服務(wù)器的ddos防御(服務(wù)器ddos防御軟)

服務(wù)器如何防止ddos

一、網(wǎng)絡(luò)設(shè)備和設(shè)施

網(wǎng)絡(luò)架構(gòu)、設(shè)施設(shè)備是整個(gè)系統(tǒng)順利運(yùn)行的硬件基礎(chǔ)。用足夠的機(jī)器和容量來(lái)承受攻擊，充分利用網(wǎng)絡(luò)設(shè)備來(lái)保護(hù)網(wǎng)絡(luò)資源，是比較理想的應(yīng)對(duì)策略。攻守歸根到底也是雙方資源的爭(zhēng)奪。隨著它不斷的訪問(wèn)用戶(hù)，搶占用戶(hù)資源，自身的精力也在逐漸消耗。相應(yīng)的，投入也不小，但是網(wǎng)絡(luò)設(shè)施是一切防御的基礎(chǔ)，需要根據(jù)自身情況進(jìn)行平衡選擇。

1.擴(kuò)展帶寬硬電阻

網(wǎng)絡(luò)帶寬直接決定了抵御攻擊的能力。國(guó)內(nèi)大部分網(wǎng)站的帶寬在10M到100M之間，知名企業(yè)的帶寬可以超過(guò)1G。超過(guò)100G的網(wǎng)站基本都是專(zhuān)門(mén)做帶寬服務(wù)和防攻擊服務(wù)的，屈指可數(shù)。但是DDoS不一樣。攻擊者通過(guò)控制一些服務(wù)器、個(gè)人電腦等成為肉雞。如果他們控制1000臺(tái)機(jī)器，每臺(tái)機(jī)器的帶寬為10M，那么攻擊者將擁有10G流量。當(dāng)他們同時(shí)攻擊一個(gè)網(wǎng)站時(shí)，帶寬瞬間被占用。增加帶寬硬保護(hù)是理論上的最優(yōu)方案。只要帶寬大于攻擊流量，就不怕，但是成本也是無(wú)法承受的。國(guó)內(nèi)非一線(xiàn)城市的機(jī)房帶寬價(jià)格在100元/M*月左右，買(mǎi)10G帶寬的話(huà)要100萬(wàn)。所以很多人調(diào)侃說(shuō)，拼帶寬就是拼人民幣，沒(méi)幾個(gè)人愿意出高價(jià)買(mǎi)大帶寬做防御。

2.使用硬件防火墻

很多人會(huì)考慮使用硬件防火墻。針對(duì)DDoS攻擊和黑客攻擊而設(shè)計(jì)的專(zhuān)業(yè)防火墻，通過(guò)對(duì)異常流量的清理和過(guò)濾，可以抵御SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等流量DDoS攻擊。如果網(wǎng)站被流量攻擊困擾，可以考慮把網(wǎng)站放在DDoS硬件防火墻室。但如果網(wǎng)站流量攻擊超出了硬防御的保護(hù)范圍(比如200G硬防御，但攻擊流量是300G)，洪水即使穿過(guò)高墻也無(wú)法抵御。值得注意的是，有些硬件防火墻主要是在包過(guò)濾防火墻的基礎(chǔ)上修改的，只在網(wǎng)絡(luò)層檢查數(shù)據(jù)包。如果DDoS攻擊上升到應(yīng)用層，防御能力就會(huì)很弱。

3.選擇高性能設(shè)備

除了防火墻之外，服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的性能。也需要跟上。如果設(shè)備的性能成為瓶頸，即使帶寬足夠，也無(wú)能為力。在保證網(wǎng)絡(luò)帶寬的前提下，盡可能升級(jí)硬件配置。

第二，有效的反D思想和方案

貼身防守往往是“不計(jì)后果”的。通過(guò)架構(gòu)布局、資源整合等方式提高網(wǎng)絡(luò)的負(fù)載能力，分擔(dān)本地過(guò)載流量，通過(guò)接入第三方服務(wù)等方式識(shí)別和攔截惡意流量，才是更“理性”的做法。，而且對(duì)抗效果不錯(cuò)。

