为什么DDOS攻击是服务器的最大危害？

前言：什么是DDoS攻击

分布式拒绝服务（Distributed Denial of Service，简称DDoS）将多台计算机联合起来作为攻击平台，通过远程连接利用恶意程序，对一个或多个目标发起DDoS攻击，消耗目标服务器性能或网络带宽，从而造成服务器无法正常地提供服务。

攻击原理：

通常，攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上，并在网络上的多台计算机上安装代理程序。在所设定的时间内，主控程序与大量代理程序进行通讯，代理程序收到指令时对目标发动攻击，主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。

DDoS攻击的危害：

DDoS攻击会对您的业务造成以下危害：

重大经济损失

在遭受DDoS攻击后，您的源站服务器可能无法提供服务，导致用户无法访问您的业务，从而造成巨大的经济损失和品牌损失。

例如：某电商平台在遭受DDoS攻击时，网站无法正常访问甚至出现短暂的关闭，导致合法用户无法下单购买商品等。
数据泄露
黑客在对您的服务器进行DDoS攻击时，可能会趁机窃取您业务的核心数据。
恶意竞争
部分行业存在恶性竞争，竞争对手可能会通过DDoS攻击恶意攻击您的服务，从而在行业竞争中获取优势。

例如：某游戏业务遭受了DDoS攻击，游戏玩家数量锐减，导致该游戏业务几天内迅速彻底下线。

常见的DDoS攻击种类：

DDoS攻击的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的，当攻击目标存在有CPU速度低、内存小或者网络带宽小等等各项指标不高的性能时，它的效果是明显的。
DDoS攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。这种攻击方式主要可分为以下几种:
1. IP Spoofing
2. CC 攻击
3. Smurf攻击
4. Teardrop攻击
5. SYN Flood攻击
6. SYN+ACK Flood攻击
7. ACK Flood 攻击
8. TCP 全连接攻击
9. UDP Flood
10. LAND attack
11. 以上攻击的混合攻击

如何判断业务是否已遭受DDoS攻击：

出现以下情况时，您的业务可能已遭受DDoS攻击：

网络和设备正常的情况下，服务器突然出现连接断开、访问卡顿、用户掉线等情况。
服务器CPU或内存占用率出现明显增长。
网络出方向或入方向流量出现明显增长。
您的业务网站或应用程序突然出现大量的未知访问。
登录服务器失败或者登录过慢。

常见术语

流量清洗：

清洗是指将流量从原始网络路径中重定向到清洗设备上，通过清洗设备对该IP的流量成分进行正常和异常判断，丢弃异常流量，并对最终到达服务器的流量实施限流，减轻攻击对服务器造成的损害，但对流量中正常的部分可能造成损伤。

黑洞：

如果您的云服务器遭受大量攻击，且超过免费防御的流量值时，会触发黑洞。触发黑洞后，阿里云会在一定时长内限制该服务器的外网通信，黑洞时长视攻击情况而定。免费防御的流量值因不同的地区和不同的CPU配置而异。以下是黑洞的基本信息说明：

触发黑洞的条件：云服务器遭受的攻击流量超过了免费防御的流量阈值。
黑洞时长：从30分钟到24小时不等。黑洞时长视攻击情况而定，且不同地域资产的默认黑洞时长不同。
说明黑洞时长和黑洞阈值将根据您账号的安全信誉等级自动调整，安全信誉等级越高，黑洞时长越短并且黑洞阈值越高。

黑洞结束后自动进入清洗状态，核实攻击是否还存在。如果攻击依然存在，服务器会再次进入黑洞；如果攻击已经停止，系统会自动解封。如果被黑洞的服务器遭受的攻击量过大，会影响阿里云整个机房的网络稳定，因此原生防护基础版不支持手动解除黑洞。如果急需恢复服务器的外网通信，可以考虑购买阿里云DDoS高防服务。DDoS高防服务是针对阿里云服务器在遭受大流量的DDoS攻击后导致服务不可用的情况下，推出的付费增值服务。您可通过配置DDoS高防IP，将攻击流量引流到高防IP，确保源站的稳定可靠。

全力防护

全力防护是DDoS原生防护企业版提供的DDoS防御能力，指根据当前地域下DDoS本地清洗中心的机房网络和资源整体水位，尽可能对攻击进行防御。

弹性防护

弹性防护是DDoS高防（新BGP）专业版提供的DDoS防御能力。针对DDoS攻击超过保底防护带宽的场景，您可以设置需要DDoS高防（新BGP）帮助您防御的最大DDoS攻击流量阈值（即弹性防护带宽）。当DDoS攻击流量峰值超过保底防护带宽，且小于您设置的弹性防护带宽时，将触发弹性防护，且产生发生攻击当日的弹性防护费用。

高级防护

高级防护是DDoS高防（国际）保险版和无忧版防护套餐中提供的DDoS防御能力。

Anycast

Anycast是一种网络地址和路由通信方式。访问Anycast地址的报文可以被路由到该Anycast地址标识的一组特定的服务器主机。

DDoS高防（国际）采用Anycast方式将接收到的流量路由到距离最近且拥有防护能力的清洗中心。通过这种路由方式，即使在面对大流量并发、网络拥塞时，DDoS高防（国际）也能为您的业务提供高效的流量清洗和弹性处理能力。

Anycast地址可以将接收到的流量路由至多个数据中心。当访问流量到达绑定Anycast地址的IP时，根据所设定的分发方式将流量分发至不同的数据中心。一般情况下，选择分发至距离访问来源最近的数据中心。例如，某个DDoS高防（国际）实例的Anycast IP为170.x.x.x，所有阿里云海外地区高防流量清洗中心都宣告了该IP地址的路由。当向该IP地址发送数据包时，数据包经过一系列路由，并通过查看阿里云海外地区高防流量清洗中心各节点的可用路径，最终将数据包发送至路径最短（即经过最少跳路由）的节点。当某一节点的服务器发生故障导致不可用时，将立即停止宣告已不可用的IP段，数据包将仍然按照距离最短的原则路由至最近的服务节点。
　　DDoS攻击一定要使用高防服务器，我认为在目前的形势下，流量攻击只会越来越高，所以需要的高防服务器也要越来越强。外面也有很多高防服务器厂商，他们可以根据攻击的变化来及时调整防御，最大程度的保证客户服务器的正常运行。