從分析攻擊方式來談如何防護DDoS攻擊

DDoS攻擊的定義：

DDoS攻擊全稱——分佈式拒絕服務攻擊，是網絡攻擊中很是常見的攻擊方式。在進行攻擊的時候，這種方式能夠對不一樣地點的大量計算機進行攻擊，進行攻擊的時候主要是對攻擊的目標發送超過其處理能力的數據包，使攻擊目標出現癱瘓的狀況，不能提供正常的服務。

DDoS攻擊類型：

ICMP Flood：經過對目標系統發送海量數據包，就能夠令目標主機癱瘓，若是大量發送就成了洪水攻擊。

UDP Flood：攻擊者一般發送大量僞造源IP地址的小UDP包，100k bps的就能 將線路上的骨幹設備例如防火牆打癱，形成整個網段的癱瘓。

ACK Flood: 目前ACK Flood並無成爲攻擊的主流，而一般是與其餘攻擊方式組合在一塊兒使用。

NTP Flood：攻擊者使用特殊的數據包，也就是IP地址指向做爲反射器的服務器，源IP地址被僞形成攻擊目標的IP，這樣一來可能只須要1Mbps的上傳帶寬欺騙NTP服務器，就可給目標服務器帶來幾百上千Mbps的攻擊流量。

SYN Flood：一種利用TCP協議缺陷，發送大量僞造的TCP鏈接請求，從而使得被攻擊方資源耗盡的攻擊方式。

CC 攻擊：因爲CC攻擊成本低、威力大據調查目前80%的DDoS攻擊都是CC攻擊。CC攻擊是藉助代理服務器生成指向目標系統的合法請求，實現假裝和DDoS。這種攻擊技術性含量高，見不到真實源IP，見不到特別大的異常流量，但服務器就是沒法進行正常鏈接。

DNS Query Flood：DNS Query Flood採用的方法是操縱大量傀儡機器，向目標服務器發送大量的域名解析請求。解析過程給服務器帶來很大的負載，每秒鐘域名解析請求超過必定的數量就會形成DNS服務器解析域名超時。

DDoS攻擊防護辦法：

1.雲防護：目前，許多的企業面對大攻擊時都是採用這種方式來進行防護，一方面能夠經過雲進行調度，另外一方面操做也很是的簡單，而且面對各類類型來勢洶洶的DDoS攻擊都能及時響應。但缺點是攻擊量大時是價格會比較高，這個要看企業對DDoS攻擊的衡量，是被打垮了損失的費用更大仍是花錢抗D花費的費用更大。目前國內作的比較好的四大廠商是：阿里雲、騰訊雲、知道創宇和綠盟雲，下面咱們來分析一下各家優點。

阿里雲：基本上能夠防禦各類DDoS攻擊，並能夠根據用戶的流量大小自動調整防護策略，支持BGP和CDN兩種引流，並在防護應用層DDOS上有很大優點，最大防禦能力達到T級。

騰訊雲：騰訊基於自身能力在遊戲和社交產品的防護上獨具優點，採用BGP防禦帶寬，單IP對接多線路，線路可靠且覆蓋面廣。

知道創宇：一樣能對互聯網上各類類型的DDoS攻擊進行防禦，而且有自主研發Anti-CC引擎，在防CC攻擊上有明顯優點，最大防禦達2T。他們有免費試用和低價的抗D套餐，有須要的能夠試試。

綠盟雲：背靠綠盟多年硬件防禦能力，基於CPE設備/軟件結合雲端服務的混合抗D方案，綠盟當前在大客戶有普遍的ADS及抗D模塊設備如WAF的部署，能夠很容易感知業務異常，方便和雲端聯動和協做。

2.擴充帶寬：網絡帶寬直接決定了承受攻擊的能力，國內大部分網站帶寬規模在10M到100M，知名企業帶寬能超過1G，超過100G的基本是專門作帶寬服務和抗攻擊服務的網站。但DDoS卻不一樣，攻擊者經過控制一些服務器、我的電腦等成爲肉雞，若是控制1000臺機器，每臺帶寬爲10M，那麼攻擊者就有了10G的流量。當它們同時向某個網站發動攻擊，帶寬瞬間就被佔滿了。但這種方式的缺點就是價格實在太貴。

3.分佈式集羣防護：分佈式集羣防護的特色是在每一個節點服務器配置多個IP地址，而且每一個節點能承受不低於10G的DDoS攻擊，如一個節點受攻擊沒法提供服務，系統將會根據優先級設置自動切換另外一個節點，並將攻擊者的數據包所有返回發送點，使攻擊源成爲癱瘓狀態，從更爲深度的安全防禦角度去影響企業的安全執行決策。

4.負載均衡：負載均衡創建在現有網絡結構之上，它提供了一種廉價有效透明的方法擴展網絡設備和服務器的帶寬、增長吞吐量、增強網絡數據處理能力、提升網絡的靈活性和可用性，對DDoS流量攻擊和CC攻擊都很見效。CC攻擊使服務器因爲大量的網絡傳輸而過載，而一般這些網絡流量針對某一個頁面或一個連接而產生。在企業網站加上負載均衡方案後，連接請求被均衡分配到各個服務器上，減小單個服務器的負擔，整個服務器系統能夠處理每秒上千萬甚至更多的服務請求，用戶訪問速度也會加快。

5.按期檢查防護：DDoS的發生可能永遠都沒法預知，而一來就兇猛如洪水決堤，所以網站的預防措施和應急預案就顯得尤其重要。如：按期檢查系統發現已存在的攻擊漏洞並及時安裝系統補丁；過濾沒必要要的服務和端口，減小攻擊者進入和利用已知漏洞的機會；限制特定的流量，檢查訪問來源並作適當的限制，以防止異常、惡意的流量來襲，主動保護網站安全。