淺談 DDoS 攻擊與防御

原創(chuàng)：?iMike?運維之美?

什么是 DDoS

DDoS 是英文 Distributed Denial of Service 的縮寫，中文譯作分布式拒絕服務(wù)。那什么又是拒絕服務(wù)（Denial of Service）呢？凡是能導(dǎo)致合法用戶不能夠正常訪問網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問，從而達成攻擊者不可告人的目的。

分布式拒絕服務(wù)攻擊一旦被實施，攻擊網(wǎng)絡(luò)包就會從很多 DoS 攻擊源猶如洪水般涌向受害主機。從而把合法用戶的網(wǎng)絡(luò)請求淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源。

DDoS 攻擊方式分類

• 反射型
  
  

一般而言，我們會根據(jù)針對的協(xié)議類型和攻擊方式的不同，把 DDoS 分成 SYN Flood、ACK Flood、Connection Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各類攻擊類型。

每一種攻擊類型都有其特點，而反射型的 DDoS 攻擊是一種新的變種。攻擊者并不直接攻擊目標服務(wù)的 IP，而是利用互聯(lián)網(wǎng)的某些特殊服務(wù)開放的服務(wù)器，通過偽造被攻擊者的 IP 地址向有開放服務(wù)的服務(wù)器發(fā)送構(gòu)造的請求報文，該服務(wù)器會將數(shù)倍于請求報文的回復(fù)數(shù)據(jù)發(fā)送到被攻擊 IP，從而對后者間接形成 DDoS 攻擊。

如下圖所示，這里的攻擊者（Attacker，實際情況中更多的會利用傀儡機進行攻擊）不直接把攻擊包發(fā)給受害者，而是冒充受害者給放大器（Amplifiers）發(fā)包，然后通過放大器再反射給受害者。

?

在反射型攻擊中，攻擊者利用了網(wǎng)絡(luò)協(xié)議的缺陷或者漏洞進行 IP 欺騙，主要是因為很多協(xié)議（例如 ICMP、UDP 等）對源 IP 不進行認證。同時，要達到更好的攻擊效果，黑客一般會選擇具有放大效果的協(xié)議服務(wù)進行攻擊。

總結(jié)一下就是利用 IP 欺騙進行反射和放大，從而達到四兩撥千斤的效果。目前常見的反射攻擊有：DNS 反射攻擊、NTP 反射攻擊、SSDP 反射攻擊等。

注：將源地址設(shè)為假的無法回應(yīng)，即為 SYN Flood 攻擊。制造流量和攻擊目標收到的流量為 1:1，回報率低。

?

• 流量放大型
  
  

通過遞歸等手法將攻擊流量放大的攻擊類型，比如：以反射型中常見的 SSDP 協(xié)議為例，攻擊者將 Search type 設(shè)置為 ALL。搜索所有可用的設(shè)備和服務(wù)，這種遞歸效果產(chǎn)生的放大倍數(shù)是非常大的，攻擊者只需要以較小的偽造源地址的查詢流量就可以制造出幾十甚至上百倍的應(yīng)答流量發(fā)送至目標。

• 混合型
  
  

在實際情況中，攻擊者只求達到打垮對方的目的。發(fā)展到現(xiàn)在，高級攻擊者已經(jīng)不傾向使用單一的攻擊手段。而是根據(jù)目標系統(tǒng)的具體環(huán)境靈動組合，發(fā)動多種攻擊手段。

比如：TCP 和 UDP、網(wǎng)絡(luò)層和應(yīng)用層攻擊同時進行，這樣的攻擊既具備了海量的流量，又利用了協(xié)議、系統(tǒng)的缺陷，盡其所能地展開攻勢。對于被攻擊目標來說，需要面對不同協(xié)議、不同資源的分布式的攻擊，分析、響應(yīng)和處理的成本就會大大增加。

?

