DDoS攻擊及防護措施

SYN flood

僞造大量的源IP地址，分別向服務器端發送大量的SYN包，此時服務器端會返回SYN/ACK 包，由於僞造的IP並不會答應，服務器端並無收到僞造的IP的迴應，會重試3~5次並等待一個SYN的時間（30s-2min），若是超時則丟棄。

一、應用層DDos

CC攻擊

對一些消耗資源較大的應用頁面不斷髮起正常的請求，已達到消耗服務器資源的目的。

1）爬蟲爬死

2）入侵一個流量很大的網站，經過篡改頁面，將巨大的用戶流量分流道目標網站

措施：

1）在應用程序中爲每一個「客戶端」作一個請求頻率限制

若是IP地址不斷髮生變化（使用代理服務器），就不能有效防護

2）代碼性能優化，數據庫壓力轉到內存中，及時釋放資源；網絡架構上作好優化；實現對抗手段：顯示每一個IP地址的請求頻率

二、驗證碼：

阻止自動化的重放行爲

不是萬能的，有識別軟件，用戶體驗很差

三、預防應用層DDoS

讓客戶端解析一段JavaScript，並給出正確的運行結果

四、資源耗盡攻擊

Slowloris：以極低的速度速度網服務器發送HTTP請求，因爲Webserver對於併發的鏈接數都有必定的上限，當惡意地佔用在這些資源不釋放時，全部鏈接將被惡意佔用，從而沒法接受新的請求，致使拒絕服務。

HTTP Post DOS：相似於Slowloris，發送HTTP Post包

Server Limit DOS：Apache所能接受的最大的HTTP包頭大小爲8192字節（Request Header，如果Request Body默認大小是2GB），若是客戶端發送的的HTTP包頭超過這個大小，服務器就會返回一個錯誤4xx。

假如攻擊者經過XSS攻擊，惡意往客戶端寫入一個超長的Cookie。因爲Cookie也是放在HTTP包頭裏發送的，二Web Server默認會認爲這是一個長長的非正常請求，從而致使客戶端的拒絕服務。

五、正則：ReDos

代碼缺陷，遍歷消耗