您可能没有听说过 DDoS 攻击，但它的威胁从未离开过我们。每个位互联网使用者都或多或少间接或直接受到过它的影响。不仅大公司成为目标，DDoS 还可以攻击个人网站。在本文中，我们将介绍您需要了解的有关 DDoS 的所有资讯以及如何阻止 DDoS 攻击。

全球每天都会发生 2000 多次 DDoS 攻击。网路犯罪分子只需 150 美元就可以购买可以持续一周的 DDoS 服务，一次较小的攻击可能只花费 10 美元。而对於受害者而言，DDoS 攻击的成本可能高达数千和数百万美元。

在当今的技术环境中，DDoS 攻击正迅速变得更加强大、强大和普遍。阻止 DDoS 攻击变为一个非常复杂的过程。网站管理员已经有很多活动要做，因此 DDoS 攻击已成为全世界的挑战。

什麽是 DDoS 攻击？

DDoS (Distributed Denial of Service)攻击，也称为分散式拒绝服务，即处於不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位於不同位置的多台机器并利用这些机器对受害者同时实施攻击。由於攻击的发出点是分布在不同地方的，所以这类攻击称为分散式拒绝服务攻击，其中的攻击者可以有多个。它会破坏网站、Web 伺服器或 Web 应用程式的功能或正常流量流入，是难以阻止的一种网路攻击。总体而言，DDoS 攻击好比高速公路发生交通堵塞，妨碍常规车辆抵达预定目的地。

由於每个机器都是合法的互联网设备，因而可能很难区分攻击流量与正常流量。成功的 DDoS 攻击可能是极具破坏性的。它甚至可能导致您的网站从网路上消失，如果您决定将网站离线，那您的客户将无法与您互动，导致网站失信和声誉受损。

许多知名组织都遭受了 DDoS 攻击。PlayStation、亚马逊、谷歌、GitHub、Pinterest 等组织都是 2018 年 DDoS 攻击的受害者，因此不要轻视 DDoS 攻击的威胁。

DDoS 攻击的类型

虽然几乎所有 DDoS 攻击都涉及用流量淹没目标设备或网路，但攻击可以分为三类。攻击者可能利用一种或多种不同的攻击手段，也可能根据目标采取的防范措施回圈使用多种攻击手段。这里是三个最常见的：

1.协议攻击

协定攻击也称为状态耗尽攻击，这类攻击会过度消耗伺服器资源和/或防火墙和负载平衡器之类的网路设备资源，从而导致服务中断。

犯罪分子使用它向目标伺服器发送资料包进行处理/组装。目标伺服器会无休止地等待来自原始 IP 地址的确认，但它永远不会到来。在等待期间，僵屍网路会在没有确认的情况下继续发送更多资料包，这最终会导致资源过度使用和停机。DDoS 协议攻击也可用於针对防火墙，这就是为什麽单独部署防火墙无法阻止 DDoS 攻击的原因。

2. 容量攻击

容量攻击是另一种常见的拒绝服务攻击类型。此类攻击试图透过消耗目标与互联网之间的所有可用频宽来造成拥塞。

攻击运用某种放大攻击或其他生成大量流量的手段（如僵屍网路请求），向目标发送大量资料消耗伺服器的频宽，从而导致目标下线。最常见的容量攻击类型是ICMP（互联网控制消息协定）和 UDP（使用者资料包通讯协定）。UDP 是一种资料在不检查其完整性的情况下传输的现象，而 ICMP 是一种网路设备相互通信的现象。

3. 应用程式层攻击

此类攻击有时称为第 7 层 DDoS 攻击（指 OSI 模型第 7 层），其目标是耗尽目标资源。此类攻击很难防御，因为难以区分恶意流量和合法流量。

攻击目标是生成网页并传输网页回应 HTTP 请求的伺服器层。在用户端执行一项 HTTP 请求的计算成本比较低，但目标伺服器做出回应却可能非常昂贵，因为伺服器通常必须载入多个档并运行资料库查询才能创建网页。

在某些情况下，攻击时使用单台机器进行攻击，目标伺服器很容易被欺骗相信攻击是合法流量。它将流量发送到网站或 Web 伺服器，就好像它是尝试访问该服务的普通人一样。但它会逐渐增加流量并最终压倒频宽。应用层攻击是最简单的拒绝服务攻击形式，也是最常用的。

如何防护 DDoS 攻击？

在现代互联网中，DDoS 攻击以多种形式出现。流量来源可能有所不同，从非欺骗性单源攻击到复杂的自我调整多方位攻击无所不有。同时攻击还可能进行修改调整以规避缓解措施。若要缓解 DDoS 攻击，关键在於区分攻击流量与正常流量。

多方位 DDoS 攻击采用多种攻击手段，以期透过不同的方式击垮目标，很可能分散各个层级的缓解工作注意力。为防护多方位 DDoS 攻击，采用分层解决方案效果最理想，即部署多项不同策略，从而缓解不同层级的攻击。一般而言，攻击越复杂，越难以区分攻击流量与正常流量 —— 攻击者的目标是尽可能混入正常流量，从而尽量减弱缓解措施成效。

如果缓解措施是不加选择地丢弃或限制流量，很可能将正常流量与攻击流量一起丢弃，例如，如果因发布某款产品导致公司网站涌现大批热情客户，那麽全面切断流量是错误之举。

您无法阻止 DDoS 攻击。但是，您可以自行采取一些预防措施：

VPN 如何保护您免受 DDoS 攻击？

如果有人想对你进行 DoS/DDoS 攻击，他们需要找到你的网路。为此，他们需要您的 IP 位址。

VPN 是一种线上服务，可以隐藏您的 IP 位址。下面是它的工作步骤及原理：

因此，理论上，VPN 应该能够防止 DoS/DDoS 攻击。如果骇客试图以您为目标，他们只会对 VPN 提供商的伺服器进行 DoS/DDoS。不过，并非所有 VPN 都提供 DDoS 保护。

根据我们的经验，PandaVPN 是市场上最好的DDoS防护解决方案之一。他们在 73 个国家/地区拥有大约 40,000 个 IP 地址（并​​且还在增加）和 3000 多台伺服器。因此，无论您身在何处，都可以快速切换 IP 位址以躲避 DoS/DDoS 攻击，而不会遭受任何严重的损失。

如果您想详细了解使用 PandaVPN 的好处，请查看 PandaVPN评论。

>>> 前往PandaVPN官网下载

VPN 是否可以 100% 地防止 DDoS 攻击？

不完全是。如果 VPN 的 DDoS 保护实施不当，它就无法真正帮助您。此外，如果想要 DoS/DDoS 的人已经知道您的真实 IP 位址，那麽 VPN 无能为力，他们可以使用它来定位您的网路并绕过 VPN DDoS 保护。在这种情况下，只有您的 ISP 或员警可以提供帮助。

在这种情况下，您有3种选择：

总结

目前而言，DDoS攻击并没有很好的解决办法，做不到彻底防御，只能采取各种手段在一定程度上减缓攻击伤害。如果你是个人，透过本文中介绍的方式可以较好的防御 DDoS 攻击。如果你是网站所有者，尽量在平时伺服器的运维工作中做好基本的防护，必要时求助网路攻击防护专家或警方，可以有效降低损失。