• 脈沖波型
  
  

這是一種新型的 DDoS 攻擊方法，給某些 DDoS 攻擊解決方案帶來了問題，因為它允許攻擊者攻擊以前認為是安全的服務(wù)器。之所以將這種新技術(shù)命名為脈沖波，是由于其攻擊流量展現(xiàn)出來的圖形看起來很像不連貫的重復(fù)的脈沖狀。這類攻擊通常呈現(xiàn)一個有上有下的斜三角形的形狀，這個過程體現(xiàn)了攻擊者正在慢慢地組裝機器人并將目標對準待攻擊的目標。

一次新的脈沖波攻擊從零開始，在很短的時間跨度內(nèi)達到最大值，然后歸零，再回到最大值，如此循環(huán)重復(fù)，中間的時間間隔很短。脈沖波型 DDoS 相對難以防御，因為其攻擊方式避開了觸發(fā)自動化的防御機制。

? ? ? ??

?

• 鏈路泛洪
  
  

隨著 DDoS 攻擊技術(shù)的發(fā)展，又出現(xiàn)了一種新型的攻擊方式 Link Flooding Attack，這種方式不直接攻擊目標而是以堵塞目標網(wǎng)絡(luò)的上一級鏈路為目的。對于使用了 IP Anycast 的企業(yè)網(wǎng)絡(luò)來說，常規(guī)的 DDoS 攻擊流量會被分攤到不同地址的基礎(chǔ)設(shè)施，這樣能有效緩解大流量攻擊。所以攻擊者發(fā)明了一種新方法，攻擊至目標網(wǎng)絡(luò) traceroute 的倒數(shù)第二跳，即上聯(lián)路由，致使鏈路擁塞。

?

常見 DDoS 攻擊方法

DDoS 攻擊從層次上可分為網(wǎng)絡(luò)層攻擊與應(yīng)用層攻擊，從攻擊手法上可分為快型流量攻擊與慢型流量攻擊，但其原理都是造成資源過載，導(dǎo)致服務(wù)不可用。

網(wǎng)絡(luò)層 DDoS 攻擊

網(wǎng)絡(luò)層 DDoS 攻擊常見手段有：SYN Flood、ACK Flood、Connection Flood、UDP Flood、ICMP Flood、TCP Flood、Proxy Flood 等。

• SYN Flood 攻擊
  
  

SYN Flood 攻擊是一種利用 TCP 協(xié)議缺陷，發(fā)送大量偽造的 TCP 連接請求，從而使得被攻擊方資源耗盡（CPU 滿負載或內(nèi)存不足）的攻擊方式。建立 TCP連接，需要三次握手（客戶端發(fā)送 SYN 報文、服務(wù)端收到請求并返回報文表示接受、客戶端也返回確認，完成連接）。

SYN Flood 就是用戶向服務(wù)器發(fā)送報文后突然死機或掉線，那么服務(wù)器在發(fā)出應(yīng)答報文后就無法收到客戶端的確認報文（第三次握手無法完成），這時服務(wù)器端一般會重試并等待一段時間（至少 30s）后再丟棄這個未完成的連接。

一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待一會兒并不是大問題，但惡意攻擊者大量模擬（構(gòu)造源 IP 去發(fā)送 SYN 包）這種情況，服務(wù)器端為了維護數(shù)以萬計的半連接而消耗非常多的資源，結(jié)果往往是無暇理睬正常客戶的請求，甚至崩潰。從正常客戶的角度看來，網(wǎng)站失去了響應(yīng)，無法訪問。

?

