《DDOS 攻击：域名与 IP 的“博弈”》(图文)

一、DDOS 攻击简介

DDOS 攻击即分布式拒绝服务攻击，以网站和服务器为目标，攻击方式是中断网络服务，可能会对业务、在线安全、销售和声誉造成损害。
DDOS 攻击本质上是通过操控大量的傀儡主机或被其掌控的网络设备，朝着目标系统如潮水般发送海量请求或数据，竭尽全力耗尽目标系统的网络带宽、系统资源以及服务能力，从而导致目标系统无法正常为合法用户提供服务。常见的 DDOS 攻击方式有多种类型。
一是 SYN Flood 攻击，利用 TCP 三次握手机制，攻击者向目标服务器发送大量伪造的 TCP SYN 包，服务器回应 SYN-ACK 包后等待客户端的 ACK 确认，而攻击者不回应 ACK，使得服务器上有大量半连接状态的资源被占用，进而让正常的连接请求无法被处理，耗尽服务器资源，造成网络拥塞和服务中断。例如黑客操控大量傀儡计算机同时向一个目标网站发送大量 SYN 请求，可让网站很快瘫痪。
二是 UDP Flood 攻击，攻击者通过向目标系统发送大量的 UDP 数据包，导致目标网络带宽被大量占用，或者目标系统忙于处理这些无效的 UDP 数据包而无法处理正常请求。UDP 协议是一种无连接的协议，相比 TCP 更容易被滥用进行攻击。比如攻击者可以发送海量的 UDP 大包到目标服务器的某个端口，使其网络性能下降。
三是 ICMP Flood 攻击，攻击者发送大量的 ICMP 数据包（比如 Ping 包）到目标主机，消耗目标的网络带宽和系统资源，从而让目标主机无法正常提供服务。通常，大量的 Ping 包持续冲击目标系统，能让其忙于处理而无法响应正常业务。
四是 HTTP Flood 攻击，也叫 CC 攻击。攻击者通过模拟大量正常用户不断地向目标网站发送 HTTP 请求，造成目标网站服务器资源耗尽，无法响应正常用户的请求。这些请求通常是针对一些消耗资源较大的页面或操作。例如，让大量傀儡机频繁访问目标网站的某个动态页面，导致网站服务器因处理这些请求而瘫痪。
在积极预防 DDOS 攻击的过程中，IP 地址发挥着重要作用。一方面，可以通过对特定 IP 地址进行监测和分析，及时精准地察觉异常流量的来源，为预警工作提供关键依据和线索，还能顺藤摸瓜追踪到攻击的发起源头，为后续调查和处理提供帮助。像 IP 数据云就能提供精准的 IP 地址信息和数据分析，为监测分析异常流量和追踪源头提供有力支持。另一方面，IP 地址可以执行精准的流量过滤与阻断操作，将被怀疑有问题或明确恶意的 IP 地址列入黑名单，阻止其对目标系统进一步攻击。同时，对正常 IP 地址设置白名单，保障合法流量顺利通行。例如，在某个知名电商平台遭遇 DDOS 攻击时，网络安全团队通过对 IP 地址在 IP 数据库中转换的地址数据进行分析，发现异常活跃的 IP 地址并列入黑名单，同时将长期合作且信誉良好的供应商的 IP 地址加入白名单，成功抵御了攻击。再如，一家金融机构遭受 DDOS 攻击后，技术人员通过对网络日志以及 IP 地址进行追踪和分析，发现攻击源来自境外特定 IP 地址段，与相关网络服务提供商合作对该 IP 地址段的流量进行限制和过滤，有效减轻了攻击带来的负面影响，恢复了系统的正常服务功能。
然而，在实际应用中也面临着一些挑战。比如，攻击者可能会利用技术手段使用伪造的 IP 地址来隐藏真实身份，或者借助动态 IP 地址来规避检测。

二、DDOS 攻击的目标分析

（一）攻击 IP 的情况

1. 一般主要针对公网 IP 和域名，业务连接外网通信就有风险遭受攻击。就像腾讯云文档中心提到的，DDoS 攻击一般是针对业务，而非特定针对服务器对应的 IP 和域名，但业务连接外网通信，服务器的 IP 就有遭受 DDoS 攻击的风险。例如，一个企业的服务器如果连接外网提供服务，那么其公网 IP 就可能成为 DDoS 攻击的目标。

2. 攻击 IP 时可能出现的症状，如网络带宽被大量占用、服务器 CPU 负荷运行等。当 IP 遭受攻击时，服务器的 CPU 可能会被大量占用，出现类似网站受 DDoS 攻击的表现之一。攻击者利用肉鸡或者攻击软件对目标服务器发送大量的无效请求，导致服务器的资源被大量的占用，因而正常的进程没有得到有效的处理，网站打开缓慢。同时，带宽也可能被大量占用，就像很多小型企业或者个人网站，带宽资源有限，一旦被 DDoS 攻击，网络的带宽被大量无效数据占据，正常流量数据请求很难被服务器进行处理。如果服务器上行带宽占用率达到 90% 以上时，很可能是遭受了 DDoS 攻击。另外，如果服务器某段时期能突然出现 CPU 占用率过高，那么就可能是网站受到 CC 攻击影响，而 CC 攻击也是 DDoS 的一种形式，主要针对网页，但也可能间接影响到服务器的 IP。

