想深入瞭解防護DDoS該從何處下手？新手必看

近幾年越來越多的物聯網裝置被用於實施DDOS攻擊，企業防護DDoS攻擊的常態化將至關重要，否則線上業務的安全和可持續運營時刻面臨威脅和挑戰。DDoS攻擊可輕易阻斷正常網路服務或降低服務質量，給網際網路企業和網路服務提供商帶來巨大的損失。

DDoS攻擊可以主要分為三種，一種是應用程式攻擊，主要是利用協議棧（六），協議棧（七）中的漏洞，針對特定的應用程式而不是整個伺服器。它們通常針對公共埠和服務，如DNS或HTTP。一種是協議攻擊，是第二大最常見的攻擊媒介，針對的是協議工作方式的漏洞。還有一種是容量耗盡攻擊，通常藉助殭屍網路和放大技術，透過向終端資源注入大量流量來阻止對終端資源的訪問。這三種攻擊最常見的攻擊方式分別如下：

最常見的應用程式攻擊有：

（1）HTTP洪水攻擊。攻擊者用大量的標準GET和POST請求淹沒應用程式或web伺服器。由於這些請求通常顯示為合法流量，因此檢測HTTP洪水攻擊是一個相當大的挑戰。

（2）Slowloris。正如其名，Slowloris緩慢地使受害者的伺服器崩潰。攻擊者按時間間隔和一小部分向受害者的伺服器傳送HTTP請求。伺服器一直在等待這些請求完成，但永遠不會發生。最終，這些未完成的請求耗盡了受害者的頻寬，使合法使用者無法訪問伺服器。

最常見的協議攻擊有：

（1）SYN洪水攻擊。駭客利用了三向握手TCP機制的漏洞。客戶端將SYN資料包傳送到伺服器，接收SYN-ACK資料包，並且永遠不會將ACK資料包傳送回主機。因此，受害者的伺服器留下了許多未完成的SYN-ACK請求，並最終導致崩潰。

（2）死亡之Ping攻擊。駭客使用簡單的Ping命令傳送超大資料包，從而導致受害者的系統凍結或崩潰。

最常見的容量耗盡攻擊有：

（1）UDP洪水攻擊。駭客傳送使用者資料包協議（UDP）包偽造受害者的源地址到隨機埠，主機生成大量的回覆流量並將其傳送回受害者。

（2）ICMP洪水攻擊。駭客使用大量的網際網路控制訊息協議（ICMP）請求或ping命令，試圖耗盡受害者的伺服器頻寬。

除了眾所周知的攻擊之外，還存在一種是利用尚未修補的未知軟體漏洞或使用不常見的攻擊媒介攻擊方式叫做零日漏洞DDoS攻擊，它比一般的DDoS攻擊更加難以檢測和防禦。想建立自己的有效防護DDoS攻擊的解決方案，要牢記以下一些基本系統要求：

（1）防禦3–4級和6–7級攻擊。如果你的解決方案能夠檢測所有三種主要型別（容量攻擊、應用攻擊和協議攻擊）的DDoS攻擊，並有效防護DDoS，則更可取。

（2）混合DDoS檢測方法。基於特徵碼和基於異常的檢測方法的組合是檢測不同型別的DDoS攻擊的關鍵。

（3）有效的流量過濾。防護DDoS的最大挑戰之一是區分惡意請求與合法請求。很難建立有效的過濾規則，因為涉及DDoS攻擊的大多數請求看起來都好像是來自合法使用者。諸如速率限制之類的流行方法通常會產生很多誤報，導致阻止合法使用者訪問你的服務和應用程式。

DDoS的攻擊技巧的提高，也給防護DDoS攻擊增加了難度，有效地對付這種攻擊是一個系統工程，不僅需要技術人員去探索防護的手段，網路的使用者也要具備網路攻擊基本的防護意識和手段，只有將技術手段和人員素質結合到一起才能最大限度的發揮網路防護的效能。

https://www.zhuanqq.com/News/Industry/290.html