流量攻击初探：什么是DDoS？它为何能让你的网站瞬间“蒸发”？》

为了理解DDoS攻击，我们先来玩一个比喻。

把你的网站，想象成一家你精心经营的、小而美的咖啡馆。

• 你的服务器，就是这家咖啡馆的店面，面积有限。

• 服务器的CPU和内存，就是你店里咖啡师的数量和咖啡机的性能，处理能力有限。

• 服务器的带宽，就是你咖啡馆的大门，宽度有限，一次能进出的人数有限。

• 正常的访客，就是真正的顾客，他们走进店里，点一杯咖啡，坐下慢慢品尝。

在正常的一天里，顾客们有来有去，你的咖啡师有条不紊，一切都显得那么岁月静好。

序幕：最原始的攻击 —— DoS (拒绝服务)

在聊DDoS之前，我们先说说它的“弟弟”——DoS攻击 (Denial of Service)。

场景：某天，你店里来了一个无聊的捣蛋鬼。他不点单，也不喝咖啡，就一屁股堵在你的点餐台前，缠着你唯一的咖啡师，问一千个愚蠢的问题：“你们的咖啡豆是公的还是母的？”，“你们的杯子会不会影响星座运势？”……

这个捣蛋鬼，一个人就占用了你全部的服务资源（咖啡师）。后面排着长队的真顾客，因为等得不耐烦，就全都气冲冲地走了。

这就是DoS攻击。攻击者用一台电脑，向你的服务器发起海量的、无意义的请求，把你的服务器CPU、内存（咖啡师）给活活耗尽，让它没空去搭理正常的访问请求。

不过，这种攻击现在已经很好对付了。你只需要让你的保安（防火墙）记住这个捣蛋鬼的脸（IP地址），然后把他拉进黑名单，永远不让他再进门就行了。

但是，如果来的不是一个捣蛋鬼，而是一支“军队”呢？

高潮：DDoS的降临 —— 丧尸围城

DDoS，全称是“分布式拒绝服务攻击”（Distributed Denial of Service）。关键就在于“分布式”这三个字。

场景：这次，不再是一个捣蛋鬼。而是成千上万个外表看起来和正常人一模一样的“顾客”，在同一秒钟，从城市的四面八方，潮水般地涌进你的咖啡馆。

他们不点单，也不说话。他们唯一的目的，就是**“占满空间”**。

他们挤满了你店里的每一个角落，堵死了你的大门，把你的点餐台围得水泄不通。你的咖啡师想问他们喝点什么，但人太多，根本应付不过来。而那些真正想喝咖啡的顾客，连你店的大门都挤不进来。

从外面看，你的咖啡馆“人声鼎沸”，生意火爆。但实际上，你的店已经事实性停业了。

这就是DDoS攻击。

攻击者不再用一台电脑，而是操控着一个由成千上万、甚至数百万台被感染的“傀儡电脑”组成的网络，对你的服务器发起“饱和式攻击”。

这支庞大的“丧尸军团”从何而来？—— 僵尸网络

你可能会问，黑客去哪里找这么多电脑来同时发起攻击？

答案是：你我的电脑，我们父母的电脑，我们家里的智能摄像头、智能冰箱……任何一个联网的、存在安全漏洞的设备，都有可能成为这支“丧尸军团”的一员。

黑客通过散播病毒、利用系统漏洞等方式，悄悄地在全世界无数台电脑和智能设备上植入“后门程序”。这些被控制的设备，就组成了一个巨大的**“僵尸网络”（Botnet）**。

设备的主人，通常对此毫不知情。他们在正常地用电脑办公，用手机看视频。但在网络的另一端，黑客（我们称之为“牧尸人”）可以像将军一样，随时向他的僵尸军团下达指令。

他只需要在控制台敲下一行命令：“目标：www.mycoffeeshop.com，攻击开始！”

下一秒，来自全球上万个不同家庭、不同城市的IP地址，就会像收到了指令的丧尸一样，同时涌向你那小小的“咖啡馆”。

为什么DDoS这么难防御？

• 你无法再用“拉黑IP”这种简单的方法了。因为攻击者有成千上万个IP，你拉黑不过来。

• 每一次攻击请求，看起来都像是来自一个正常的“顾客”，难以分辨真假。

攻击的“花样”：不只是堵门，还能累死你的咖啡师

DDoS攻击也分很多种流派，我用咖啡馆的比喻，给你介绍两种最主流的：

1. 流量型攻击（堵死大门）这是最简单粗暴的一种。丧尸军团的目标，不是挤进你的店里，而是单纯地用巨大的身躯，把你那个小小的大门（服务器带宽）给彻底堵死。 比如，你的服务器带宽是1Gbps，意味着你的大门每秒最多能通过1G的数据。而攻击者，直接指挥丧尸军团，向你的大门发起了100Gbps的洪水。结果可想而知，你的大门瞬间被冲垮，别说真顾客，连你自己都进不去了。

2. 应用层攻击 / CC攻击（累死咖啡师）这种攻击更“聪明”，也更隐蔽。丧尸们不再是无脑地堵门，而是伪装成真正的顾客，彬彬有礼地走进店里，排队点单。 但是，他们每个人点的，都是菜单上最复杂、最耗费咖啡师精力的那款“特调手冲咖啡”。比如，要求查询你网站上一个极其复杂的数据库，或者反复请求登录、搜索等功能。 这种攻击，消耗的“带宽”（大门）可能并不大，但它会把你宝贵的CPU和内存（咖啡师）资源迅速榨干。你的咖啡师们为了应付这些“假顾客”的复杂订单，累得精疲力竭，根本没空去服务那些只想点一杯普通美式的真顾客。

“为什么是我？我的小网站也有人攻击？”

这是所有受害者都会问的问题。答案可能让你很失望：攻击你，可能根本不需要理由。

• 商业竞争：你的竞争对手，可能花了不到一顿饭的钱，在暗网上雇佣了一个“DDoS服务”，在你最重要的促销日，让你的网站下线24小时。

• 敲诈勒索：黑客先把你的网站打瘫，然后发一封邮件给你：“想恢复访问吗？先给我打5个比特币。”

• “黑客”的炫技或报复：可能仅仅因为你在某个论坛上得罪了一个懂点技术的小屁孩。

• 纯粹的恶意和无聊：是的，有些人做这些，只是为了好玩。

在今天，“DDoS攻击”早已不是什么尖端技术，它已经变成了一种高度产业化、明码标价的“网络军火”。任何人，只要愿意花钱，都能轻易地租用到一支“丧尸军团”。

所以，不要再抱有“我的网站规模小，没人会盯上我”的幻想了。在DDoS的世界里，没有“太大而不能倒”，只有“太小而无法防御”。

你的网站，就是那家开在互联网这个喧嚣大街上的咖啡馆。你无法阻止街上是否有丧尸游荡，你也无法预测他们何时会集结。

你唯一能做的，就是在你的咖啡馆门口，部署一套足够强大、足够智能的全球安保系统。这套系统，需要能提前识别出哪些是真顾客，哪些是伪装的丧尸，并在那支丧尸军团还在几个街区之外时，就将他们拦截、驱散，确保他们永远无法靠近你那脆弱的大门。