4.負(fù)載平衡

普通級(jí)別的服務(wù)器處理數(shù)據(jù)的能力最多只能回答每秒幾十萬(wàn)的鏈接請(qǐng)求，因此網(wǎng)絡(luò)處理能力非常有限。負(fù)載平衡基于現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)。它提供了一種廉價(jià)、有效和透明的方法來(lái)擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬，增加吞吐量，增強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)的靈活性和可用性。對(duì)于DDoS流量攻擊和CC攻擊是有效的。CC攻擊由于大量的網(wǎng)絡(luò)流量而使服務(wù)器過(guò)載，這些流量通常是為一個(gè)頁(yè)面或一個(gè)鏈接生成的。企業(yè)網(wǎng)站加入負(fù)載均衡方案后，鏈接請(qǐng)求被平均分配到各個(gè)服務(wù)器，減輕了單個(gè)服務(wù)器的負(fù)擔(dān)。整個(gè)服務(wù)器系統(tǒng)每秒可以處理幾千萬(wàn)甚至更多的服務(wù)請(qǐng)求，用戶(hù)的訪問(wèn)速度會(huì)加快。

5.CDN流量清洗

CDN是構(gòu)建在網(wǎng)絡(luò)上的內(nèi)容分發(fā)網(wǎng)絡(luò)，依托部署在各地的邊緣服務(wù)器，通過(guò)中心平臺(tái)的分發(fā)和調(diào)度功能模塊，讓用戶(hù)就近獲取所需內(nèi)容，減少網(wǎng)絡(luò)擁塞，提高用戶(hù)訪問(wèn)響應(yīng)速度和命中率。所以CDN加速也采用了負(fù)載均衡技術(shù)。與高防御的硬件防火墻相比，無(wú)法承載無(wú)限的流量限制。CDN更加理性，很多節(jié)點(diǎn)分擔(dān)滲透流量。目前大部分CDN節(jié)點(diǎn)都有200G流量保護(hù)功能，加上硬防御的保護(hù)，可以說(shuō)可以應(yīng)對(duì)大部分DDoS攻擊。這里推薦一款高性能比的CDN產(chǎn)品:百度云加速，非常適合中小站長(zhǎng)的保護(hù)。

ddos怎么防御

1、首先選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高、口碑好的產(chǎn)品。
2、其次路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用，采用此技術(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力。
3、每天對(duì)電腦進(jìn)行檢查就可以防御ddos了。

服務(wù)器ddos防御

電腦：華為MateBook

系統(tǒng)：Windows10

軟件：ddos

1、可以使用Inexpress、Express、Forwarding等工具來(lái)過(guò)濾不必要的服務(wù)和端口，即在路由器上過(guò)濾假I(mǎi)P。

2、通過(guò)DDOS硬件防火墻對(duì)異常流量的清洗過(guò)濾，使用頂尖技術(shù)能準(zhǔn)確判斷外來(lái)訪問(wèn)流量是否正常，進(jìn)一步將異常流量禁止過(guò)濾。

3、分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址（負(fù)載均衡），并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDOS攻擊。

4、采用云DDoS清洗方式，用戶(hù)按需付費(fèi)，可彈性擴(kuò)展，而且還能夠基于大數(shù)據(jù)來(lái)分析預(yù)測(cè)攻擊，同時(shí)能夠免費(fèi)升級(jí)。

怎么防御DDoS攻擊？

一．網(wǎng)絡(luò)設(shè)備設(shè)施

網(wǎng)絡(luò)架構(gòu)、設(shè)施設(shè)備是整個(gè)系統(tǒng)得以順暢運(yùn)作的硬件基礎(chǔ)，用足夠的機(jī)器、容量去承受攻擊，充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源是一種較為理想的應(yīng)對(duì)策略，說(shuō)到底攻防也是雙方資源的比拼，在它不斷訪問(wèn)用戶(hù)、奪取用戶(hù)資源之時(shí)，自己的能量也在逐漸耗失。相應(yīng)地，投入資金也不小，但網(wǎng)絡(luò)設(shè)施是一切防御的基礎(chǔ)，需要根據(jù)自身情況做出平衡的選擇。