• ACK Flood
  
  

ACK Flood 攻擊是在 TCP 連接建立之后進行的。所有數(shù)據(jù)傳輸?shù)?TCP 報文都是帶有 ACK 標志位的，主機在接收到一個帶有 ACK 標志位的數(shù)據(jù)包的時候，需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在。如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法，然后再向應(yīng)用層傳遞該數(shù)據(jù)包。如果在檢查中發(fā)現(xiàn)該數(shù)據(jù)包不合法（例如：該數(shù)據(jù)包所指向的目的端口在本機并未開放），則主機操作系統(tǒng)協(xié)議棧會回應(yīng) RST 包告訴對方此端口不存在。

這里，服務(wù)器要做兩個動作：查表、回應(yīng) ACK/RST。對比主機以及防火墻在接收到 ACK 報文和 SYN 報文時所做動作的復(fù)雜程度，顯然 ACK 報文帶來的負載要小得多。這種攻擊方式顯然沒有 SYN Flood 給服務(wù)器帶來的沖擊大，因此攻擊者一定要用大流量 ACK 小包沖擊才會對服務(wù)器造成影響。所以在實際環(huán)境中，只有當攻擊程序每秒鐘發(fā)送 ACK 報文的速率達到一定的程度，才能使主機和防火墻的負載有大的變化。

當發(fā)包速率很大的時候，主機操作系統(tǒng)將耗費大量的精力接收報文、判斷狀態(tài)，同時要主動回應(yīng) RST 報文，正常的數(shù)據(jù)包就可能無法得到及時的處理。這時候客戶端的表現(xiàn)就是訪問頁面反應(yīng)很慢，丟包率較高。但是狀態(tài)檢測的防火墻通過判斷 ACK 報文的狀態(tài)是否合法，借助其強大的硬件能力可以較為有效的過濾攻擊報文。當然如果攻擊流量非常大，由于需要維護很大的連接狀態(tài)表同時要檢查數(shù)量巨大的 ACK 報文的狀態(tài)，防火墻也會不堪重負導(dǎo)致網(wǎng)絡(luò)癱瘓。

目前 ACK Flood 并沒有成為攻擊的主流，而通常是與其他攻擊方式組合在一起使用。

?

• Connection Flood
  
  

Connection Flood 是典型的并且非常有效的利用小流量沖擊大帶寬網(wǎng)絡(luò)服務(wù)的攻擊方式。這種攻擊的原理是利用真實的 IP 地址向服務(wù)器發(fā)起大量的連接，并且建立連接之后很長時間不釋放。長期占用服務(wù)器的資源，造成服務(wù)器上殘余連接 (WAIT 狀態(tài)) 過多，效率降低，甚至資源耗盡，無法響應(yīng)其它客戶所發(fā)起的連接。

其中一種攻擊方法是每秒鐘向服務(wù)器發(fā)起大量的連接請求，這類似于固定源 IP 的 SYN Flood 攻擊，不同的是采用了真實的源 IP 地址。通常這可以在防火墻上限制每個源 IP 地址每秒鐘的連接數(shù)來達到防護目的。

但現(xiàn)在已有工具采用慢速連接的方式，也即幾秒鐘才和服務(wù)器建立一個連接，連接建立成功之后并不釋放并定時發(fā)送垃圾數(shù)據(jù)包給服務(wù)器使連接得以長時間保持。這樣一個 IP 地址就可以和服務(wù)器建立成百上千的連接，而服務(wù)器可以承受的連接數(shù)是有限的，這就達到了拒絕服務(wù)的效果。

?

• UDP Flood 攻擊
  
  

由于 UDP 是一種無連接的協(xié)議，因此攻擊者可以偽造大量的源 IP 地址去發(fā)送 UDP 包，此種攻擊屬于大流量攻擊。正常應(yīng)用情況下，UDP 包雙向流量會基本相等，因此在消耗對方資源的時候也在消耗自己的資源。

• ICMP Flood 攻擊
  
  

此攻擊屬于大流量攻擊，其原理就是不斷發(fā)送不正常的 ICMP 包（所謂不正常就是 ICMP 包內(nèi)容很大），導(dǎo)致目標帶寬被占用。但其本身資源也會被消耗，并且目前很多服務(wù)器都是禁 ping 的（在防火墻里可以屏蔽 ICMP 包），因此這種方式已經(jīng)落伍。

