在最近的采访中，我喜欢问一个问题:你知道DDoS攻击吗？说说它的原理。大概清楚不到1/3。事实上，像全球互联网这样的公司已经遭受了很多DDoS攻击。

2018年，GitHub在一瞬间被高达1.35Tbps的带宽攻击。这次DDoS攻击几乎是互联网历史上规模最大、威力最大的DDoS攻击。GitHub被攻击后，仅过了一周，DDoS攻击就开始攻击谷歌、亚马逊甚至Pornhub。后续DDoS攻击的带宽最高曾达到1Tbps。

DDoS攻击到底是什么？ DDos分布式拒绝服务的全称，翻译成中文就是分布式拒绝服务。是指不同位置的多个攻击者同时攻击一个或几个目标，是一种分布式协同的大规模攻击。单一的DoS攻击一般采用一对一的方式。它利用网络协议和操作系统的一些缺陷，采用欺骗和伪装策略对网络进行攻击，使网站服务器被大量需要回复的信息淹没，消耗网络带宽或系统资源，导致网络或系统过载，导致瘫痪，停止提供正常的网络服务。

这里有一个更生动的例子来解释DDoS攻击。

我开了一家50座的重庆火锅店。因为食材很优秀，老男孩也不欺负。平时生意很忙，二狗家对面的火锅店却无人问津。为了对付我，二狗想了个办法，叫了五十个人坐在我的火锅店不点餐，让其他客人吃不上饭。

上面的例子是典型的DDoS攻击。一般来说，是指攻击者利用“肉鸡”在短时间内向目标网站发出大量请求，大规模消耗目标网站的主机资源，使其无**常服务。网络游戏、互联网金融等领域是DDoS攻击的高发行业。

攻击有很多，比如ICMP Flood，UDP Flood，NTP Flood，SYN Flood，CC攻击，DNS查询Flood等。

以下是SYN Flood攻击DDoS的实现原理。

SYN Flood是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满或内存不足)的攻击方法。

正常的TCP连接需要三次握手:客户端发送SYN消息，服务器接收请求并返回表示接受的消息，客户端也返回确认以完成连接。

SYN Flood是指用户向服务器发送消息后突然死机或掉线，导致服务器在发送回复消息后无法收到客户端的确认消息(三次握手无法完成)。此时，服务器一般会重试并等待一段时间，然后丢弃未完成的连接。

一个用户的异常导致服务器的一个线程等待一段时间问题不大，但是恶意攻击者大量模拟这种情况。服务器端为了维持几万个半连接，消耗了大量的资源，结果往往忙到忽略客户的正常请求，甚至崩溃。从正常客户的角度来看，网站失去反应，无法访问。

如何应对DDoS攻击？ 高安全***器

以重庆火锅店为例。高安全***器是我给重庆火锅店加了两个保安。这两个保安可以保护店铺不受流氓骚扰，会定期在店铺周围巡逻，防止流氓骚扰。

高防服务器主要是指能够独立硬防御50Gbps以上，能够帮助网站拒绝服务攻击，定期扫描网络主要节点等的服务器。这东西好但是贵~

黑名单

面对火锅店的流氓，我一怒之下拍下他们的照片并立案，禁止他们进店，但有时候长得像他们的人也会被禁止进店。这是建立黑名单。这种方式秉承了“误***一千，不让一百”的原则，会阻塞正常的交通，影响正常的业务。

清洁DDoS

DDos清洗，就是我在店里找了一个客人几分钟，但是他没点，我就把他踢出店了。

DDoS会实时监控用户请求的数据，及时发现DoS攻击等异常流量，在不影响正常业务发展的情况下，对这些异常流量进行清洗。

CDN加速

加快CDN，可以这么理解:为了减少流氓骚扰，**脆在网上开了火锅店取外卖服务，让流氓找不到店在哪里，玩不到流氓。

现实中，CDN服务将网站访问流量分配到各个节点，这样一方面隐藏了网站的真实IP，另一方面即使遇到DDoS攻击，也可以将流量分配到各个节点，防止源站崩溃。