网站被攻击了，如何阻止DDoS攻击？

分布式拒绝服务（DDoS）攻击是指攻击者通过大量请求试图使目标服务无法正常运行，导致Web服务器崩溃，数据库遭受轰炸，互联网带宽、CPU和RAM资源被耗尽，不堪重负。

DDoS攻击的影响不容小觑，轻则导致服务中断，给用户带来不便；重则可能让整个网站、应用程序甚至整个业务被迫离线，造成巨大损失。

这种攻击方式已经存在多年，并且还在不断发展和变化。仅在2023年，就记录到了高达13142840次的DDoS攻击事件。

拒绝服务（DoS）攻击，简而言之，就是阻止对服务器、设备、服务、网络、应用程序乃至应用程序内部特定交易的访问。

那么，DoS与DDoS之间有何区别呢？

DoS和DDoS攻击的主要区别在于规模。两者都旨在通过发送超过系统处理能力的数据请求来使目标系统崩溃，但DoS攻击仅由单个系统发送恶意数据或请求，而DDoS攻击则是由多个系统共同发起。

分布式攻击（DDoS）相较于单台机器的攻击（DoS）往往能造成更大的破坏，因为防御方需要应对并阻止大量的IP地址。

DDoS僵尸网络是所有DDoS攻击的核心力量。它由数百或数千台已被恶意黑客控制的机器组成，这些机器被称为“僵尸”或“机器人”。攻击者会先识别出易受攻击的系统，然后通过网络钓鱼、恶意广告等大规模感染技术，用恶意软件感染这些系统。被感染的机器类型各异，既有普通的家用或办公室电脑，也有DDoS设备（例如，Mirai僵尸网络就曾组织了大量被黑客入侵的闭路电视摄像机）。而这些机器的所有者往往毫不知情，因为它们在大多数情况下仍能正常运行。

这些受感染的机器会等待来自“命令和控制服务器”的远程指令。这个服务器就像攻击的“大脑”，它本身通常也是一台被黑客入侵的机器。一旦收到指令，所有的“僵尸”就会同时尝试访问受害者在线提供的某些资源或服务。单独来看，每个“僵尸”发出的请求和网络流量都看似正常且无害，但由于数量庞大，它们的请求往往会超出目标系统的处理能力——而且因为这些“僵尸”通常是分布在全球各地的普通计算机，所以在不影响合法用户的情况下阻止它们的流量变得十分困难，甚至是不可能的。

DDoS攻击主要可以分为三类，其分类主要依据的是向受害者系统发送的流量类型：

所有类型的DDoS攻击都运用了以下技术：

欺骗：当攻击者篡改或混淆IP数据包标头中原本显示数据包来源的信息时，就形成了所谓的IP数据包欺骗。由于受害者无法追踪到数据包的真实来源，因此难以阻止来自该来源的攻击。

反射：攻击者可能会伪造一个IP地址，使其看起来像是来自目标受害者，然后将该数据包发送给第三方系统。第三方系统在不知情的情况下会将“回复”数据包发送给受害者，这使得目标更难识别攻击的真正来源。

放大：某些在线服务可能会被诱骗，使用极大的数据包或多个数据包来回应原始数据包。

以上这三种技术可以相互结合，形成所谓的反射或放大DDoS攻击，这种攻击方式如今已经变得愈发普遍。

DDoS攻击可能相当难以诊断，因为它们在表面上常常模仿合法用户产生的正常流量。但幸运的是，仍有一些方法可以识别DDoS攻击的人造流量与真实用户产生的自然流量之间的区别。

在识别DDoS攻击时，需要注意以下症状：

尽管攻击者可能采用了欺骗或分发技术，但许多DDoS攻击仍然源自有限范围的IP地址或来自单个国家或地区——这通常是您平常不会看到太多流量的地方。

类似地，您可能会发现所有流量都来自同一类型的客户端，其HTTP请求中显示的操作系统和Web浏览器类型完全相同，这与真实访问者展现的多样性大相径庭。

流量可能会集中冲击单个服务器、网络端口或网页，而不是均匀分布在您的整个网站上。

此外，流量可能会以有规律的波浪或模式出现，这也是DDoS攻击的一个显著特征。

缓解DDoS攻击颇具挑战，因为它使用的网络流量与您的合法客户所使用的流量极其相似。简单地阻止所有HTTP请求虽然可以“阻止”对网站的DDoS攻击，但这无疑也会阻止其他用户访问您的网站，从而间接地让攻击者达到了他们的目的。

如果您能够像前面所述那样区分DDoS流量和合法流量，那么这将有助于缓解攻击，同时确保您的服务至少部分在线。例如，如果您知道攻击流量主要来自东欧，那么您可以考虑暂时屏蔽来自该地区的IP地址。

一种有效的预防措施是关闭您未使用的任何公开服务。特别是那些可能容易受到应用层攻击的服务，可以在不影响您提供网页服务的前提下进行关闭。

但通常来说，缓解DDoS攻击的最佳方法是具备承受大量入站流量的能力。根据您的情况，这可能意味着需要强化您自己的网络设施，或者利用内容交付网络（CDN）服务，这些服务旨在容纳和分散大量流量。此外，您的网络服务提供商可能也提供专门的DDoS缓解服务供您选择和使用。