如何防御DDOS？平时应该如何防范DDOS？

分布式拒绝服务攻击（Distributed Denial of Service，DDoS)，是指借助于客户/服务器技术，将网络多个计算机联合作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。

图1 DDoS的攻击原理

DDoS是在传统的DoS攻击基础之上产生的一类攻击方式。DDoS的攻击原理如图1所示，是通过制造伪造的流量，使得被攻击的服务器、网络链路或是网络设备（如防火墙、路由器等）负载过高，从而最终导致系统崩溃，无法提供正常的Internet服务。      

DDoS的类型可分带宽型攻击和应用型攻击。带宽型攻击也称流量型攻击，这类攻击通过发出海量数据包，造成设备负载过高，最终导致网络带宽或是设备资源耗尽。应用型攻击，这类攻击利用了诸如TCP或是HTTP协议的某些特征，通过持续占用有限的资源，从而达到阻止目标设备无法处理处理正常访问请求的目的。如HTTP Half Open攻击和HTTP Error攻击就是该类型的攻击。快速广泛连接的网络给人们带来了极大地便利，也为DDoS创造了极为有利的条件。现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活。

2. 常见的拒绝服务攻击

目前，常见DDoS的目的主要有四种。通过使网络过载来干扰甚至阻断正常的网络通讯；通过向服务器提交大量请求，使服务器超负荷；阻断某一用户访问服务器；阻断某服务与特定系统或个人的通讯。以下是常见的几种DDoS：

1）Flooding攻击。Flooding攻击将大量看似合法的TCP、UDP、ICPM包发送至目标主机，甚至有些攻击还利用源地址伪造技术来绕过检测系统的监控。

2） SYN flood攻击。SYN flood攻击是一种黑客通过向服务端发送虚假的包以欺骗服务器的做法。这种做法使服务器必需开启自己的监听端口不断等待，也浪费了系统各种资源。SYN flood的攻击原理，如图4-5所示。

3）LAND attack攻击。LAND attack攻击与SYN floods类似，不过在LAND attack攻击包中的源地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环，最终耗尽运行的系统资源而死机，难以正常运行。

4） ICMP floods。是通过向设置不当的路由器发送广播信息占用系统资源的做法。

5）Application level floods。Application level floods主要是针对应用软件层的。它同样是以大量消耗系统资源为目的，通过向IIS这样的网络服务程序提出无节制的资源申请来迫害正常的网络服务。

3. 拒绝服务攻击检测与防范

主要检测DDoS的方法有2种：根据异常情况分析和使用DDoS检测工具。

通常，对DDoS的主要防范策略主要包括：

1）尽早发现网络系统存在的攻击漏洞，及时安装系统补丁程序；

2）在网络安全管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务；

3）利用网络安全设备（如防火墙）等来加固网络的安全性；

4）对网络安全访问控制和限制。比较有效的防御措施就是与网络服务提供商协调工作，帮助用户实现路由的访问控制和对带宽总量的限制；

5）当发现主机正在遭受DDoS时，应当启动应付策略，尽快追踪攻击包，并及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡已知攻击节点的流量；

6）对于潜在的DDoS应当及时清除，以免留下后患。

DDoS攻击就是分布式拒绝服务攻击，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，可使目标服务器进入瘫痪状态。

简单点说，就是你家摆摊卖咸鸭蛋呢，我找一堆二流子围着你家的咸鸭蛋摊问东问西，就是不买东西，或者买了东西，又说咸鸭蛋不好得退货。让真正想买咸鸭蛋的人买不到，让你家正常的业务没法进行。

防御：

1、尽可能对系统加载最新补丁，并采取有效的合规性配置，降低漏洞利用风险；

2、采取合适的安全域划分，配置防火墙、入侵检测和防范系统，减缓攻击。

3、采用分布式组网、负载均衡、提升系统容量等可靠性措施，增强总体服务能力。通俗的说就是，我找保安帮我维持鸭蛋摊的秩序，长得就不像是好人，举止怪异的根本不让靠近，并且在鸭蛋摊前面画条线排队，每个人只能有半分钟的买鸭蛋的时间，并且多开几个窗口卖鸭蛋。

---