DDoS攻擊多種多樣，防DDoS事後補救恐怕鞭長莫及啊！

隨著如今DDoS攻擊技術的不斷成熟，關於防DDoS攻擊的安全防護措施你知道多少？只有清楚的瞭解DDoS攻擊的定義和原理和你有可能或者將會面臨什麼樣的攻擊，才更好的不斷加強防護，才能夠免於受到攻擊從而導致受到損失。

DDoS（Distributed Denial of Service）攻擊，即分散式的DoS攻擊。這類攻擊通常都是透過殭屍網路發起的，因殭屍網路分佈於網際網路各處，因此這類攻擊叫分散式DoS攻擊。DDoS攻擊是一種基於DoS的特殊形式的拒絕服務攻擊，是一種分佈的、協同的大規模攻擊方式。

最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源，從而使伺服器無法處理合法使用者的指令。DDoS就是利用更多的傀儡機來發起進攻，以比從前更大的規模來進攻受害者，因此防DDoS攻擊的難度要大於防禦單一DoS攻擊。

一個完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標四部分組成。由攻擊者提出攻擊要求，然後主控端釋出命令，最後由代理端實際發出DDoS的攻擊包。這些資料包經過偽裝，無法識別它的來源，而且這些資料包所請求的服務就會消耗攻擊目標大量的系統資源，造成目標主機無法為正常使用者提供服務，甚至導致系統崩潰。

DDoS攻擊可以從影響力、攻擊特徵分類、攻擊速率、攻擊路線、入侵目標、系統及協議的弱點、自動化程度七個方面進行分類：

（1）從影響力方面可以分為網路服務徹底崩潰和降低網路服務的攻擊。

（2）從攻擊特徵的角度可以將DDoS攻擊分為攻擊行為特徵可提取（又可以細分為可過濾型和不可過濾型）和攻擊行為特徵不可提取兩類。

（3）從攻擊速率來分類可以分為持續速率和可變速率的攻擊。

（4）基於攻擊路線分類直接攻擊和反覆式攻擊。

（5）從基於入侵目標，可以將DDoS攻擊分為頻寬攻擊和連通性攻擊。

（6）從系統及協議的弱點分類主要可以分為洪水攻擊（UDP洪水攻擊和ICMP洪水攻擊）、擴大攻擊（Smurf和Fraggle攻擊）、利用協議的攻擊（如TCP SYN攻擊）和畸形資料包攻擊（IP地址攻擊和IP資料包屬性攻擊）。

（7）從自動化程度上來分類基本可分為手動的，半自動化的和自動化的DDoS攻擊等三類。

所謂事後補救總不及事前預防來得有效。為了確保企業能徹底解決多種多樣全新的ddos流量攻擊，建議提前採取防DDoS攻擊對策，以下例舉幾種常規的DDoS應付辦法：

（1）定期掃描

要定期掃描現有的網路主節點，清查可能存在的安全漏洞，對新出現的漏洞及時進行清理。

（2）檢查訪問者的來源

使用Unicast Reverse Path Forwarding等透過反向路由器查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以遮蔽。許多駭客攻擊常採用假IP地址方式迷惑使用者，很難查出它來自何處。因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現，有助於提高網路安全性。

（3）在骨幹節點配置防火牆

防火牆本身就有一定的防DdoS攻擊和其他一些攻擊得能力。在發現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。

（4）採用分散式叢集防禦

分散式叢集防禦是目前網路安全界防禦大規模DDoS攻擊的最有效辦法。分散式叢集防禦的原理是擁有多個節點，當一個節點受攻擊無法提供服務，系統自動切換另一個節點，並將攻擊者的資料包全部返回傳送點，使攻擊源成為癱瘓狀態，從更為深度的安全防護角度去影響企業的安全執行決策。

選用合適的防DDoS安全對策是網站安全防護中必要的一部分，對付DDoS是一個系統工程，想僅僅依靠某種系統或產品防住DDoS是不現實的，有條件的話還可以考慮使用cdn加速。

本文來自：https://www.zhuanqq.com/News/Industry/285.html