1. 擴(kuò)充帶寬硬抗

網(wǎng)絡(luò)帶寬直接決定了承受攻擊的能力，國(guó)內(nèi)大部分網(wǎng)站帶寬規(guī)模在10M到100M，知名企業(yè)帶寬能超過(guò)1G，超過(guò)100G的基本是專(zhuān)門(mén)做帶寬服務(wù)和抗攻擊服務(wù)的網(wǎng)站，數(shù)量屈指可數(shù)。但DDoS卻不同，攻擊者通過(guò)控制一些服務(wù)器、個(gè)人電腦等成為肉雞，如果控制1000臺(tái)機(jī)器，每臺(tái)帶寬為10M，那么攻擊者就有了10G的流量。當(dāng)它們同時(shí)向某個(gè)網(wǎng)站發(fā)動(dòng)攻擊，帶寬瞬間就被占滿(mǎn)了。增加帶寬硬防護(hù)是理論最優(yōu)解，只要帶寬大于攻擊流量就不怕了，但成本也是難以承受之痛，國(guó)內(nèi)非一線(xiàn)城市機(jī)房帶寬價(jià)格大約為100元/M*月，買(mǎi)10G帶寬頂一下就是100萬(wàn)，因此許多人調(diào)侃拼帶寬就是拼人民幣，以至于很少有人愿意花高價(jià)買(mǎi)大帶寬做防御。

2. 使用硬件防火墻

許多人會(huì)考慮使用硬件防火墻，針對(duì)DDoS攻擊和黑客入侵而設(shè)計(jì)的專(zhuān)業(yè)級(jí)防火墻通過(guò)對(duì)異常流量的清洗過(guò)濾，可對(duì)抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果網(wǎng)站飽受流量攻擊的困擾，可以考慮將網(wǎng)站放到DDoS硬件防火墻機(jī)房。但如果網(wǎng)站流量攻擊超出了硬防的防護(hù)范圍（比如200G的硬防，但攻擊流量有300G），洪水瞞過(guò)高墻同樣抵擋不住。值得注意一下，部分硬件防火墻基于包過(guò)濾型防火墻修改為主，只在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，若是DDoS攻擊上升到應(yīng)用層，防御能力就比較弱了。

3. 選用高性能設(shè)備

除了防火墻，服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的性能也需要跟上，若是設(shè)備性能成為瓶頸，即使帶寬充足也無(wú)能為力。在有網(wǎng)絡(luò)帶寬保證的前提下，應(yīng)該盡量提升硬件配置。

二、有效的抗D思想及方案

硬碰硬的防御偏于“魯莽”，通過(guò)架構(gòu)布局、整合資源等方式提高網(wǎng)絡(luò)的負(fù)載能力、分?jǐn)偩植窟^(guò)載的流量，通過(guò)接入第三方服務(wù)識(shí)別并攔截惡意流量等等行為就顯得更加“理智”，而且對(duì)抗效果良好。

4. 負(fù)載均衡

普通級(jí)別服務(wù)器處理數(shù)據(jù)的能力最多只能答復(fù)每秒數(shù)十萬(wàn)個(gè)鏈接請(qǐng)求，網(wǎng)絡(luò)處理能力很受限制。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價(jià)有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性，對(duì)DDoS流量攻擊和CC攻擊都很見(jiàn)效。CC攻擊使服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過(guò)載，而通常這些網(wǎng)絡(luò)流量針對(duì)某一個(gè)頁(yè)面或一個(gè)鏈接而產(chǎn)生。在企業(yè)網(wǎng)站加上負(fù)載均衡方案后，鏈接請(qǐng)求被均衡分配到各個(gè)服務(wù)器上，減少單個(gè)服務(wù)器的負(fù)擔(dān)，整個(gè)服務(wù)器系統(tǒng)可以處理每秒上千萬(wàn)甚至更多的服務(wù)請(qǐng)求，用戶(hù)訪問(wèn)速度也會(huì)加快。

5. CDN流量清洗

CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò)，依靠部署在各地的邊緣服務(wù)器，通過(guò)中心平臺(tái)的分發(fā)、調(diào)度等功能模塊，使用戶(hù)就近獲取所需內(nèi)容，降低網(wǎng)絡(luò)擁塞，提高用戶(hù)訪問(wèn)響應(yīng)速度和命中率，因此CDN加速也用到了負(fù)載均衡技術(shù)。相比高防硬件防火墻不可能扛下無(wú)限流量的限制，CDN則更加理智，多節(jié)點(diǎn)分擔(dān)滲透流量，目前大部分的CDN節(jié)點(diǎn)都有200G 的流量防護(hù)功能，再加上硬防的防護(hù)，可以說(shuō)能應(yīng)付目絕大多數(shù)的DDoS攻擊了。這里我們推薦一款高性比的CDN產(chǎn)品：百度云加速，非常適用于中小站長(zhǎng)防護(hù)。相關(guān)鏈接

