今天我們來(lái)聊聊如何防御DDOS攻擊，以下是DDOS攻擊原理和趨勢(shì)。

DDOS攻擊原理：

DDoS攻擊有許多不同的攻擊方式，而不同的攻擊方式原理也不盡相同。下面列出常見DDoS攻擊方式的原理。

ICMP Flood：通過(guò)對(duì)目標(biāo)系統(tǒng)發(fā)送海量數(shù)據(jù)包，就可以令目標(biāo)主機(jī)癱瘓，如果大量發(fā)送就成了洪水攻擊。

UDP Flood：攻擊者通常發(fā)送大量偽造源IP地址的小UDP包，100k bps的就能 將線路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。

ACK Flood: 目前ACK Flood并沒有成為攻擊的主流，而通常是與其他攻擊方式組合在一起使用。

NTP Flood：攻擊者使用特殊的數(shù)據(jù)包，也就是IP地址指向作為反射器的服務(wù)器，源IP地址被偽造成攻擊目標(biāo)的IP，這樣一來(lái)可能只需要1Mbps的上傳帶寬欺騙NTP服務(wù)器，就可給目標(biāo)服務(wù)器帶來(lái)幾百上千Mbps的攻擊流量。

SYN Flood：一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡的攻擊方式。

CC 攻擊：由于CC攻擊成本低、威力大據(jù)調(diào)查目前80%的DDoS攻擊都是CC攻擊。CC攻擊是借助代理服務(wù)器生成指向目標(biāo)系統(tǒng)的合法請(qǐng)求，實(shí)現(xiàn)偽裝和DDoS。這種攻擊技術(shù)性含量高，見不到真實(shí)源IP，見不到特別大的異常流量，但服務(wù)器就是無(wú)法進(jìn)行正常連接。

DNS Query Flood：DNS Query Flood采用的方法是操縱大量傀儡機(jī)器，向目標(biāo)服務(wù)器發(fā)送大量的域名解析請(qǐng)求。解析過(guò)程給服務(wù)器帶來(lái)很大的負(fù)載，每秒鐘域名解析請(qǐng)求超過(guò)一定的數(shù)量就會(huì)造成DNS服務(wù)器解析域名超時(shí)。

DDOS攻擊目前趨勢(shì)：

第一，攻擊類型更加多樣與復(fù)雜。容量耗盡型攻擊：例如TCP耗盡，應(yīng)用層攻擊，以及結(jié)合多種策略與手段的多向量攻擊，這些攻擊現(xiàn)在往往針對(duì)的是服務(wù)器或網(wǎng)站的薄弱環(huán)節(jié)，例如針對(duì)下載、表單等區(qū)域，攻擊流量與用戶流量混雜在一起，因此企業(yè)也更難區(qū)分并緩解惡意流量。僅在國(guó)內(nèi)的攻擊，上T的峰值已不罕見。這意味著攻擊者采取更少次數(shù)，但更復(fù)雜更智能的攻擊就可以給企業(yè)帶來(lái)重創(chuàng)。

第二，在近幾年的報(bào)告中可以看出，新型的攻擊手法如放大反射攻擊開始逐漸活躍。反射放大攻擊是一種具有巨大攻擊力的DDoS攻擊方式。攻擊者只需要付出少量的代價(jià)， 即可對(duì)需要攻擊的目標(biāo)產(chǎn)生巨大的流量，對(duì)網(wǎng)絡(luò)帶寬資源(網(wǎng)絡(luò)層)、連接資源(傳輸層) 和計(jì)算機(jī)資源(應(yīng)用層)造成巨大的壓力。

那么如何正確防御DDOS攻擊呢？

傳統(tǒng)的防御思想都是單一的，如增加帶寬，買ADS設(shè)備，買DDoS防火墻，用云端和本地代替等等。有一些方法確實(shí)可以緩解，但是對(duì)企業(yè)來(lái)說(shuō)，在攻擊越來(lái)越復(fù)雜的當(dāng)下做好全面防護(hù)難度很大。

這時(shí)候，企業(yè)往往需要第三方的抗DDoS服務(wù)商來(lái)提供安全支持。作為企業(yè)在選購(gòu)抗DDoS業(yè)務(wù)時(shí)，必須要考察以下幾點(diǎn)：

1、有多少節(jié)點(diǎn)？ 2、機(jī)房最大能抗多少流量峰值？ 3、機(jī)房數(shù)量以及穩(wěn)定性；4、是否支持測(cè)試？ 5、價(jià)格是否合適？ 6、是否可以實(shí)時(shí)展示，并有效通知？ 7、遭受攻擊或者不穩(wěn)定影響業(yè)務(wù)時(shí)，是否可以支持排查問題？

以上就是今天的分享，如果有其他問題或需要，歡迎咨詢?cè)凭W(wǎng)時(shí)代信息技術(shù)有限公司。