墨者安全分析：DDoS攻击的原理是什么？

小土逗

DDoS全名是Distributed Denial of service,又称分布式拒绝服务攻击。这是一种利用TCP协议缺陷，向受害主机发送大量伪造却看似合法的网络包，从而造成网络阻塞或服务器资源耗尽，导致造成网络瘫痪或服务器系统崩溃。TCP协议的缺陷，目前没办法根除，除非重做TCP协议，但现在来看是不太可能。

---

正常情况下TCP连接需要3次握手，过程如下：

1、TCP三次握手，客户端向服务器端发起连接的时候发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号。

2、服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgment），夹带也发送一个SYN包给客户端，并且服务器分配资源给该连接。

3、客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。

而DDoS攻击则利用TCP三次握手的缺陷，首先会伪造大量的源IP地址，分别向服务器发送大量的SYN包，此时服务器端会返回SYN/ACK包，因为源地址是伪造的，所以伪造的IP地址不会应答，而服务器端没有收到伪造的IP的回应，会有重试默认5次回应第二个SYN/ACK包，并且等待一个SYN time（一般是30秒至2分钟），如果超时就会丢弃这个连接；当攻击者大量发送这种伪造的源地址的SYN请求，服务器端将会消耗非常多的资源（CPU和内存）来处理这种半连接，同时还要不断的对这些IP 进行SYN/ACK重试，最后就会导致服务器资源耗尽（CPU满负荷或内存不足），让正常的业务请求连接不进来。

---

DDOS攻击可以通过反射将攻击流量放大数万倍，这么大规模的攻击靠企业自身的防护系统是无法阻挡的。DDOS攻击更可怕的地方是攻击成本极其的低，不管是经济成本还是技术成本都非常低，50块钱就可以对一个网站发动攻击，在一些在线攻击平台，不需要懂什么IT技术，直接输入你要攻击的IP地址就可以发动攻击了。

对抗DDOS攻击主要措施首先还是要企业提高自身的网络安全意识，尽量的升级主机服务器硬件和充足的网络带宽，安装专业抗DDOS防火墙，墨者安全高防的墨者盾全网第一款指纹识别技术防火墙，TB级防护，动态负载保护，自动过滤清洗流量，保障企业服务器的网络安全，避免企业因DDOS攻击而受到损失。