6. 分布式集群防御

分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址，并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDoS攻擊，如一個(gè)節(jié)點(diǎn)受攻擊無(wú)法提供服務(wù)，系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn)，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn)，使攻擊源成為癱瘓狀態(tài)，從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。

如何有效防御DDOS攻擊？

11種方法教你有效防御DDOS攻擊：

1、采用高性能的網(wǎng)絡(luò)設(shè)備

首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話(huà)就更好了，當(dāng)大量攻擊發(fā)生的時(shí)候請(qǐng)他們?cè)诰W(wǎng)絡(luò)接點(diǎn)處做一下流量限制來(lái)對(duì)抗某種類(lèi)的DDOS攻擊是非常有效的。

2、盡量避免NAT的使用

無(wú)論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用，因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力，其實(shí)原因很簡(jiǎn)單，因?yàn)镹AT需要對(duì)地址來(lái)回轉(zhuǎn)換，轉(zhuǎn)換過(guò)程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算，因此浪費(fèi)了很多CPU的時(shí)間，但有些時(shí)候必須使用NAT，那就沒(méi)有好辦法了。

3、充足的網(wǎng)絡(luò)帶寬保證

網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話(huà)，無(wú)論采取什么措施都很難對(duì)抗現(xiàn)在的SYNFlood攻擊，當(dāng)前至少要選擇100M的共享帶寬，最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是，主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的，若把它接在100M的交換機(jī)上，它的實(shí)際帶寬不會(huì)超過(guò)100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會(huì)在交換機(jī)上限制實(shí)際帶寬為10M，這點(diǎn)一定要搞清楚。

4、升級(jí)主機(jī)服務(wù)器硬件

在有網(wǎng)絡(luò)帶寬保證的前提下，請(qǐng)盡量提升硬件配置，要有效對(duì)抗每秒10萬(wàn)個(gè)SYN攻擊包，服務(wù)器的配置至少應(yīng)該為：P42.4G/DDR512M/SCSI-HD，起關(guān)鍵作用的主要是CPU和內(nèi)存，若有志強(qiáng)雙CPU的話(huà)就用它，內(nèi)存一定要選擇DDR的高速內(nèi)存，硬盤(pán)要盡量選擇SCSI的，別貪圖IDE價(jià)格不貴量還足的便宜，否則會(huì)付出高昂的性能代價(jià)，再就是網(wǎng)卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。

5、將網(wǎng)站做成靜態(tài)頁(yè)面或者偽靜態(tài)

事實(shí)證明，將網(wǎng)站做成靜態(tài)頁(yè)面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來(lái)不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒(méi)出現(xiàn)。現(xiàn)在很多門(mén)戶(hù)網(wǎng)站主要都是靜態(tài)頁(yè)面，若你非要?jiǎng)討B(tài)腳本調(diào)用，那就把它弄到另外一個(gè)單獨(dú)主機(jī)，免的遭受攻擊時(shí)連累主服務(wù)器。當(dāng)然，適當(dāng)放一些不做數(shù)據(jù)庫(kù)調(diào)用腳本還是可以的，此外，最好在需要調(diào)用數(shù)據(jù)庫(kù)的腳本中拒絕使用代理的訪問(wèn)，因?yàn)榻?jīng)驗(yàn)表明使用代理訪問(wèn)你網(wǎng)站的80%屬于惡意行為。

6、增強(qiáng)操作系統(tǒng)的TCP/IP棧

win2000和win2003作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗DDOS攻擊的能力，只是默認(rèn)狀態(tài)下沒(méi)有開(kāi)啟而已，若開(kāi)啟的話(huà)可抵抗約10000個(gè)SYN攻擊包，若沒(méi)有開(kāi)啟則僅能抵抗數(shù)百個(gè)。

7、安裝專(zhuān)業(yè)抗DDOS防火墻

8、HTTP請(qǐng)求攔截

如果惡意請(qǐng)求有特征，對(duì)付起來(lái)很簡(jiǎn)單，直接攔截就可以。HTTP請(qǐng)求的特征一般有兩種：IP地址和Ur Agent字段。

9、備份網(wǎng)站

你要有一個(gè)備份網(wǎng)站，或者最低限度有一個(gè)臨時(shí)主頁(yè)。生產(chǎn)服務(wù)器萬(wàn)一下線(xiàn)了，可以立刻切換到備份網(wǎng)站，不至于毫無(wú)辦法。