• Smurf 攻擊
  
  

這種攻擊類似于 ICMP Flood 攻擊，但它能巧妙地修改進程。Smurf 攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的 ICMP 應(yīng)答請求數(shù)據(jù)包，來淹沒受害主機。最終導(dǎo)致該網(wǎng)絡(luò)的所有主機都對此 ICMP 應(yīng)答請求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的 Smurf 將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。

應(yīng)用層 DDoS 攻擊

應(yīng)用層 DDoS 攻擊不是發(fā)生在網(wǎng)絡(luò)層，是發(fā)生在 TCP 建立握手成功之后，應(yīng)用程序處理請求的時候。常見的有：CC 攻擊、DNS Flood、慢速連接攻擊等。

• CC 攻擊
  
  

CC 攻擊（Challenge Collapsar）是 DDoS 攻擊的一種，其前身名為 Fatboy 攻擊，也是一種常見的網(wǎng)站攻擊方法。CC 攻擊還有一段比較有趣的歷史，Collapsar 是綠盟科技的一款防御 DDoS 攻擊的產(chǎn)品品牌，Collapasar 在對抗拒絕服務(wù)攻擊的領(lǐng)域內(nèi)具有比較高的影響力和口碑。然而黑客為了挑釁，研發(fā)了一款 Challenge Collapasar 工具簡稱 CC，表示要向 Collapasar 發(fā)起挑戰(zhàn)。

CC 攻擊的原理就是借助代理服務(wù)器針對目標系統(tǒng)的消耗資源比較大的頁面不斷發(fā)起正常的請求，造成對方服務(wù)器資源耗盡，一直到宕機崩潰。因此在發(fā)送 CC 攻擊前，我們需要尋找加載比較慢，消耗資源比較多的網(wǎng)頁。比如：需要查詢數(shù)據(jù)庫的頁面、讀寫硬盤的文件等。相比其它的 DDoS 攻擊 CC 更有技術(shù)含量一些，這種攻擊你見不到真實源 IP。見不到特別大的異常流量，但造成服務(wù)器無法進行正常連接。

?

• Slowloris 攻擊
  
  

Slowloris 是一種慢速連接攻擊，Slowloris 是利用 Web Server 的漏洞或設(shè)計缺陷，直接造成拒絕服務(wù)。其原理是：以極低的速度往服務(wù)器發(fā)送 HTTP 請求，Apache 等中間件默認會設(shè)置最大并發(fā)鏈接數(shù)，而這種攻擊就是會持續(xù)保持連接，導(dǎo)致服務(wù)器鏈接飽和不可用。Slowloris 有點類似于 SYN Flood 攻擊，只不過 Slowloris 是基于 HTTP 協(xié)議。

Slowloris ?PoC

# 構(gòu)造以下畸形 HTTP 請求包 GET / HTTP/1.1\r\n Host: Victim host\r\n User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 12)\r\n Content-Length: 42\r\n

完整的 HTTP 請求頭結(jié)尾應(yīng)該是兩次的?\r\n\r\n，這里少了一次，因此服務(wù)器將會一直等待。

• Slow Attack
  
  

Slow Attack 也是一種慢速 DoS 攻擊，它通過消耗服務(wù)器的系統(tǒng)資源和連接數(shù)，導(dǎo)致 Web 服務(wù)器無法正常工作。常見的攻擊方式包括 Slow Header、Slow Body 和 Slow Read。

Slow Header：正常的 HTTP Header 以兩個 CLRF 結(jié)尾，通過發(fā)送只包含一個 CLRF 的畸形 Header 請求來占用 Web 服務(wù)器連接，從而達到消耗掉服務(wù)器所有可用的連接數(shù)。最終造成 Web 服務(wù)器資源飽和并拒絕新的服務(wù)。

