从分析攻击方式来谈如何防御DDoS攻击

DDoS攻击的定义：

DDoS攻击全称——分布式拒绝服务攻击，是网络攻击中非常常见的攻击方式。在进行攻击的时候，这种方式可以对不同地点的大量计算机进行攻击，进行攻击的时候主要是对攻击的目标发送超过其处理能力的数据包，使攻击目标出现瘫痪的情况，不能提供正常的服务。

DDoS攻击类型：

ICMP Flood：通过对目标系统发送海量数据包，就可以令目标主机瘫痪，如果大量发送就成了洪水攻击。

UDP Flood：攻击者通常发送大量伪造源IP地址的小UDP包，100k bps的就能 将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。

ACK Flood: 目前ACK Flood并没有成为攻击的主流，而通常是与其他攻击方式组合在一起使用。

NTP Flood：攻击者使用特殊的数据包，也就是IP地址指向作为反射器的服务器，源IP地址被伪造成攻击目标的IP，这样一来可能只需要1Mbps的上传带宽欺骗NTP服务器，就可给目标服务器带来几百上千Mbps的攻击流量。

SYN Flood：一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽的攻击方式。

CC 攻击：由于CC攻击成本低、威力大据调查目前80%的DDoS攻击都是CC攻击。CC攻击是借助代理服务器生成指向目标系统的合法请求，实现伪装和DDoS。这种攻击技术性含量高，见不到真实源IP，见不到特别大的异常流量，但服务器就是无法进行正常连接。

DNS Query Flood：DNS Query Flood采用的方法是操纵大量傀儡机器，向目标服务器发送大量的域名解析请求。解析过程给服务器带来很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

DDoS攻击防御办法：

1.云防御：目前，许多的企业面对大攻击时都是采用这种方式来进行防御，一方面可以通过云进行调度，另一方面操作也非常的简单，并且面对各种类型来势汹汹的DDoS攻击都能及时响应。但缺点是攻击量大时是价格会比较高，这个要看企业对DDoS攻击的衡量，是被打垮了损失的费用更大还是花钱抗D花费的费用更大。目前国内做的比较好的四大厂商是：阿里云、腾讯云、知道创宇和绿盟云，下面我们来分析一下各家优势。

阿里云：基本上可以防护各种DDoS攻击，并可以根据用户的流量大小自动调整防御策略，支持BGP和CDN两种引流，并在防御应用层DDOS上有很大优势，最大防护能力达到T级。

腾讯云：腾讯基于自身能力在游戏和社交产品的防御上独具优势，采用BGP防护带宽，单IP对接多线路，线路可靠且覆盖面广。

知道创宇：同样能对互联网上各种类型的DDoS攻击进行防护，并且有自主研发Anti-CC引擎，在防CC攻击上有明显优势，最大防护达2T。他们有免费试用和低价的抗D套餐，有需要的可以试试。

绿盟云：背靠绿盟多年硬件防护能力，基于CPE设备/软件结合云端服务的混合抗D方案，绿盟当前在大客户有广泛的ADS及抗D模块设备如WAF的部署，可以很容易感知业务异常，方便和云端联动和协作。

2.扩充带宽：网络带宽直接决定了承受攻击的能力，国内大部分网站带宽规模在10M到100M，知名企业带宽能超过1G，超过100G的基本是专门做带宽服务和抗攻击服务的网站。但DDoS却不同，攻击者通过控制一些服务器、个人电脑等成为肉鸡，如果控制1000台机器，每台带宽为10M，那么攻击者就有了10G的流量。当它们同时向某个网站发动攻击，带宽瞬间就被占满了。但这种方式的缺点就是价格实在太贵。

3.分布式集群防御：分布式集群防御的特点是在每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的DDoS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。

4.负载均衡：负载均衡建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性，对DDoS流量攻击和CC攻击都很见效。CC攻击使服务器由于大量的网络传输而过载，而通常这些网络流量针对某一个页面或一个链接而产生。在企业网站加上负载均衡方案后，链接请求被均衡分配到各个服务器上，减少单个服务器的负担，整个服务器系统可以处理每秒上千万甚至更多的服务请求，用户访问速度也会加快。

5.定期检查防御：DDoS的发生可能永远都无法预知，而一来就凶猛如洪水决堤，因此网站的预防措施和应急预案就显得尤为重要。如：定期检查系统发现已存在的攻击漏洞并及时安装系统补丁；过滤不必要的服务和端口，减少攻击者进入和利用已知漏洞的机会；限制特定的流量，检查访问来源并做适当的限制，以防止异常、恶意的流量来袭，主动保护网站安全。