備份網(wǎng)站不一定是全功能的，如果能做到全靜態(tài)瀏覽，就能滿(mǎn)足需求，最低限度應(yīng)該可以顯示公告，告訴用戶(hù)，網(wǎng)站出了問(wèn)題，正在搶修。這種臨時(shí)主頁(yè)建議放到Github
Pages或者Netlify，它們的帶寬大，可以應(yīng)對(duì)攻擊，而且都支持綁定域名，還能從源碼自動(dòng)構(gòu)建。

10、部署CDN

CDN指的是網(wǎng)站的靜態(tài)內(nèi)容分布到多個(gè)服務(wù)器，用戶(hù)就近訪問(wèn)，提高速度。因此，CDN也是帶寬擴(kuò)容的一種方法，可以用來(lái)防御DDOS攻擊。

網(wǎng)站內(nèi)容存放在源服務(wù)器，CDN上面是內(nèi)容的緩存。用戶(hù)只允許訪問(wèn)CDN，如果內(nèi)容不在CDN上，CDN再向源服務(wù)器發(fā)出請(qǐng)求。這樣的話(huà)，只要CDN夠大，就可以抵御很大的攻擊。不過(guò)，這種方法有一個(gè)前提，網(wǎng)站的大部分內(nèi)容必須可以靜態(tài)緩存。對(duì)于動(dòng)態(tài)內(nèi)容為主的網(wǎng)站，就要想別的辦法，盡量減少用戶(hù)對(duì)動(dòng)態(tài)數(shù)據(jù)的請(qǐng)求;本質(zhì)就是自己搭建一個(gè)微型CDN。各大云服務(wù)商提供的高防IP，背后也是這樣做的：網(wǎng)站域名指向高防IP，它提供了一個(gè)緩沖層，清洗流量，并對(duì)源服務(wù)器的內(nèi)容進(jìn)行緩存。

這里有一個(gè)關(guān)鍵點(diǎn)，一旦上了CDN，千萬(wàn)不要泄露源服務(wù)器的IP地址，否則攻擊者可以繞過(guò)CDN直接攻擊源服務(wù)器，前面的努力都白費(fèi)了。

11、其他防御手段

以上的幾條建議，適合絕大多數(shù)擁有自己主機(jī)的用戶(hù)，但假如采取以上措施后仍然不能解決DDOS問(wèn)題，就比較麻煩了，可能需要更多投資，增加服務(wù)器數(shù)量并采用DNS輪巡或負(fù)載均衡技術(shù)，甚至需要購(gòu)買(mǎi)七層交換機(jī)設(shè)備，從而使得抗DDOS攻擊能力成倍提高，只要投資足夠深入。

DDoS 攻擊與防御

分布式拒絕服務(wù)攻擊（Distributed Denial of Service），是指處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)攻擊。由于攻擊的發(fā)出點(diǎn)是分布在不同地方的，這類(lèi)攻擊稱(chēng)為分布式拒絕服務(wù)攻擊。

DDoS 是一種基于 DoS 的特殊形式的拒絕服務(wù)攻擊。單一的 DoS 攻擊一般是采用一對(duì)一方式，利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的缺陷，采用欺騙和偽裝的策略來(lái)進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。與 DoS 相比，DDos 借助數(shù)百上千臺(tái)攻擊機(jī)形成集群，發(fā)起的規(guī)模更大，更難防御的一種進(jìn)攻行為。

ICMP 用于在 IP 主機(jī)，路由器之間傳遞控制消息（網(wǎng)絡(luò)是否連通，主機(jī)是否可達(dá)，路由是否可用等）。ICMP 雖然不傳遞用戶(hù)數(shù)據(jù)，但是對(duì)于用戶(hù)數(shù)據(jù)的傳遞起著重要的作用。ICMP Flood 通過(guò)對(duì)目標(biāo)系統(tǒng)發(fā)送海量的數(shù)據(jù)報(bào)，就可以令目標(biāo)主機(jī)癱瘓，形成洪泛攻擊。

