你的防禦DDoS方案可防多少種攻擊你瞭解過嗎？

面對日益複雜的DDoS攻擊環境，想要徹底解決或者防禦DDoS的攻擊目前看來並不太現實。DDoS攻擊可大致分為三類：體積攻擊、協議攻擊和應用層攻擊。

1、飽和攻擊。即容量耗盡攻擊，是防禦DDoS時最常見的攻擊型別。採用海量虛假流量(有時超過100 Gbps)以淹沒您的網路頻寬。駭客利用大量分佈於世界各地的計算機和網際網路連線，傳送大量的流量資料包到目標伺服器和網站。它使網站的可用頻寬完全飽和，造成流量堵塞，使得合法流量無法流入或流出目標網站。這種攻擊的幅度以位元/秒 (bps) 為單位。飽和攻擊的例項包括UDP/ICMP洪水和其他欺騙資料包洪水。

2、協議攻擊。與飽和攻擊不同，協議攻擊旨在耗盡伺服器資源而不是頻寬。它側重於利用第3層和第4層協議堆疊中的弱點。它透過發出虛假的協議請求來消耗伺服器、防火牆和負載均衡器等網路基礎結構資源的所有處理能力，從而導致服務中斷。協議攻擊的強度以資料包/秒 (pps) 為單位進行測量。協議攻擊的例項包括 SYN 洪水、碎片資料包攻擊、Ping of Death和Smurf DDoS 等。

3、 應用層攻擊。是最複雜和最嚴重的攻擊型別。通常，它們需要的資源比飽和攻擊和協議攻擊少。他們專注於利用第7層協議堆疊中的弱點，攻擊流量通常是合法的。它建立與目標的連線，然後透過傳送大量看似合法和無害的請求來使伺服器過載，這些請求需要資源密集型處理或清理。最終，伺服器的整個資料庫連線池連線繁忙，它會阻止合法請求。針對應用程式層攻擊的防禦DDoS方案實施起來相對較難。幅度以請求/秒 (rps) 為單位。應用程式層攻擊的例項包括慢線和HTTP泛洪。

儘管最常見的DDoS攻擊大致分為這三類，但某些攻擊可以是組合的。駭客可能會發起協議攻擊以造成干擾，然後啟動應用程式層攻擊，因為他們需要更多時間才能在應用程式層中查詢漏洞。這是一種稱為"混合攻擊"的新趨勢。

無論是正規的企業網站、遊戲網站、電子商務網站還是娛樂網站，很多站長都因各種網路攻擊而導致網站崩潰，伺服器被迫切斷網路，使正常使用者無法訪問，造成重大損失。為了解決這些問題，先進的防禦DDoS應運而生。

從技術角度來講，DDoS攻擊並不是一種單純的網路流量攻擊，而是一大類網路流量攻擊的統稱。它還包含了多種攻擊型別，包括：TCP—SYN Flood流量攻擊 、UDP Flood流量攻擊、ICMP Flood流量攻擊、ACK Flood流量攻擊等，以及其他變種型別的攻擊。

簡單來說對於企業而言，做好防禦DDoS工作，需要結合自身的環境和情況，如果有條件的話內部可以搭建自身的安全團隊，也可以選擇諮詢相關的雲服務商，把損失和風險降到最小！儘可能做到既可以控制開支成本，又能起到很好的防禦作用。

本文來自：https://www.zhuanqq.com/News/Industry/400.html