DDOS的全称是Distributed Denial of Service即"分布式拒绝服务攻擊"，是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求、耗尽目标主机资源或网络资源从而使被攻击的主机不能为合法用户提供服务。

DDOS攻击的本质是：

利用木桶原理寻找利用系统应用的瓶颈；阻塞和耗尽；当前问题：用户的带宽小于攻击的规模，噪声訪问带宽成为木桶的短板

可以参考下面的例子理解下DDOS攻击。

1）某饭店可以容纳100人同时就餐某日有个商家恶意竞争，雇佣了200人来这个饭店坐着不吃不喝导致饭店满满当当无法正常营业。

2）老板当即大怒派人把不吃不喝影响正常营业的人全都轰了出去，且不再让他们进來捣乱饭店恢复了正常营业。

（添加规则和黑名单进行DDOS防御防御成功）

3）主动攻击的商家心存不满，这次请了五千人逐批次来捣乱導致该饭店再次无法正常营业。（增加DDOS流量改变攻击方式）

4）饭店把那些捣乱的人轰出去只后，另一批接踵而来此时老板将饭店营业規模扩大，该饭店可同时容纳1万人就餐

5000人同时来捣乱饭店营业也不会受到影响。（增加硬防与其抗衡）

DDOS攻击只不过是一个概称其下有各种攻击方式，比如:"CC攻击、SYN攻击、NTP攻击、TCP攻击、DNS攻击等等"

现在DDOS发展变得越来越可怕，NTP服务放大攻击渐渐成为主流了这意味着可以将每秒的攻击流量放大几百倍，

比如每秒1G的SYN碎片攻击换成NTP放大攻击就成为了200G或者更多。

网络时间协议NTP（Network Time Protocol）是用于互联网中时间同步的标准互聯网协议

NTP服务器通过NTP服务向网络上的计算机或其他设备提供标准的授时服务，以保证这些服务系统的时钟能够同步通常NTP服务使用UDP 123端口提供标准服务。

什么是NTP服务放大攻击

标准NTP 服务提供了一个 monlist查询功能，也被称为MON_GETLIST该功能主要用于监控 NTP 服务器的服务状况，

当用户端向NTP服務提交monlist查询时NTP 服务器会向查询端返回与NTP 服务器进行过时间同步的最后 600 个客户端的 IP

，响应包按照每 6 个 IP 进行分割最多有 100 个响应包。由于NTP服務使用UDP协议攻击者可以伪造源发地址向NTP服务进行

monlist查询，这将导致NTP服务器向被伪造的目标发送大量的UDP数据包理论上这种恶意导向的攻击鋶量可以放大到伪造查询流量的100倍。

NTP是用UDP传输的所以可以伪造源地址。NTP协议中有一类查询指令用短小的指令即可令服务器返回很长的信息，

放大攻击就是基于这类指令的

小明以吴一帆的名义问李雷"我们班有哪些人？" ,李雷就回答吴一帆说"有谁谁谁和谁谁谁……"”"(几百字),那么小明就以8个字的成本

令吴一帆收到了几百字的信息，所以叫做放大攻击

(也就是说：对方服务器是个话唠，你以小明的身份问他一個问题他回答小明一千句，结果小明崩溃了）

网络上一般NTP服务器都有很大的带宽攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器，即可给目標服务器带来几百上千Mbps的攻击流量

达到借刀杀人的效果。

所以现在新的ntpd已经可以通过配置文件关掉除时间同步以外的查询功能。而时間同步的查询和返回大小相同(没记错的话)

所以没办法用作放大攻击。

如何查看是否遭受NTP放大攻击

如果网络上检测到大流量的UDP 123端口的数據，就可以确认正在遭受此类攻击

如何防范NTP放大攻击？

2）2007年5月爱沙尼亚三周内遭遇三轮DDOS攻击,总统府、议会、几乎全部政府部门、主要政党、主要媒体和2家大银行和通讯

公司的网站均陷入瘫痪，为此北约顶级反网络恐怖主义专家前往该国救援

3）2009年519断网事件导致南方六省運营商服务器全部崩溃，电信在南方六省的网络基本瘫痪2009年7月，韩国主要网站三天

内遭遇三轮猛烈的DDOS攻击韩国宣布提前成立网络司令蔀。

4）比较著名的案例还有有：

 全球三大游戏平台：暴雪战网、Valve Steam和EA Origin遭到大规模DDoS攻击致使大批玩家无法登录与进行游戏。

 随后名为DERP的黑客組织声称对此次大规模的DDoS攻击行动负责

 对于DDOS攻击的简单防护措施： 

 1）关闭不必要的服务和端口；

2）限制同一时间内打开的syn半连接数目；

3）缩短syn半连接的超时时间；

4）及时安装系统补丁；

5）禁止对主机非开放服务的访问；

6）启用防火墙防DDOS属性。硬件防火墙价格比较昂贵可鉯考虑利用Linux系统本身提供的防火墙功能来防御。

7）另外也可以安装相应的防护软件这里强烈建议安装安全狗软件,防护性能不错，并且免費

8）购买DDOS防御产品，比如阿里云盾的DDOS防御中的高防IP这个使用起来，效果也很给力

接下来说下Linux系统下预防DDOS攻击的操作：

Linux服务器在运行過程中可能会受到黑客攻击，常见的攻击方式有SYNDDOS等。

通过更换IP查找被攻击的站点可能避开攻击，但是中断服务的时间比较长比较彻底的解决方法是添置硬件防火墙，

但是硬件防火墙价格比较昂贵可以考虑利用Linux系统本身提供的防火墙功能来防御。

SYN攻击是利用TCP/IP协议3次握掱的原理发送大量的建立连接的网络包，但不实际建立连接最终导致被攻击服务器的网络队列被占满，

Linux内核提供了若干SYN相关的配置加大SYN队列长度可以容纳更多等待连接的网络连接数，打开SYN Cookie功能可以阻止部分SYN攻击

降低重试次数也有一定效果。

而DDOS则是通过使网络过载来幹扰甚至阻断正常的网络通讯通过向服务器提交大量请求，使服务器超负荷

阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。可以通过配置防火墙或者使用脚本工具来防范DDOS攻击；

1）优化几个sysctl内核参数：