防御DDOS攻击方法

内容

1：什么是DDOS攻击

2：常见的DDOS攻击类型

3：防御DDOS攻击的常见方法

1：什么是DDOS

缩写：Distributed Denial ofService

中文：分布式拒绝服务攻击

那么什么是拒绝服务（Denial of Service）呢？可以怎么理解，凡是能导致合法用户不能正常访问网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络的访问，从而达成攻击者不可告人的目的。

2：DDOS攻击类型

TCP SYN泛洪攻击 --攻击目标：Web服务器

尽管这种攻击已经出现了十四年，但它的变种至今仍能看到。虽然能有效对抗SYN洪泛的技术已经存在，但是没有对于TCP实现的一个标准的补救方法出现。你可以在如今的操作系统和设备中找到保护应用层和网络层的不同解决方案的不同实现。本篇论文详细描述这种攻击并展望和评估现在应用于终端主机和网络设备的对抗SYN洪泛方法。

CC攻击 --攻击目标：Web服务器

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的，每个人都有这样的体验:当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。

UDP flood --攻击目标：各种服务器

UDPFlood是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k pps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。

Ping of Death --攻击目标：各种服务器

在因特网上，死亡是一种平安拒绝服务攻击，方法是由攻击者故意发送大于65535字节的IP 数据包给对方TCP / IP的特征之一是碎裂;它允许单一IP包被分为几个更小的数据包。在1996年，攻击者开始利用那一个功能，当他们发现一个进入使用碎片包可以将整个IP包的大小增加到IP协议允许的65536比特以上的时候。当很多操作系统收到一个特大号的ip包时候，它们不知道该做什么，因此，服务器会被冻结，停机或重新启动。

ICMP flood --攻击目标：各种服务器

攻击者向许多地址发送ICMP Echo Request，但是它却告诉这些地址ICMP Echo Request不是它自己发的，而是"某某"发的，这个"某某"就会成为"众矢之的"。通过伪装目的主机的IP地址，向多个IP 网络的广播地址发送ICMP Echo Request数据包，使得目的主机需要消耗大量CPU 资源和有效带宽来处理来自众多节点的ICMP Reply数据包。

......等

3：防御DDOS攻击的常见方法

第一，硬件防火墙

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种，硬件防火墙和软件防火墙，他们都能起到保护作用并筛选出网络上的攻击者。

第二，尽可能的避免使用NAT。

不管是路由器还是防火墙，都想办法不要使用NAT技术，NAT会很大程度上降低通信能力。

第三，DDOS流量清洗

目前大部分的CDN节点都有200G 的流量防护功能，在加上硬防的防护，可以说能应付目前绝大多数的DDOS流量攻击了。同时，CDN技术不仅对企业网站流量攻击有防护功能，而且还能对企业网站进行加速(前提要针对CDN节点位置)。解决部分地区打开网站缓慢的问题。

第四，高防CDN+高智能DNS解析

随着近年来来网络技术的不断进步，防御cdn已经不只简单的用做网站加速，还能够更好的保护网站不被攻击。Cdn在相关节点中成功的建立动态加速机制以及智能沉于等机制，这种机制能够帮助网站流量访问分配到每一个节点中，智能的进行流量分配机制，如果cdn存在被ddos攻击的情况。Cdn整个系统就能够将被攻击的流量分散开，节省了站点服务器的压力以及节点压力。同时还能够增强网站被黑客给攻击的难度。真正帮助服务管理人员提供更多应该被攻击的时间，cdn能有效的防止ddos攻击，降低对网站带来的危害。

第三，保证充足的带宽。

服务器的带宽直接决定了抗攻击的能力。例如只有十兆带宽，不管什么使用什么措施，基本上都是很难防住如SYNFflood这样的攻击。所以，至少要选择100兆的共享带宽，有条件的主干最好是能够达到1000兆以上。不过值得注意的是，主机的网卡是1000兆不代表服务器的带宽是1000兆，如果装在100兆的交换机上，那么它的实际带宽也不会超过100兆。