用户名：guzhoujiexing
文章数：59
访问量：39640
注册日期：
阅读量：1297
阅读量：3317
阅读量：442865
阅读量：1128962
51CTO推荐博文
1 DDoS：Distributed Denial of ServiceDDoS攻击，即分布式拒绝服务攻击，是目前黑客经常采用而难以防范的攻击手段。黑客一般是通过制作僵尸网络的方式攻击域名，即在计算机中植入特定的恶意程序控制大量“肉鸡”(指可以被黑客远程控制的机器)，然后通过相对集中的若干计算机向相对分散的大量“肉鸡”发送攻击指令，引发短时间内流量剧增。主要目的是让指定目标无法提供正常服务，甚至从互联网上消失，是目前最强大、最难防御的攻击之一。按照发起的方式，可分为三类：第一类以力取胜，海量数据包从互联网的各个角落蜂拥而来，堵塞IDC入口，让各种强大的硬件防御系统、快速高效的应急流程无用武之地。这种类型的攻击典型代表是ICMPFlood和UDPFlood，现在已不常见。第二类以巧取胜，灵动而难以察觉，每隔几分钟发一个包甚至只需要一个包，就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起，例如Slowloris攻击、Hash冲突攻击等，需要特定环境机缘巧合下才能出现。第三类是上述两种的混合，轻灵浑厚兼而有之，既利用了协议、系统的缺陷，又具备了海量的流量，例如SYNFlood攻击、DNSQuery Flood攻击，是当前的主流攻击方式。2 攻击方式2.1 SYN Flood SYN Flood攻击利用了TCP三次握手的缺陷：攻击者伪装大量的IP地址给服务器发送SYN报文，由于伪造的IP地址几乎不可能存在，也就几乎没有设备会给服务器返回任何应答了。因此，服务器将会维持一个庞大的等待列表，不停地重试发送SYN+ACK报文，同时占用着大量的资源无法释放。更为关键的是，被攻击服务器的SYN_RECV队列被恶意的数据包占满，不再接受新的SYN请求，合法用户无法完成三次握手建立起TCP连接。也就是说，这个服务器被SYN Flood拒绝服务了。2.2 DNS Query Flood DNS Query Flood就是攻击者操纵大量傀儡机器，对目标发起海量的域名查询请求。为了防止基于ACL的过滤，必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。在DNS协议层，随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外，还可以降低命中DNS缓存的可能性，尽可能多地消耗DNS服务器的CPU资源。2.3 HTTP Flood HTTP Flood是针对Web服务在第七层协议（应用层）发起的攻击。它的巨大危害性主要表现在三个方面：发起方便、过滤困难、影响深远。HTTP Flood攻击通过端口扫描程序在互联网上寻找匿名的HTTP代理或者SOCKS代理，攻击者通过匿名代理对攻击目标发起HTTP请求。匿名代理是一种比较丰富的资源，花几天时间获取代理并不是难事，因此攻击容易发起而且可以长期高强度的持续。HTTP Flood攻击在HTTP层发起，极力模仿正常用户的网页请求行为，与网站业务紧密相关，安全厂商很难提供一套通用的且不影响用户体验的方案。HTTP Flood攻击会引起严重的连锁反应，不仅仅是直接导致被攻击的Web前端响应缓慢，还间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务，增大它们的压力，甚至对日志存储服务器都带来影响。2.4 慢速连接攻击：Sloworis攻击者在HTTP请求头中将Connection设置为Keep-Alive，要求Web Server保持TCP连接不要断开，随后缓慢地每隔几分钟发送一个key-value格式的数据到服务端，如a:b，导致服务端认为HTTP头部没有接收完成而一直等待。