第九十五章 DDoS攻击防御（1 / 2）

爱去小说网 更新时间:2012-5-27 18:06:55 本章字数:3757

屏蔽了国外的百分之八十IP请求后，星空官网的速度一下子上来了，服务器CPU使用率也降回到了低点。.

机房里所有人都松了一口气，但沈斌却依旧是一副凝重的表情。屏蔽IP固然是可以抵一时风雨，但绝不是长久之计。对方这时主要用的是国外的肉鸡，但万一他将国内的肉鸡运用起来呢，难道再将国内的IP也屏蔽掉？

那还不如直接将网站关闭！

DDoS攻击啊，真是令人伤脑筋的东西。

叶筱妖见服务器恢复了正常，机房里总算不似刚才那般紧张了，她便扯了扯沈斌的衣服，小声问道：“DDoS攻击到底是怎么回事啊？”

叶筱妖估计是整个公司里的另类，也是唯一一个对电脑知识比较匮乏的人。她虽然也听说过DDoS的大名，却始终不甚了解。只当它是一种攻击手段，遇到DDoS了，赶紧跑就是了。现在自己加入了公司，也就是公司的一员，从前那种“敌来我逃”的策略已经不管用了。

所以她也就变得虚心好学起来。

对于叶筱妖的转变，沈斌还是很欣慰的，至少这位大小姐终于开悟了，懂得学习新鲜知识了。这说明她真正将自己当作公司的一员，而不是那种玩票、求新鲜的性质。

他说道：“DDoS攻击是洪水攻击的一种，攻击发生时会产生大量的数据，就好似洪水泛滥一样。具体来说，它是网络泛洪中的一种，发生在OSI模型的第三层和第四层。”

见叶筱妖好像有些听不明白的样子，他就细致道：“洪水攻击的原理其实是利用了TCP协议的三次握手行为。”

“假设有两台机器A和B。A使用TCP协议连接B，在建立连接之前，A先发一个ICMP报文，也就是一个数据包给B，表示：‘我想与你联系’，这是第一次握手；B在接收到这个数据包后，利用ICMP报文中的源地址，也就是A的IP，也给A回了一个ICMP报文，说：‘真的吗？’这是第二次握手；A接到B的ICMP报文后，又给B发了一个ICMP报文，‘当然是真的。’这是第三次握手。B如果成功接到这个报文后，双方沟通完毕，B就正式和A建立TCP连接。”

而洪水攻击，问题就出在第二次握手上。

如果是A的请求ICMP发过去，那么请求里的源地址应该是A的IP地址。但如果是一个非法的ICMP报文的话，ICMP的源地址可能并不是A的IP，也许就是一个并不存在的IP。如果是这样，那在第二次握手时，B也就无法找到A了，这当然就不可能发生第三次握手。

这样，B找不到A，而A又迟迟只有过了10秒，B确认这些连接资源是不合理的，才会释放掉这些资源。当然，如果是恶意攻击的话，那么A在下一个10秒还会发10000个连接包。

A不断地发这样数据包，就意味着B将永远要维护这10000个连接，因此，B的CPU和内存将被耗尽，至少也得被占用大部分。所以B就无法响应其它机器的请求，或者是响应迟缓。

“这就好比是一个流氓给一个正经人寄了封信，让他到马上到某个地方见面，发完就闪了，也不去约定的地方，而那个正经人却傻乎乎真在那里等着流氓。等了一天了，不见流氓来，正经人就回家了。可第二天又收到流氓的信，于是又去等了。”

“一连几天下来，正经人累坏了，自己的正常工作也因为去等流氓的缘故而没有顾及上。”

“那不是太混蛋了吗？”叶筱妖漂亮的眼睛瞪大了，原来洪水攻击是这么回事，她总算有些明白了。

“小助手，有没有办法彻底解决洪水攻击？”

有一句话说得好，有问题，找小汐，现在小汐不在了，找小助手也行。沈斌想了很久都没有想出一个完美的解决方案来，于是就只要求助小助手。

“方法是有的。传承空间里有完整的教程，不过这本来应该是宿主自己学习的内容。”

小助手语气平淡。

沈斌眼睛一瞪，不悦道：“现在都什么时候了还自己学习，非常时期就应该用非常手段，小助手你直接告诉我应该怎么办。”

小助手沉默了会，说道：“根据宿主所在文明的具体情况，系统推荐：采用分布式防御机制。”

“具体的呢？”沈斌问。

“主要有两种防御。”小助手的声音依旧跟从前一样缺乏感情，不过沈斌现在却觉得如听仙乐一般，居然有两种防御方法。

“说说看！”他期待地道。

“第一种，可以建立节点信任机制。通过对节点进行计算，根据计算的结果，得出每个网络节点的信誉值，从而生成信任表与不信任表。具体方法是，每一次数据交换时，首先对消息包的来源节点进行信誉判断，不信任的直接阻断，信任的放行，进入下一层检测。采用不信任节点黑名沈斌听着觉得有道理，就点点