Slow Read：向服務(wù)器請求很大的文件，然后通過設(shè)置 TCP 滑動窗口較小值，導(dǎo)致服務(wù)器以極慢的速度傳輸文件。這樣，就會占用服務(wù)器大量的內(nèi)存，從而造成拒絕服務(wù)。

Slow Body：在向服務(wù)器發(fā)送 HTTP Post 包時，指定一個非常大的 Content-Length 值，然后以極低的速度發(fā)包并保持連接不斷，最終導(dǎo)致服務(wù)器連接飽和不可用。

Kali Linux 提供的專用測試工具 SlowHTTPTest 能夠?qū)崿F(xiàn)以上三種 Slow Attack 方式。

• JavaScript DDoS
  
  

基于 JavaScript 的 DDoS 攻擊利用的工具是普通網(wǎng)民的上網(wǎng)終端，這也意味著只要裝有瀏覽器的電腦，都能被用作為 DDoS 攻擊者的工具。當被操縱的瀏覽器數(shù)量達到一定程度時，這種 DDoS 攻擊方式將會帶來巨大的破壞性。

攻擊者會在海量訪問的網(wǎng)頁中嵌入指向攻擊目標網(wǎng)站的惡意 JavaScript 代碼，當互聯(lián)網(wǎng)用戶訪問該網(wǎng)頁時，則流量被指向攻擊目標網(wǎng)站。比較典型攻擊事件：GitHub DDoS 攻擊。

• ReDoS 攻擊
  
  

ReDoS (Regular expression Denial of Service)， 中文譯作正則表達式拒絕服務(wù)攻擊。開發(fā)人員使用了正則表達式來對用戶輸入的數(shù)據(jù)進行有效性校驗，當編寫校驗的正則表達式存在缺陷或者不嚴謹時，攻擊者可以構(gòu)造特殊的字符串來大量消耗服務(wù)器的系統(tǒng)資源，從而造成服務(wù)器的服務(wù)中斷或停止。 更詳細介紹可參考：「淺析 ReDoS 的原理與實踐」一文。

• DNS Query Flood
  
  

DNS 作為互聯(lián)網(wǎng)的核心服務(wù)之一，自然也是 DDoS 攻擊的一大主要目標。DNS Query Flood 采用的方法是操縱大量傀儡機器，向目標服務(wù)器發(fā)送大量的域名解析請求。服務(wù)器在接收到域名解析請求時，首先會在服務(wù)器上查找是否有對應(yīng)的緩存，若查找不到且該域名無法直接解析時，便向其上層 DNS 服務(wù)器遞歸查詢域名信息。

通常，攻擊者請求解析的域名是隨機生成或者是網(wǎng)絡(luò)上根本不存在的域名。由于在本地域名服務(wù)器無法查到對應(yīng)的結(jié)果，本地域名服務(wù)器必須使用遞歸查詢向上層域名服務(wù)器提交解析請求，引起連鎖反應(yīng)。解析過程給本地域名服務(wù)器帶來一定的負載，每秒鐘域名解析請求超過一定的數(shù)量就會造成域名服務(wù)器解析域名超時。

?

根據(jù)微軟的統(tǒng)計數(shù)據(jù)，一臺 DNS 服務(wù)器所能承受的動態(tài)域名查詢的上限是每秒鐘 9000 個請求。而一臺 P3 的 PC 機上可以輕易地構(gòu)造出每秒鐘幾萬個域名解析請求，足以使一臺硬件配置極高的 DNS 服務(wù)器癱瘓，由此可見 DNS 服務(wù)器的脆弱性。

無線 DDoS 攻擊

• Auth Flood 攻擊
  
  