如果攻击者使用多线程或者傀儡机来做同样的操作，服务器的Web容器很快就被攻击者占满了TCP连接而不再接受新的请求。3 防御3.1 SYN Flood防御SYN Flood攻击大量消耗服务器的CPU、内存资源，并占满SYN等待队列。相应的，我们修改内核参数即可有效缓解。主要参数如下：net.ipv4.tcp_syncookies = 1 & & &#启用SYN Cookie net.ipv4.tcp_max_syn_backlog = 8192 & #设置SYN最大队列长度net.ipv4.tcp_synack_retries = 2 & & &#设置SYN+ACK最大重试次数SYN Cookie的作用是缓解服务器资源压力。启用之前，服务器在接到SYN数据包后，立即分配存储空间，并随机化一个数字作为SYN号发送SYN+ACK数据包。然后保存连接的状态信息等待客户端确认。启用SYN Cookie之后，服务器不再分配存储空间，而且通过基于时间种子的随机数算法设置一个SYN号，替代完全随机的SYN号。发送完SYN+ACK确认报文之后，清空资源不保存任何状态信息。直到服务器接到客户端的最终ACK包，通过Cookie检验算法鉴定是否与发出去的SYN+ACK报文序列号匹配，匹配则通过完成握手，失败则丢弃。tcp_max_syn_backlog则是使用服务器的内存资源，换取更大的等待队列长度，让攻击数据包不至于占满所有连接而导致正常用户无法完成握手。net.ipv4.tcp_synack_retries是降低服务器SYN+ACK报文重试次数，尽快释放等待资源。ps：可能消耗服务器更多的内存资源，甚至影响正常用户建立TCP连接，需要评估服务器硬件资源和攻击大小谨慎设置。3.2 HTTP Flood防御HTTP Flood攻击防御主要通过缓存的方式进行，尽量由设备的缓存直接返回结果来保护后端业务。大型的互联网企业，会有庞大的CDN节点缓存内容。当高级攻击者穿透缓存时，清洗设备会截获HTTP请求做特殊处理。最简单的方法就是对源IP的HTTP请求频率做统计，高于一定频率的IP地址加入黑名单。这种方法过于简单，容易带来误杀，并且无法屏蔽来自代理服务器的攻击，因此逐渐废止，取而代之的是JavaScript跳转人机识别方案。HTTP Flood是由程序模拟HTTP请求，一般来说不会解析服务端返回数据，更不会解析JS之类代码。因此当清洗设备截获到HTTP请求时，返回一段特殊JavaScript代码，正常用户的浏览器会处理并正常跳转不影响使用，而攻击程序会攻击到空处。3.3 DNS Flood防御DNS攻击防御也有类似HTTP的防御手段，第一方案是缓存。其次是重发，可以是直接丢弃DNS报文导致UDP层面的请求重发，可以是返回特殊响应强制要求客户端使用TCP协议重发DNS查询请求。3.4 慢速连接攻击防御Slowloris攻击防御比较简单，主要方案有两个：第一个是统计每个TCP连接的时长并计算单位时间内通过的报文数量即可做精确识别。一个TCP连接中，HTTP报文太少和报文太多都是不正常的，过少可能是慢速连接攻击，过多可能是使用HTTP1.1协议进行的HTTP Flood攻击，在一个TCP连接中发送多个HTTP请求。第二个是限制HTTP头部传输的最大许可时间。超过指定时间HTTPHeader还没有传输完成，直接判定源IP地址为慢速连接攻击，中断连接并加入黑名单。4 新型攻击方式DNS 反射/放大攻击利用互联网上的DNS基础结构来放大攻击能够产生的通信量。DNS是用于主机名到IP地址解析的互联网基础设施的重要组成部分。DNS反射/放大攻击通过使用多个客户端肉机(bots僵尸肉机)将查询发送到多个开放DNS解析器中，从而使大量的攻击流量从广泛分布源中产生(在Spamhaus袭击期间，使用了超过30K开放解析器)。 & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &――Rango Chen本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)503 Service Temporarily Unavailable
