分布式拒绝服务(DDOS)是一种尝试将来自多个受损机器的主机(受害者)攻击到各种网络。
因此，在受害者上运行的目标服务将淹没来自受损网络的连接，并且无法处理它。
这是通过在网络中的易受攻击机上安装我将毒或者木马来实现的，这将用于攻击带有连接洪水的受害者系统。

DDOS攻击涉及3个缔约方：攻击者，助手和受害者。
其中攻击者是DDOS攻击所有者的系统，但通过使助手积极参与者默默地参与。
攻击者将在网络中找到易受攻击的机器，并将在其上安装我将毒/木马。
使用这些受损机/网络，它将攻击受害者。
由于这种协调的行为，DDOS攻击也称为协调攻击。

如何检测DDOS攻击？

在大多数情况下，Web服务器是经过DDOS攻击的(Apache)。
由于DDOS攻击，我们可能会遇到沉重的服务器负载，将非常缓慢地运行或者无响应。
在DDOS攻击期间，我们将能够从相同或者不同网络的各种IP地址显示多数连接。
我们可以使用以下命令查看每个IP地址的Apache连接数：

netstat -ntu | awk '{print }' | cut -d: -f1 | sort | uniq -c | sort –n

如果我们看到每个IP地址的连接数量很多，则可以怀疑DDOS攻击。
但是，在大多数DDOS攻击中，攻击者正在使用更少的连接与更多攻击IP。
在这种情况下，检查活动连接的总数将有助于我们检测DDOS攻击。
可以找到Linux机器上的主动Apache连接，

netstat -n | grep :80 |wc –l

如果数字太高于正常情况(例如，超过500)，我们可以怀疑DDOS攻击。

减轻DDOS攻击

1)使用防火墙

如果我们发现具有大量连接的IP地址，则可以继续在防火墙中阻止这些IP地址或者IP范围。
建议在Linux机器中安装APF或者CSF防火墙，以便于访问控制机制。
我们可以按如下方式阻止APF或者CSF中的IP地址：

apf –d ipaddress
Or
csf –d ipaddress

在DDOS攻击减少之前，我们需要监视并阻止IP地址范围。
请记住，停止DDOS攻击并不容易，但我们可以在防火墙和以下模块的帮助下进行控制。

2)使用Mod_Security Apache模块

ModSecurity是用于Web应用的开源入侵检测和预防引擎。
它也可以称为Web应用程序防火墙。
它运行到Web服务器中，充当强大的伞和屏蔽应用程序。

我们可以从http://www.modsecurity.org/download/获取最新稳定的mod_security发布。

3)使用mod_evasive apache模块

Apache模块Mod_evaSive尝试通过阻止在满足定义的参数集之后阻止违规的IP地址来纠正DDOS攻击。
我们需要使用mod_evasive指令配置Apache，使得如果连接访问超过设置时限内的允许数量的对象，则连接将自动阻止特定时间间隔。

防止DDOS攻击

DDOS攻击通常在弱势系统的帮助下进行。
因此，始终建议将所有服务器软件和应用程序保持最新。
此外，请确保使用像APF或者CSF等防火墙保护系统。
还应在RKHUNTER，CHKROOTKIT等帮助中监视rootkits的所有系统。
此外，我们还可以通过将以下添加到/etc/sysctl.conf来实现SYSCTL保护。

# Enable IP spoofing protection, turn on Source Address Verification
net.ipv4.conf.all.rp_filter = 1
# Enable TCP SYN Cookie Protection
net.ipv4.tcp_syncookies = 1