幾種常見的DDOS攻擊應對策略

幾種常見的DDOS攻擊應對策略【艾娜】
DDos防禦需要根據不同的攻擊型別和不同的攻擊方式指定對應的策略才能達到最有效的防禦。常見的DDos包括：Flood、CC和反射等。
1、flood攻擊

Flood類的攻擊最常見並簡單有效，駭客透過控制大量的肉雞同時向伺服器發起請求，進而達到阻塞服務端處理入口或網路卡佇列。
針對消耗性Flood攻擊，如：SYN Flood、ACK Flood、UDP Flood，最有效並可靠的防禦方法是做源認證和資源隔離，即：在客戶端和服務端建立回話時對請求的源進行必要的認證，並將認證結果形成可靠的白名單或黑名單，進而保證服務端處理業務的有效性。
若駭客肉雞足夠多並偽造資料包的真實性較高時，只能透過提升服務端的處理速度和流量吞吐量來達到較好的對抗效果。
2、CC攻擊
CC攻擊是一種針對Http業務的攻擊手段，該攻擊模式不需要太大的攻擊流量，它是對服務端業務處理瓶頸的精確打擊，攻擊目標包括：大量資料運算、資料庫訪問、大記憶體檔案等，攻擊特徵包括：
a、只構造請求，不關心請求結果，即傳送完請求後立即關閉會話;
b、持續請求同一操作;
c、故意請求小位元組的資料包(如下載檔案);
d、qps高;
針對CC的攻擊的防禦需要結合具體業務的特徵，針對具體的業務建立一系列防禦模型，如：連線特徵模型，客戶端行為模型，業務訪問特徵模型等，接收請求端統計客戶資訊並根據模型特徵進行一系列處理，包括：列入黑名單，限制訪問速率，隨機丟棄請求等。
3、反射類攻擊
反射攻擊是一種模擬攻擊客戶端請求指定伺服器，並利用請求和應答之間的流量差值進行流量放大，進而達到攻擊效果的攻擊方式，常見的攻擊型別包括：NTP，DNS等。
針對反射攻擊比較有效的防禦手段有：訪問請求限速、反射流限速、請求行為分析等，這些防禦手段沒法完全過濾攻擊流，只能達到抑制攻擊的效果。