UDP 協(xié)議是一種無(wú)連接的協(xié)議，在 UDP Flood 中，攻擊者通常發(fā)送大量偽造 IP 地址的 UDP 報(bào)去沖擊 DNS 服務(wù)器，Radius 認(rèn)證服務(wù)器，流媒體視頻服務(wù)器等，造成服務(wù)不可用。 上述的兩種是比較傳統(tǒng)的流量型攻擊，技術(shù)含量較低，以占滿(mǎn)網(wǎng)絡(luò)帶寬使得正常用戶(hù)無(wú)法得到服務(wù)為攻擊方式，攻擊效果通常依賴(lài)于攻擊者本身的網(wǎng)絡(luò)性能，而且容易被查找攻擊源頭。

NTP 是標(biāo)準(zhǔn)的基于 UDP 協(xié)議的網(wǎng)絡(luò)時(shí)間同步協(xié)議。由于 UDP 無(wú)連接的特性，NTP 服務(wù)器并不能保證收到報(bào)文的源 IP 的正確性。所以，攻擊者通過(guò)將 IP 報(bào)文的源 IP 地址換為靶機(jī)的 IP 地址，并向 NTP 服務(wù)器發(fā)送大量的時(shí)間同步報(bào)文，這樣，NTP 服務(wù)器的響應(yīng)報(bào)文就會(huì)達(dá)到靶機(jī)上，沾滿(mǎn)靶機(jī)網(wǎng)絡(luò)段的帶寬資源，同時(shí)也很難去追溯攻擊源頭。

SYN Flood 是一種利用 TCP 協(xié)議缺陷，發(fā)送大量偽造的 TCP 連接請(qǐng)求，從而使目標(biāo)服務(wù)器資源耗盡的攻擊方式。如果客戶(hù)端只發(fā)起第一次握手，而不響應(yīng)服務(wù)端的第二次握手，那么這條連接就處于半連接狀態(tài)，服務(wù)端會(huì)維持這條連接一段時(shí)間（SYN Timeout）并不斷地重試。但攻擊者大量的模擬這種情況，就會(huì)沾滿(mǎn)整個(gè)服務(wù)端的連接符號(hào)表，并消耗大量的 CPU 資源進(jìn)行重試操作。而對(duì)于 SNY Flood 的防御目前有兩種常見(jiàn)的方式，一種是算短 SYN Timeout，另一種是設(shè)置 SYN Cookie，并開(kāi)辟一個(gè)數(shù)組存放 Cookie，單連接沒(méi)有真正建立時(shí)，不去占用連接符號(hào)表。

DNS Query Flood 通過(guò)操縱大量的傀儡機(jī)，向本網(wǎng)段的域名服務(wù)器發(fā)送大量域名解析請(qǐng)求，通常這些請(qǐng)求解析的域名是隨機(jī)生成或網(wǎng)絡(luò)上根本不存在的域名，由于本地域名服務(wù)器無(wú)法找到對(duì)應(yīng)的結(jié)果，就會(huì)通過(guò)層層上次給更高級(jí)的域名服務(wù)器，引起連鎖反應(yīng)，導(dǎo)致本網(wǎng)段內(nèi)的域名解析服務(wù)癱瘓，但一般最多只會(huì)癱瘓一小段網(wǎng)絡(luò)。

HashDos 是一種新型的，基于 Hash 碰撞形成的攻擊。隨著現(xiàn)在 RESTful 風(fēng)格的不斷普及，json 格式作為數(shù)據(jù)傳輸?shù)母袷接l(fā)成為主流。但是 json 反序列化為對(duì)象時(shí)，底層是通過(guò) hash 算法來(lái)將字段與屬性，屬性值進(jìn)行一一匹配。所以，一旦攻擊者知道了我們序列化方式，構(gòu)造出一段具有嚴(yán)重哈希碰撞的 json 數(shù)據(jù)，就會(huì)使我們服務(wù)端序列化的復(fù)雜度從 O(1) 暴增到 O(n)。

DDos 的防御主要有兩種，一種是針對(duì)流量帶寬，一種是針對(duì)服務(wù)端資源。流量帶寬一般需要通過(guò)運(yùn)營(yíng)商采用 ISP 黑洞，近源清洗等策略，在源頭（即攻擊者所在的網(wǎng)段）進(jìn)行攔截，而不是等到所有的細(xì)流匯聚成猛水時(shí)才進(jìn)行攔截。

而對(duì)于服務(wù)端的資源，則是當(dāng)下 DDos 的重災(zāi)區(qū)，本文以攻防對(duì)抗的方式講述 DDos 的發(fā)展歷程。

參考文獻(xiàn)：