503 Service Temporarily Unavailable
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.Powered by nginx深信服应用交付如何防护DDoS攻击
　作者: 厂商投稿　编辑:
DDoS攻击已经成为一种非常多见的攻击方式，其攻防技术都已经非常成熟。近几年来，DDoS攻击又演变出了更多的花样，攻击的规模也在逐渐扩大，特别是针对应用层的DDoS攻击，给用户带来了新的威胁。那么，什么是应用层DDoS攻击？与传统的网络层DDoS攻击又有什么区别呢？网络层DDoS攻击网络层DDoS 攻击是利用了TCP 协议“先天”的缺陷。两台机器通信时要先进行三次握手，首先是客户机发出一个请求 (SYN) ，收到该请求后，填写会话信息表 (TCB，保存在中)并且向客户机反馈一个回应包 (SYN-ACK) ，此时该连接处于半开连接状态，正常情况下，客户端会回应ACK包，三次握手完成。如果没有收到客户机的 ACK 信息包，会隔一段时间再发送一次回应包 SYN-ACK，这样经过多次重试后，客户机还没有回应的话，服务器才会关闭会话并从 TCB 中删除。怎么样，看出问题了吗？如果有人想攻击服务器，很简单，攻击端收到服务器的SYN-ACK包以后，不再回应ACK包，服务器会等待一段时间才会释放TCB。攻击者控制“肉鸡”同时向服务器发起大量的请求 (SYN) ，并且本身拒绝发送 SYN-ACK 回应，服务器的 TCB 将会很快超出正常负荷，服务器无法响应正常用户的请求，最终导致业务中断。这种利用TCP协议缺陷的DDoS攻击，可以用“简单粗暴”这个词来形容，其特征比较明显，非常容易被识别，目前针对它的防护技术也已经较为成熟。应用层DDoS攻击同样的，应用层协议也有着自己的不足，攻击者也正是利用了一点。应用层协议较为复杂且形式多样，应用层DDoS攻击并不具备传统攻击的特征，一般设备很难检测到，其破坏力也远大于传统的网络层DDoS攻击。以HTTP协议为例，常见的HTTP DDoS攻击主要有两种，CC攻击和慢速攻击。CC攻击是一种针对WEB服务器的Flood（泛洪）攻击，即HTTP Get Flood，它以消耗服务器的带宽资源为目的。攻击者操控大量“肉鸡”对服务器发送大量的HTTP Request，导致服务器带宽资源耗尽，无法响应正常用户的请求。1.CC攻击由于很多网站使用动态页面的技术，通常一次GET 请求可能引发后台数据库的查询等动作，当HTTP Get 数量增加到一定程度时，数据库也将不堪重负，导致动态页面无法响应。从攻击手法上来看，CC攻击与传统网络层DDoS攻击类似，都是发送大量的请求，耗尽服务器带宽资源，只是二者利用的协议不同。2.慢速攻击另一种常见的攻击是慢速攻击，它是以消耗服务器的计算资源为目的，它并不需要“简单粗暴”的发送大量的数据包，只发送很少的数据即可给服务器造成致命的打击。攻击者跟服务器建立连接时，先指定一个比较大的Content-Length，然后以非常低的速度发包，比如1-10s 发一个字节，服务器认为客户端要发送的内容很大，会一直处于等待状态，维持住这个连接不断开。如果攻击者的“肉鸡”持续建立这样的连接，那么服务器上可用的资源将一点一点被占满，从而导致服务器无法响应正常用户的请求。深信服应用交付防护DDoS攻击深信服AD应用交付系列产品可防护网络层和应用层的DDoS攻击（如SYN-Flood, Smurf, SSL-Flood,CC攻击,HTTP慢速攻击等），那么为什么深信服要在应用交付上实现DDoS攻击防护的功能呢？应用交付通常部署于服务器的前端，将业务稳定、安全、高效的交付给用户。在全代理模式下，它可以实现客户端和服务端的网络，使二者不会建立网络连接。业务访问的所有流量都会先交给应用交付设备，由应用交付设备进行分发。黑客攻击的“服务器”实际上就是对外发布业务的应用交付设备，这就要求它具备一定的安全防护能力，其本身性能也非常强大，可以抵挡住DDoS泛洪攻击的大流量。深信服应用交付开发团队针对主流的DDoS攻击进行了深入研究，结合应用交付自身的特点，在应用交付设备上实现了网络层和应用层DDoS攻击防护，与WEB服务器漏扫等安全功能呼应，为客户的对外业务保驾护航。
