如何防護網站被ddos攻擊 首先要了解什麼是流量攻擊

什麼是DDOS流量攻擊？咱們大多數人第一眼看到這個DDOS就以爲是英文的，有點難度，畢竟是國外的，其實簡單通俗來說，DDOS攻擊是利用帶寬的流量來攻擊服務器以及網站。

舉個例子，服務器目前帶寬是100M，忽然從外邊來了200M的帶寬流量進來，那麼服務器根本承載不了這個200M的帶寬流量，服務器的網絡瞬間就會癱瘓，致使服務器沒法鏈接，甚至致使服務器裏的網站都沒法打開，由於200M的帶寬流量，已經佔滿了整個服務器的100M帶寬。

再舉一個更貼切於生活的例子：一家飯店，正常狀況下最多能承載100我的吃飯，由於同行競爭，對面飯店老闆僱傭了200個社會小混混去飯店吃飯，致使飯店滿客，沒法再接納正常的客人來飯店吃飯了。這就是DDOS攻擊，利用流量去佔滿服務器的帶寬，致使沒有多餘的帶寬來提供用戶的網站訪問。

DDOS流量攻擊分不少種，有UDP-flood流量攻擊，TCP-flood流量攻擊，ICMP-flood流量攻擊TCP/UPD/ICMP分片式流量攻擊，SYN-flood流量攻擊，ACK-flood流量攻擊，zeroWindow攻擊，SSL-flood攻擊，SSLkeyrenego攻擊，DNS反射性放大流量攻擊，NTS反射，NTP反射,SNMP反射，SSDP反射，Chargen反射。

UDP-flood是屬於UDP協議中的一種流量攻擊，攻擊特徵是僞造大量的真實IP併發送小數量的數據包對要攻擊的服務器進行發送，只要服務器開啓UDP的端口就會受到流量攻擊。如何防護這種流量攻擊，對UDP的包數據大小進行設置，嚴格把控發送的數據包大小，超過必定值的數據包進行丟棄，再一個防護的方法是隻有創建了TCP連接的IP，才能發送UDP包，不然直接屏蔽該IP。

ICMP是利用ICMP協議對服務器進行PING的攻擊，放大icmp的長度，以及數據包的字節對服務器進行攻擊。TCP-flood攻擊是一種使用tcp三次握手協議的一種方式來進行的攻擊，攻擊特種是僞造大量的真實IP去鏈接要攻擊的服務器，致使服務器沒法承載更多的TCP鏈接而致使服務器癱瘓。

SYN-Flood是利用SYN協議，客戶端協議上發送SYN數據，服務器接收到並響應SYN以及ACK反映，攻擊者利用這個方式去模擬大量的客戶鏈接發送數據包，致使服務器癱瘓。

ACK-Flood的攻擊跟上面這個SYN的攻擊差很少，都是一樣採用發送數據包到服務器端去，攻擊者利用ACK數據包進行攻擊，只要服務器接受ACK的包，那麼就會形成ACK鏈接過多致使服務器資源耗盡，服務器沒有多餘的資源來接收ACK的包，服務器就沒法打開了。

SSL-Flood是利用客戶端不斷的與SSL通道握手，SSL的資源比普通的用戶訪問HTTP網站消耗的資源還要多，會多出幾十倍，配置低的服務器根本沒法承載SSL的屢次請求與握手，致使服務器的CPU佔用到百分之90，沒有多餘的CPU去處理用戶的訪問。SSL流量攻擊如何防護：禁用Renegotiating的安全機制來防護大量的SSL流量攻擊。

反射放大性流量攻擊

反射性的攻擊，無論是DNS反射仍是NTP反射，都是使用的UDP協議攻擊，UDP協議裏訪問用戶發送請求的數據包到服務器，服務器再反饋給用戶端，那麼用戶端發送到服務器裏的請求數據包裏，用戶的IP能夠進行僞造，能夠僞形成服務器的IP，服務器IP發送數據包到服務器IP裏，這樣就形成了反射攻擊。

DNS反射攻擊也是同樣的道理，利用DNS服務器的解析進行攻擊，僞造要攻擊的服務器IP，進行DNS查詢，並查詢到DNS服務器裏，DNS服務器返回數據包到要攻擊的服務器IP中去，一來一去

 

造成了反射流量攻擊。