你必須要會的防護DDoS技術，輕鬆化解流量攻擊難題

DDOS攻擊作為最常見的網路攻擊之一，防護DDOS往往會導致伺服器運維人員焦頭爛額，因為一旦伺服器受到DDoS攻擊，就會直接造成線上業務中斷，對網際網路企業是致命的打擊。

一般而言，DDoS攻擊可按其攻擊的開放系統互連 (OSI) 模型的層級進行隔離。攻擊最常發生在基礎設施層和應用層。針對不同的攻擊必須採用不同的防護DDOS策略，這樣才更為有效。首先我們來了解一下什麼叫基礎設施層攻擊和應用層攻擊？

基礎設施層攻擊是最常見的DDoS攻擊型別，即指網路層和傳輸層的攻擊，包括同步(SYN)泛洪攻擊和其他反射攻擊等。這些攻擊通常數量較大，具有清晰標識且易於檢測，旨在讓網路或應用程式伺服器的容量過載。

應用層攻擊與基礎設施層攻擊相比往往更加複雜，指的是表示層和應用層的攻擊。這些攻擊主要針對於應用程式的特定昂貴部分攻擊，數量不會很大，使真實使用者無法使用應用程式。例如，登入頁的大量HTTP請求、昂貴的搜尋 API，甚至 Wordpress XML-RPC 泛洪（也稱為 Wordpress pingback 攻擊）。

要防護ddos攻擊就首先必須先知道檢測攻擊，就是了解什麼是正常和異常流量。需要了解目標通常接收的良好流量的特徵，並能夠將每個資料包與基線進行比較。基線是指不影響可用性的情況下，主機可以處理的最大流量，也稱為速率限制。更高階的保護技術可以更進一步，並且只能透過分析單個資料包本身智慧地接受合法的通訊。

良好的DDoS防護技術可以從以下三方面進行：

一、 為複雜的應用程式攻擊部署防火牆

防禦利用應用程式本身中漏洞進行的攻擊的最佳方式是使用Web應用程式防火牆，如SQL隱碼攻擊或跨站點請求偽造。此外，由於這些攻擊的獨特性，可以輕鬆建立針對非法請求的自定義緩解措施，這些請求可能具有偽裝成良好流量或來自壞IP、意外地理位置等特徵。有時，它還有助於緩解攻擊，因為它們可能會獲得經驗支援，以研究流量模式並建立自定義保護。

二、 擴充套件 頻寬和伺服器容量

緩解大容量DDoS攻擊的兩個主要考慮因素是頻寬（或傳輸）容量和伺服器容量，以吸收和緩解攻擊。

由於DDoS攻擊的最終目標是影響您的資源/應用程式的可用性，因此構建應用程式時，需要提供充足的冗餘Internet連線，保障能夠處理大量流量，將它們置於靠近終端使用者和大型Internet交換臺的位置，這樣即使在大量流量的情況下，您的使用者也可以輕鬆訪問您的應用程式。此外Web應用程式還可以進一步利用內容分發網路(CDN)和智慧DNS解析服務從通常靠近終端使用者的位置提供內容和解析DNS查詢。

大多數DDoS攻擊都是容量攻擊，佔用大量資源；因此，要實現防護DDoS的目的，最重要的是可以快速向上或向下擴充套件計算資源。可以在較大的計算資源上執行，也可以透過具有更多支援較大容量的廣泛網路介面或增強網路等功能的資源。此外，使用負載均衡器持續監控和轉移資源之間的負載也很常見，以防止任何一個資源過載。

三、 減少攻擊表面積

還有一種緩解DDoS攻擊技術，是將可能受到攻擊的表面積降至最低，確保不會將應用程式或資源暴露給埠、協議或應用程式，從而限制攻擊者的選擇，並允許您在單個位置構建保護。在某些情況下，為了實現儘量減少可能攻擊點的目的，可以將計算資源放置在內容分發網路(CDN)或負載均衡器之後，並將 Internet 直接流量限制在基礎設施的某些部分，如資料庫伺服器。在其他情況下，可以使用防火牆或訪問控制列表 (ACL) 來控制到達應用程式的流量。

隨著DDoS攻擊多年的發展，攻擊型別和規模越來越多樣化和複雜化，企業在選擇防護DDoS措施時，一定要先分析攻擊型別和規模，再選擇合適的高防服務。攻與防的較量，道高一尺魔高一丈。

本文來自：https://www.zhuanqq.com/News/Industry/293.html