IT168企业级学习手册：浅析DDoS的攻击及防御
来自：绿盟科技博客
链接：http://blog.nsfocus.net/analysis-ddos-attack-defense/
现如今，信息技术的发展为人们带来了诸多便利，无论是个人社交行为，还是商业活动都开始离不开网络了。但是网际空间带来了机遇的同时，也带来了威胁，其中DDoS就是最具破坏力的攻击，通过这些年的不断发展，它已经成为不同组织和个人的攻击，用于网络中的勒索、报复，甚至网络战争。
先聊聊DDoS的概念和发展
啥叫“拒绝服务”攻击呢？
啥叫“分布式”呢？
啥叫“僵尸网络”呢？
DDoS的发展咋样？
再谈谈DDoS的攻击方式
也说说DDoS的攻击工具
HULK (HTTP Unbearable Load King)
最后唠唠DDoS的防御
设置高性能设备
带宽得保证
不要忘记升级
异常流量的清洗
考虑把网站做成静态页面
分布式集群防御
写在最后的话
参考文献：
先聊聊DDoS的概念和发展
在说发展之前，咱先得对分布式拒绝服务（DDoS）的基本概念有个大体了解。
啥叫“拒绝服务”攻击呢？
其实可以简单理解为：让一个公开网站无法访问。要达到这个目的的方法也很简单：不断地提出服务请求，让合法用户的请求无法及时处理。
啥叫“分布式”呢？
其实随着网络发展，很多大型企业具备较强的服务提供能力，所以应付单个请求的攻击已经不是问题。道高一尺，魔高一丈，于是乎攻击者就组织很多同伙，同时提出服务请求，直到服务无法访问，这就叫“分布式”。但是在现实中，一般的攻击者无法组织各地伙伴协同“作战”，所以会使用“僵尸网络”来控制N多计算机进行攻击。
啥叫“僵尸网络”呢？
就是数量庞大的僵尸程序（Bot）通过一定方式组合，出于恶意目的，采用一对多的方式进行控制的大型网络，也可以说是一种复合性攻击方式。因为僵尸主机的数量很大而且分布广泛，所以危害程度和防御难度都很大。
僵尸网络具备高可控性，控制者可以在发布指令之后，就断开与僵尸网络的连接，而控制指令会自动在僵尸程序间传播执行。
恶意代码类型
这就像个生态系统一样，对于安全研究人员来说，通过捕获一个节点可以发现此僵尸网络的许多僵尸主机，但很难窥其全貌，而且即便封杀一些僵尸主机，也不会影响整个僵尸网络的生存。
DDoS的发展咋样？
正所谓“以史为鉴，可以知兴替”。既然大概了解DDoS是啥了，咱们就说说它的历史发展吧。
最早的时候，黑客们都是大都是为了炫耀个人技能，所以攻击目标选择都很随意，娱乐性比较强。后来，有一些宗教组织和商业组织发现了这个攻击的效果，就以勒索、报复等方式为目的，对特定目标进行攻击，并开发一些相应的工具，保证攻击成本降低。当国家级政治势力意识到这个价值的时候，DDoS就开始被武器化了，很容易就被用于精确目标的网络战争中。
DDoS态势分析
根据绿盟科技最新的DDoS态势分析，从全球的流量分布来看，中国和美国是DDoS受灾的重灾区。
再谈谈DDoS的攻击方式
分布式拒绝服务攻击的精髓是：利用分布式的客户端，向目标发起大量看上去合法的请求，消耗或者占用大量资源，从而达到拒绝服务的目的。
其主要攻击方法有4种：
1、 攻击带宽
跟帝都的交通堵塞情况一样，大家都该清楚，当网络数据包的数量达到或者超过上限的时候，会出现网络拥堵、响应缓慢的情况。DDoS就是利用这个原理，发送大量网络数据包，占满被攻击目标的全部带宽，从而造成正常请求失效，达到拒绝服务的目的。