Auth Flood 攻擊，即身份驗證洪水攻擊。該攻擊目標主要針對那些處于通過驗證和 AP 建立關(guān)聯(lián)的關(guān)聯(lián)客戶端，攻擊者將向 AP 發(fā)送大量偽造的身份驗證請求幀（偽造的身份驗證服務(wù)和狀態(tài)代碼），當收到大量偽造的身份驗證請求超過所能承受的能力時，AP將斷開其他無線服務(wù)連接。

• Deauth Flood 攻擊
  
  

Deauth Flood 攻擊即為取消驗證洪水攻擊，它旨在通過欺騙從 AP 到客戶端單播地址的取消身份驗證幀來將客戶端轉(zhuǎn)為未關(guān)聯(lián) / 未認證的狀態(tài)。對于目前的工具來說，這種形式的攻擊在打斷客戶無線服務(wù)方面非常有效和快捷。一般來說，在攻擊者發(fā)送另一個取消身份驗證幀之前，客戶端會重新關(guān)聯(lián)和認證以再次獲取服務(wù)。攻擊者反復(fù)欺騙取消身份驗證幀就能使所有客戶端持續(xù)拒絕服務(wù)。

• Association Flood 攻擊
  
  

Association Flood 攻擊即為關(guān)聯(lián)洪水攻擊。在無線路由器或者接入點內(nèi)置一個列表即為連接狀態(tài)表，里面可顯示出所有與該 AP 建立連接的無線客戶端狀態(tài)。它試圖通過利用大量模仿和偽造的無線客戶端關(guān)聯(lián)來填充 AP 的客戶端關(guān)聯(lián)表，從而達到淹沒 AP 的目的。

由于開放身份驗證（空身份驗證）允許任何客戶端通過身份驗證后關(guān)聯(lián)。利用這種漏洞的攻擊者可以通過創(chuàng)建多個到達已連接或已關(guān)聯(lián)的客戶端來模仿很多客戶端，從而淹沒目標 AP 的客戶端關(guān)聯(lián)表。

• Disassociation Flood 攻擊
  
  

Disassociation Flood 攻擊即為取消關(guān)聯(lián)洪水攻擊，和 Deauth Flood 攻擊表現(xiàn)方式很相似。它通過欺騙從 AP 到客戶端的取消關(guān)聯(lián)幀來強制客戶端成為未關(guān)聯(lián) / 未認證的狀態(tài)。一般來說，在攻擊者發(fā)送另一個取消關(guān)聯(lián)幀之前，客戶端會重新關(guān)聯(lián)以再次獲取服務(wù)。攻擊者反復(fù)欺騙取消關(guān)聯(lián)幀就能使客戶端持續(xù)拒絕服務(wù)。

Disassociation Broadcast 攻擊和 Disassociation Flood 攻擊原理基本一致，只是在發(fā)送程度及使用工具上有所區(qū)別。前者很多時候用于配合進行無線中間人攻擊，而后者常用于目標確定的點對點無線 DoS，比如：破壞或干擾指定機構(gòu)或部門的無線接入點等。

• RF Jamming 攻擊
  
  

RF Jamming 攻擊即為 RF 干擾攻擊。該攻擊是通過發(fā)出干擾射頻達到破壞正常無線通信的目的。而前面幾種攻擊主要是基于無線通信過程及協(xié)議的。RF 為射頻，主要包括無線信號發(fā)射機及收信機等。

DDoS 攻擊現(xiàn)象判定方法

• SYN 類攻擊判斷
  
  

服務(wù)器 CPU 占用率很高。

出現(xiàn)大量的 SYN_RECEIVED 的網(wǎng)絡(luò)連接狀態(tài)。

網(wǎng)絡(luò)恢復(fù)后，服務(wù)器負載瞬時變高。網(wǎng)絡(luò)斷開后瞬時負載下將。

• UDP 類攻擊判斷
  
  

服務(wù)器 CPU 占用率很高。

網(wǎng)卡每秒接受大量的數(shù)據(jù)包。

網(wǎng)絡(luò) TCP 狀態(tài)信息正常。

• CC 類攻擊判斷
  
  

