运维角度浅谈dos与ddos

1.Dos与ddos是什么？区别是什么？

2.如何从运维的角度去面对dos与ddos呢？

来看看百度的解释！

 

 

很抽象吧，简单来说dos就是黑客拿一个ip对你的服务器进行不断的访问，甚至访问达到1秒几万次，那么过你的服务器如果处理不了这么多的请求，就会导致宕机。

那么ddos其实就是dos的一个升级，他会从全球各个地方拉取很多的ip，同时向你的服务器发送请求包让你的服务器处理，最终使你的服务器宕机。（Ps：当然这些ip也称之为肉鸡，而这些肉鸡可以买，也可以自己去扫描（tcp syn扫描），当然如果需要大量的肉鸡也可以去买，所以说黑客用ddos攻击也是需要成本的要不就是买肉鸡，要不就是用一台性能很高的服务器。）

作为运维我们要确保服务的正常，自然也是要防止一些ddos攻击，那么ddos/dos是什么样的形式去达到攻击的效果呢？

这里需要提到tcp的三次握手，

    

 

首先客户端发送SYN报文到服务端。服务端监听到后SYN后返回SYN+ACK报文 最后客户端返回ACK报文，三次握手结束。这是一个正常的三次握手的过程。

那么黑客攻击的时候实际是客户端发送SYN报文后等待服务端发送SYN+ACK后迟迟不返回ack报文使得server端一致处于SYN_RCVD的状态。使得serever端的承载过高，来达到让server端停止服务的效果。

那么如果是dos攻击则是一个ip无线循环上述操作，而ddos则是成千上万的ip循环上述操作。那么作为运维，该如何及时发现以及处理呢。

我认为，可以利用zabbix监控自定义监控项，监控SYN_RCVD的状态。若出现大量此状态，则迅速排查访问日志，若为同一个ip造成大量SYN_RCVD作为运维我们可以通过防火墙策略，来设置黑名单。 （tcp3次握手--tcp四次挥手为一次完整的传输过程，其中有11种状态，可选择需要的状态进行自定义监控。）

相反如果为很多不同ip造成这个状态，实际上你是没有办法去通过防火墙杜绝的。有时候黑客打你服务器的时候甚至你连ssh都链接不了那么遇到这种情况我们能做的也只有下楼抽烟等他们打完再上来了。。。

玩笑归玩笑，我们要知道的是黑客打你也是需要成本的，肉鸡价格没那么便宜的。那么当然也是有解决方法的，例如买阿里云的高防ip，这个东西其实就跟保险一样，如果你买了没有被黑客攻击，那么你这个钱相当于白花，相反如果你不买，结果遭受了ddos攻击如果这个黑客下血本去打你，那么你还真没办法，除非你把项目迁移到其他服务器，域名解析到迁移到的服务器上。但是买了的话是可能帮你挡下很高的攻击的。

那么这个就需要根据公司实际业务的需求看是否需要购买，毕竟高防ip的价格确实很高。如下图：

 

 

当然如果体量不大的业务也没有必要上高防ip，黑客没那么悠闲的，他们不会浪费自己的成本去打你，当然如果是体量特别大的业务，这点钱对他们也无所谓了，比如说某手某音，随便一个大主播一天就能给他们赚几百万，他们也就无所谓了。

当然也可以选择小公司的高防ip去使用，但是安全性还有待考察。