攻击者可以使用ICMP洪水攻击（即发送大量ICMP相关报文）、或者UDP洪水攻击（即发送用户数据报协议的大包或小包），使用伪造源IP地址方式进行隐匿，并对网络造成拥堵和服务器响应速度变慢等影响。
但是这种直接方式通常依靠受控主机本身的网络性能，所以效果不是很好，还容易被查到攻击源头。于是反射攻击就出现，攻击者使用特殊的数据包，也就是IP地址指向作为反射器的服务器，源IP地址被伪造成攻击目标的IP，反射器接收到数据包的时候就被骗了，会将响应数据发送给被攻击目标，然后就会耗尽目标网络的带宽资源。
2、 攻击系统
创建TCP连接需要客户端与服务器进行三次交互，也就是常说的“三次握手”。这个信息通常被保存在连接表结构中，但是表的大小有限，所以当超过了存储量，服务器就无法创建新的TCP连接了。
攻击者就是利用这一点，用受控主机建立大量恶意的TCP连接，占满被攻击目标的连接表，使其无法接受新的TCP连接请求。如果攻击者发送了大量的TCP SYN报文，使服务器在短时间内产生大量的半开连接，连接表也会被很快占满，导致无法建立新的TCP连接，这个方式是SYN洪水攻击，很多攻击者都比较常用。
DDoS攻击系统
3、 攻击应用
由于DNS和Web服务的广泛性和重要性，这两种服务就成为了消耗应用资源的分布式拒绝服务攻击的主要目标。
比如向DNS服务器发送大量查询请求，从而达到拒绝服务的效果，如果每一个DNS解析请求所查询的域名都是不同的，那么就有效避开服务器缓存的解析记录，达到更好的资源消耗效果。当DNS服务的可用性受到威胁，互联网上大量的设备都会受到影响而无法正常使用。
近些年，Web技术发展非常迅速，如果攻击者利用大量的受控主机不断地向Web服务器恶意发送大量HTTP请求，要求Web服务器处理，就会完全占用服务器资源，让正常用户的Web访问请求得不到处理，导致拒绝服务。一旦Web服务受到这种攻击，就会对其承载的业务造成致命的影响。
4、 混合攻击
在实际的生活中，乖哦概念记者并不关心自己使用的哪种攻击方法管用，只要能够达到目的，一般就会发动其所有的攻击手段，尽其所能的展开攻势。对于被攻击目标来说，需要面对不同的协议、不同资源的分布式拒绝服务攻击，分析、响应和处理的成本就会大大增加。
随着僵尸网络向着小型化的趋势发展，为降低攻击成本，有效隐藏攻击源，躲避安全设备，同时保证攻击效果，针对应用层的小流量慢速攻击已经逐步发展壮大起来。因此，从另一个角度来说，DDoS攻击方面目前主要是两个方面：UDP及反射式大流量高速攻击、和多协议小流量及慢速攻击。
也说说DDoS的攻击工具
国人比较讲究：工欲善其事必先利其器。随着开源的DDoS工具扑面而来，网络攻击变得越来越容易，威胁也越来越严重。 工具有很多，简单介绍几款知名的，让大家有个简单了解。
LOIC低轨道离子炮，是一个最受欢迎的DOS攻击的淹没式工具，会产生大量的流量，可以在多种平台运行，包括Linux、Windows、Mac OS、Android等等。早在2010年，黑客组织对反对维基解密的公司和机构的攻击活动中，该工具就被下载了3万次以上。
LOIC界面友好，易于使用，初学者也可以很快上手。但是由于该工具需要使用真实IP地址，现在Anonymous已经停用了。
HULK (HTTP Unbearable Load King)
HULK是另一个DOS攻击工具，这个工具使用UserAgent的伪造，来避免攻击检测，可以通过启动500线程对目标发起高频率HTTP GET FLOOD请求，牛逼的是每一次请求都是独立的，可以绕过服务端的缓存措施，让所有请求得到处理。HULK是用Python语言编写，对获得源码进行更改也非常方便。
R-U-Dead-Yet是一款采用慢速HTTP POST请求方式进行DOS攻击的工具，它提供了一个交互式控制台菜单，检测给定的URL，并允许用户选择哪些表格和字段应用于POST-based DOS攻击，操作非常简单。
而且它也使用的是Python语言编写，可移植性非常好。R.U.D.Y.能够对所有类型的Web服务端软件造成影响，因此攻击的威胁非常大。