（二）攻击域名的情况

1. 攻击目标可能为网站的 DNS 域名服务器，出现域名 ping 不出 IP 的情况。当攻击者针对域名进行攻击时，目标往往是网站的 DNS 域名服务器。例如，在生活中，DNS 域名服务器被攻击的案例非常常见，当出现这种攻击时，ping 服务器的 IP 是正常联通的，但是网站就是不能正常打开，并且在 ping 域名时会出现无法正常 ping 通的情况。就像我们在进行网络访问时，发现所有网站都不能正常打开，但是 QQ 等网络应用依然可以正常运行，这很可能就是域名的 DNS 服务器遭受了攻击。

2. 攻击者利用多种攻击方式针对域名进行攻击，如域名解析防护流量攻击等。攻击者可以采用多种方式攻击域名，比如 DNS Query Flood 攻击，实际上是 UDP Flood 攻击的一种变形。攻击采用的方法是向被攻击的服务器发送海量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名，被攻击的 DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析的时候，DNS 服务器会向其上层 DNS 服务器递归查询域名信息。大量不存在的域名解析请求给服务器带来很大的负载，当解析请求超过一定量时，就会造成 DNS 服务器解析域名超时，从而达到攻击目的。

三、如何识别 DDOS 攻击

1. 服务器连接不上，网站也打不开。

当服务器网站被大量 DDOS 攻击时，有可能会造成服务器蓝屏或者死机，此时服务器已连接不上，网站会出现连接错误的情况。例如在吉安网警巡查执法提到的案例中，辖区居民宋某对某网站发起 DDoS 攻击，导致该网站瘫痪，出现服务器无法访问的情况。出现这种情况时，我们最好先确认一下服务器是否是硬件故障等所导致，若不是硬件问题，则很可能是遭受了 DDOS 攻击。

2. 服务器 CPU 被大量占用。

DDoS 攻击是一种恶意性的资源占用攻击，攻击者利用肉鸡或攻击软件对目标服务器发送大量无效请求，导致服务器资源被大量占用，正常进程无法得到有效处理，网站打开缓慢。如果服务器某段时期突然出现 CPU 占用率过高，那么就可能是网站受到 CC 攻击影响，这也是 DDOS 攻击的一种形式。比如在网站服务器被 ddos\cc 了会出现哪些问题？- 手机搜狐网中提到，服务器 CPU 被大量占用是 DDOS 攻击的常见表现之一。

3. 占用服务器的带宽资源。

占用带宽资源是 DDoS 攻击的一个主要手段。对很多小型企业或个人网站来说，带宽资源有限，一旦网络的带宽被大量无效数据占据，正常流量数据请求就很难被服务器处理。如果服务器上行带宽占用率达到 90% 以上时，通常网站会出现被 DDoS 攻击的可能。正如众多资料中所提到的，带宽被大量占用是 DDOS 攻击的重要特征之一。

4. 域名 ping 不出 IP 的情况。

这其实也是 DDOS 攻击的一种表现，攻击者所针对的攻击目标是网站的 DNS 域名服务器。在出现这种攻击时，ping 服务器的 IP 是正常联通的，但网站页面不能正常打开，并且在 ping 域名时会出现无法正常 ping 通的情况。在生活中，DNS 域名服务器被攻击的案例非常常见，例如我们在进行网络访问时，发现所有网站都不能正常打开，但是 QQ 等网络应用依然可以正常运行。

四、DDOS 攻击的防御方法

1. 确保服务器软件没有漏洞，采用最新系统并打上安全补丁。

服务器软件的漏洞可能会被攻击者利用，从而发起 DDOS 攻击。因此，及时更新服务器软件，采用最新系统并打上安全补丁，可以有效减少被攻击的风险。例如，美国科技公司 Neustar 的报告显示，2020 年上半年，DDoS 攻击数量同比增加了 151％。在这种情况下，确保服务器软件的安全性显得尤为重要。

2. 隐藏服务器的真实源 IP 地址，如使用 DDoS 高防 IP 和 CNAME 域名解析。

隐藏服务器的真实 IP 地址可以有效防止攻击者直接攻击服务器。可以使用高防 IP 服务，将虚设 IP 映射到真实 IP 上，对 DDoS 攻击进行绝对防御。也可以使用 CDN 技术，通过内容分发网络转发合法流量，隐藏服务器真实 IP。此外，还可以使用域名导向技术，将服务器的 IP 进行隐藏。例如，在防止 DDOS 攻击有效方法：隐藏服务器真实 IP - 星朝 - 博客园中提到，隐藏服务器真实 IP 能够有效地保护网站的安全。

3. 启用 SYN 攻击保护，关闭不必要的服务等。

启用 SYN 攻击保护可以有效防止 SYN Flood 攻击。可以通过修改注册表来设置 SYN 攻击保护的参数，如 “SynAttackProtect” 项值设为 2，表示启动 syn 攻击保护，安全级别更高。同时，关闭不必要的服务可以减少被攻击的面。例如，在 “DDos 攻击防御教程_fastadmin ddos - CSDN 博客” 中提到了修改注册表防范 DDos 攻击的方法。

4. 开通 Anti-DDoS 流量清洗，DDoS 高防服务。

Anti-DDoS 流量清洗服务可以对公网 IP 提供四到七层的 DDoS 攻击防护和攻击实时告警通知。同时，还可以提升用户带宽利用率，确保用户业务稳定运行。例如，华为云的 Anti-DDoS 流量清洗服务可以帮助用户缓解 Web 服务器类攻击、游戏类攻击、HTTPS 服务器的攻击和 DNS 服务器的各类攻击。

5. 安装专业防 CC 攻击的 Web 应用防火墙。

Web 应用防火墙可以有效防御 CC 攻击，通过比较 TCP 链接与 IP 的比值，判断 IP 是否异常，再做出是否拦截的动作。例如，网站防 CC 攻击软件防火墙和 WEB 防火墙的比较
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。