDOS又称为分布式拒绝服务攻击，全称是Distributed Denial os Service。DDOS本是利用合理的请求造成资源过载，导致服务不可用。

如果用通俗的例子类比，将系统比作停车场，系统中的资源就是车位。资源是有限的，而服务必须一直提供下去。如果资源都已经被占用了，那么服务也将过载，导致系统停止新的响应。

分布式拒绝服务攻击，将正常请求放大了若干倍，通过若干网络节点同时发起攻击，以达成规模响应。这些网络节点往往是黑客们所控制的“肉鸡”，数量达到一定规模后，就形成了一个“僵尸网络”。大型的僵尸网络，甚至达到了数万、数十万台的规模。如此规模的僵尸网络发起的DDOS攻击，几乎是不可阻挡的。

那么，DDos攻击又是如何成为令人谈之色变的网络攻击“一哥”的呢？

DDos攻击是如何演变的？

80年代，Xerox PARC公司的两个老哥，将“自动从系统扩展到系统的程序”命名为“蠕虫”，它能在一个网络的每个系统上不断复制，用漏洞打崩网络，“拒绝服务”的概念由此开始。

1995年，Strano Network创造出虚拟抗议sit-ins，在反对法国政府政策的活动中，利用大批参与者作为资源，对法国政府网站手动点击访问并不断反复地加载，网站最终崩溃。这种攻击方式被越来越多的组织沿用，用来抗议宗教和政府。

1998年，也是抗议者整出来的，只要你加入他们就能得到资源。它使用EDT提供的目标列表自动攻击目标网站，第一次出征是协助墨西哥Zapatista军队攻击政府网站。

1999年，8月17日，美国明尼苏大学的一台服务器被攻击，服务终止。接连好几天，16台主机也受到同样的攻击。攻击者使用UDP格式的数据包，将自身IP隐藏，227台主机被当作傀儡机对目标发起攻击，但是他们的使用者是不知情的。

至此，DDoS的形态已趋于成熟，网络上的血雨腥风即将拉开帷幕。谁能想象得到，短短二十余年的发展，DDoS会成为网络攻击的主力军呢？

2000年2月7日，雅虎被攻击，服务器崩溃一小时。接着Buy.com也被打，之后的一周，eBay、CNN、Amazon、Dell.com纷纷被同样的攻击打垮。4月8日，攻击者落网，只是一个年仅15岁的加拿大男孩迈克尔·迪蒙·卡尔斯。

2002年10月21日，全球13台根域名服务器遭受到有史以来最猛烈的攻击，超过30倍常规数据的异常流量袭来，致使其中9台服务器崩溃。

2010年7月26日，维基解密在网上公开了9万多份驻阿美军的秘密文件，一时间让美国陷入道德危机。12月4日，美国网络支付PayPal声称，维基解密违反了公司的规定，立刻停止对它账户的服务。其他企业也紧随其后，纷纷停止维基解密的账户服务。12月5日，黑客组织“匿名者”发起“阿桑奇复仇行动”，为维基解密解围并且做出反击。

2012年9月，某个黑客组织宣称要报复美国，代号“燕子行动”的一场针对美国金融机构的DDoS攻击开始。此次事件持续了一年多，美国几十家银行受到不同程度的打击，损失难以估测。

2016年10月，互联网基础架构服务提供商Dyn DNS（现在是Oracle DYN）被大量的IP地址的DNS查询服务的袭击。僵尸网络病毒“Mirai”感染了数十万台设备，物联网成为僵尸程序利用目标，Amazon、Spotify、Tumblr、Reddit和Twitter的服务器都遭受了攻击。

2018年2月28日，DDoS攻击规模在GitHub身上刷新，黑客利用Memcached 协议漏洞（可将攻击放大到高达51,000倍），使最高1.35Tbps每秒的攻击让网站崩溃了100多分钟。几天后，某家不知名的网游公司被1.7Tbps每秒的攻击狠狠胖揍，差点就凉了。

DDos攻击是公认网络安全领域最为棘手的问题之一，金山云又有什么样的方案应对DDos攻击呢？

DDoS攻击攻击方式

资源消耗类攻击（经典型）

具体代表有：syn flood、Ack flood、UDP flood。

方式：通过大量请求消耗正常的带宽和协议栈处理资源的能力，从而达到服务端无法正常工作的目的。

服务消耗性攻击

同比经典型攻击，服务消耗型不需要大量流量，针对服务定点进行精确打击，让服务终端一直保持处在高消耗业务的忙碌状态，从而无法对正常业务进行响应。如WEB CC，数据服务的检索，文件服务的下载。

反射类攻击

反射攻击也叫放大攻击，该类攻击以UDP协议为主，一般请求回应的流量远远大于请求本身流量的大小。攻击者通过流量被放大的特点以较小的流量带宽就可以制造出大规模的流量源，从而对目标发起攻击。反射类攻击严格意义上来说不算是攻击的一种，它只是利用某些服务的业务特征来实现用更小的代价发动Flood攻击

混合型攻击

结合上述几种攻击类型，并在探测过程中选择最佳攻击方式。往往伴随资源消耗和服务消耗两种攻击类型特征。

DDoS防护手段

资源隔离

通过资源隔离形成防护盾，通过强大的数据和流量处理清洗能力为客户过滤异常请求，如：针对Syn Flood，防护盾会响应Syn Cookie或Syn Reset认证，通过对数据源的认证，过滤伪造源数据包或发功攻击的攻击，保护服务端不受恶意连接的侵蚀。可通过金山云高防IP将真实服务隐藏到安全区域，为客户抵挡外网巨大攻击流量

用户规则

基于抗DDoS系统规则性防护，拒绝异常数据链接。流量类型、请求频率、数据包特征、正常业务之间的延时间隔等。基于这些规则用户可以在满足正常服务本身的前提下更好地对抗七层类的DDoS，并减少服务端的资源开销。

金山云高防IP通过字符串规则匹配恶意访问流量进行提前拦截

大数据分析

基于对海量数据进行分析，进而对合法用户进行模型化，并利用这些指纹特征，如：Http模型特征、数据来源、请求源等，有效地对请求源进行白名单过滤，从而实现对DDoS流量的精确清洗。

资源对抗（不推荐）

通过大量服务器和带宽资源的堆砌达到从容应对DDoS流量的效果，一般只有大型公司才有资源对抗外网DDoS攻击