这些工具在保持攻击力的同时还再加强易用性，而免费和开源降低了使用的门槛，相信随着攻防对抗的升级，工具会越来越智能化。
最后唠唠DDoS的防御
我的导师教过我：DDoS攻击只是手段，最终目的是永远的利益。而未来网络战争将会出现更加广泛的攻击、更加频繁的攻击和更加精准的攻击，面对这些来临的时候，我们应该如何应对？
DDoS的防御
设置高性能设备
要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。
带宽得保证
网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYN Flood攻击。所以，最好选择100M的共享带宽，当然是挂在1000M的主干上了。
不要忘记升级
在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包。而且最好可以进行优化资源使用，提高web server 的负载能力。
异常流量的清洗
通过DDoS硬件防火墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。
考虑把网站做成静态页面
把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，最好在需要调用数据库的脚本中，拒绝使用代理的访问，经验表明，使用代理访问你网站的80%属于恶意行为。
分布式集群防御
这是目前网络安全界防御大规模DDoS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的DDoS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。
就DDoS防御方面来说，目前主要是两个方面，大流量攻击可以交给运营商及云端清洗，小流量攻击可以在企业本地进行设备防护，这个分界点根据行业及业务特性的不同会有所差异，大概的量级应该在百兆BPS左右。相关的缓解与治理，有兴趣的童鞋可以看看鲍旭华的《破坏之王》，会有不小的启示。
DDoS的防御1
其实，对抗DDoS攻击是一个涉及多个层面的问题，在有的环节，有效性和收益率并不对等。所以需要各方面合作，用户也可以多多听听专家的意见，针对攻击事先做好应对的应急方案。有句话说：“god helps those who help themselves.”意思是，上帝只帮助那些自助的人，因此面对DDoS的攻击，大家需要具备安全意识，完善自身的安全防护体系才是正解。
写在最后的话
随着全球互联网业务和云计算的发展热潮，可以预见到，针对云数据中心的DDoS攻击频率还会大幅度增长，攻击手段也会更加复杂。安全工作是一个长期持续性而非阶段性的工作，所以需要时刻保持一种警觉，而且网络安全不仅仅是某个企业的责任，更是全社会的共同责任，需要大家共同努力。
本文从概念、发展、攻击方式、攻击工具以及防御等各方面全面阐述了DDoS，是小编在学习过程中的心得和浅析。开始学习以来，一直有个问题萦绕不去：为什么自从DDoS出现以后，虽然攻击形式简单，却屡禁不止？？希望可以和大家共同探讨。
参考文献：
2015 H1绿盟科技DDoS威胁报告
DNS DDoS攻击事件分析
DDoS botnet常见类型及特点
BitTorrent修复DDoS放大攻击漏洞
看ADS如何治愈DDoS伤痛
小贴士：返回上一级搜索“DDoS” 获取更多相关文章。
●本文编号362，以后想阅读这篇文章直接输入362即可。
●输入m获取文章目录
推荐↓↓↓
更多推荐《18个技术类公众微信》
涵盖：程序人生、算法与数据结构、黑客技术与网络安全、大数据技术、前端开发、Java、Python、Web开发、安卓开发、iOS开发、C/C++、.NET、Linux、数据库、运维等。
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点}