服務(wù)器 CPU 占用率很高。

Web 服務(wù)器出現(xiàn)類似 Service Unavailable 提示。

出現(xiàn)大量的 ESTABLISHED 的網(wǎng)絡(luò)連接狀態(tài)且單個 IP 高達幾十個甚至上百個連接。

用戶無法正常訪問網(wǎng)站頁面或打開過程非常緩慢，軟重啟后短期內(nèi)恢復(fù)正常，幾分鐘后又無法訪問。

DDoS 攻擊防御方法

• 網(wǎng)絡(luò)層 DDoS 防御
  
  

限制單 IP 請求頻率。

網(wǎng)絡(luò)架構(gòu)上做好優(yōu)化，采用負載均衡分流。

防火墻等安全設(shè)備上設(shè)置禁止 ICMP 包等。

通過 DDoS 硬件防火墻的數(shù)據(jù)包規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾、及數(shù)據(jù)包內(nèi)容定制過濾等技術(shù)對異常流量進行清洗過濾。

采用 ISP 近源清洗，使用電信運營商提供的近源清洗和流量壓制，避免全站服務(wù)對所有用戶徹底無法訪問。這是對超過自身帶寬儲備和自身 DDoS 防御能力之外超大流量的補充性緩解措施。

• 應(yīng)用層 DDoS 防御
  
  

優(yōu)化操作系統(tǒng)的 TCP/IP 棧。

應(yīng)用服務(wù)器嚴格限制單個 IP 允許的連接數(shù)和 CPU 使用時間。

編寫代碼時，盡量實現(xiàn)優(yōu)化并合理使用緩存技術(shù)。盡量讓網(wǎng)站靜態(tài)化，減少不必要的動態(tài)查詢。網(wǎng)站靜態(tài)化不僅能大大提高抗攻擊能力，而且還給駭客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于 HTML 的溢出還沒出現(xiàn)。

增加 WAF（Web Application Firewall）設(shè)備，WAF 的中文名稱叫做 Web 應(yīng)用防火墻。Web 應(yīng)用防火墻是通過執(zhí)行一系列針對 HTTP / HTTPS 的安全策略來專門為 Web 應(yīng)用提供保護的一款產(chǎn)品。

使用 CDN / 云清洗，在攻擊發(fā)生時，進行云清洗。通常云清洗廠商策略有以下幾步：預(yù)先設(shè)置好網(wǎng)站的 CNAME，將域名指向云清洗廠商的 DNS 服務(wù)器；在一般情況下，云清洗廠商的 DNS 仍將穿透 CDN 的回源的請求指向源站，在檢測到攻擊發(fā)生時，域名指向自己的清洗集群，然后再將清洗后的流量回源。

CDN 僅對 Web 類服務(wù)有效，針對游戲類 TCP 直連的服務(wù)無效。這時可以使用 DNS 引流 + ADS (Anti-DDoS System) 設(shè)備來清洗，還有在客戶端和服務(wù)端通信協(xié)議做處理（如：封包加標簽，依賴信息對稱等）。

DDoS 攻擊究其本質(zhì)其實是無法徹底防御的，我們能做得就是不斷優(yōu)化自身的網(wǎng)絡(luò)和服務(wù)架構(gòu)，來提高對 DDoS 的防御能力。

參考文檔

http://www.google.com
http://t.cn/RrSkw6a
http://t.cn/RrSkNKe
http://t.cn/RrSFJ1B
http://t.cn/RrovtI3
http://t.cn/RrKGEIb
http://t.cn/RCwYkYf
http://t.cn/RrKIAlN
http://t.cn/RrKQ8j8
http://t.cn/RcCzPCO

轉(zhuǎn)載于:https://www.cnblogs.com/-abm/p/9503946.html

總結(jié)

以上是生活随笔為你收集整理的浅谈 DDoS 攻击与防御的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。