本人從事網(wǎng)絡(luò)安全行業(yè)20年。有15年防ddos攻擊防護(hù)經(jīng)驗(yàn)。被騙了很多回（都說(shuō)能防300G，500G，買完就防不住了），本文當(dāng)然重點(diǎn)給大家說(shuō)明，ddos攻擊是什么，中小企業(yè)如何防護(hù)，用到成本等。

2004年記得是，晚上我?guī)е�螺絲刀，晚上2點(diǎn)去機(jī)房維護(hù)，有ddos攻擊，被警察當(dāng)賊了，汗，那時(shí)華夏黑客同盟天天有攻擊，遠(yuǎn)程連接不上得去機(jī)房，機(jī)房也不知道ddos是什么只知道流量大，一句話，你中病毒了。電信通機(jī)房惠普大廈機(jī)房。

言歸正傳

首先我們說(shuō)說(shuō)ddos攻擊方式，記住一句話，這是一個(gè)世界級(jí)的難題并沒(méi)有解決辦法只能緩解

　　DDoS（Distributed Denial of Service，分布式拒絕服務(wù)）攻擊的主要目的是讓指定目標(biāo)無(wú)法提供正常服務(wù)，甚至從互聯(lián)網(wǎng)上消失，是目前最強(qiáng)大、最難防御的攻擊之一。這是一個(gè)世界級(jí)的難題并沒(méi)有解決辦法只能緩解.

　　按照發(fā)起的方式，DDoS可以簡(jiǎn)單分為三類。

　　第一類以力取勝，海量數(shù)據(jù)包從互聯(lián)網(wǎng)的各個(gè)角落蜂擁而來(lái)，堵塞IDC入口，讓各種強(qiáng)大的硬件防御系統(tǒng)、快速高效的應(yīng)急流程無(wú)用武之地。這種類型的攻擊典型代表是ICMP Flood和UDP Flood，現(xiàn)在已不常見(jiàn)。

　　第二類以巧取勝，靈動(dòng)而難以察覺(jué)，每隔幾分鐘發(fā)一個(gè)包甚至只需要一個(gè)包，就可以讓豪華配置的服務(wù)器不再響應(yīng)。這類攻擊主要是利用協(xié)議或者軟件的漏洞發(fā)起，例如Slowloris攻擊、Hash沖突攻擊等，需要特定環(huán)境機(jī)緣巧合下才能出現(xiàn)。

　　第三類是上述兩種的混合，輕靈渾厚兼而有之，既利用了協(xié)議、系統(tǒng)的缺陷，又具備了海量的流量，例如SYN Flood攻擊、DNS Query Flood攻擊，是當(dāng)前的主流攻擊方式。

本文將一一描述這些最常見(jiàn)、最具代表性攻擊方式，并介紹它們的防御方案。

SYN Flood

　　SYN Flood是互聯(lián)網(wǎng)上最經(jīng)典的DDoS攻擊方式之一，最早出現(xiàn)于1999年左右，雅虎是當(dāng)時(shí)最著名的受害者。SYN Flood攻擊利用了TCP三次握手的缺陷，能夠以較小代價(jià)使目標(biāo)服務(wù)器無(wú)法響應(yīng)，且難以追查。

標(biāo)準(zhǔn)的TCP三次握手過(guò)程如下：

1、客戶端發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，SYN即同步（Synchronize），同步報(bào)文會(huì)指明客戶端使用的端口以及TCP連接的初始序號(hào)；

2、服務(wù)器在收到客戶端的SYN報(bào)文后，將返回一個(gè)SYN+ACK（即確認(rèn)Acknowledgement）的報(bào)文，表示客戶端的請(qǐng)求被接受，同時(shí)TCP初始序號(hào)自動(dòng)加1；

3、客戶端也返回一個(gè)確認(rèn)報(bào)文ACK給服務(wù)器端，同樣TCP序列號(hào)被加1。

　　經(jīng)過(guò)這三步，TCP連接就建立完成。TCP協(xié)議為了實(shí)現(xiàn)可靠傳輸，在三次握手的過(guò)程中設(shè)置了一些異常處理機(jī)制。第三步中如果服務(wù)器沒(méi)有收到客戶端的最終ACK確認(rèn)報(bào)文，會(huì)一直處于SYN_RECV狀態(tài)，將客戶端IP加入等待列表，并重發(fā)第二步的SYN+ACK報(bào)文。重發(fā)一般進(jìn)行3-5次，大約間隔30秒左右輪詢一次等待列表重試所有客戶端。另一方面，服務(wù)器在自己發(fā)出了SYN+ACK報(bào)文后，會(huì)預(yù)分配資源為即將建立的TCP連接儲(chǔ)存信息做準(zhǔn)備，這個(gè)資源在等待重試期間一直保留。更為重要的是，服務(wù)器資源有限，可以維護(hù)的SYN_RECV狀態(tài)超過(guò)極限后就不再接受新的SYN報(bào)文，也就是拒絕新的TCP連接建立。

　　SYN Flood正是利用了上文中TCP協(xié)議的設(shè)定，達(dá)到攻擊的目的。攻擊者偽裝大量的IP地址給服務(wù)器發(fā)送SYN報(bào)文，由于偽造的IP地址幾乎不可能存在，也就幾乎沒(méi)有設(shè)備會(huì)給服務(wù)器返回任何應(yīng)答了。因此，服務(wù)器將會(huì)維持一個(gè)龐大的等待列表，不停地重試發(fā)送SYN+ACK報(bào)文，同時(shí)占用著大量的資源無(wú)法釋放。更為關(guān)鍵的是，被攻擊服務(wù)器的SYN_RECV隊(duì)列被惡意的數(shù)據(jù)包占滿，不再接受新的SYN請(qǐng)求，合法用戶無(wú)法完成三次握手建立起TCP連接。也就是說(shuō)，這個(gè)服務(wù)器被SYN Flood拒絕服務(wù)了。

對(duì)SYN Flood ddos攻擊軟件,有興趣的可以看看

http://www.77169.org/hack/201508/205870.shtm  我寫(xiě)的。

DNS Query Flood

　　作為互聯(lián)網(wǎng)最基礎(chǔ)、最核心的服務(wù)，DNS自然也是DDoS攻擊的重要目標(biāo)之一。打垮DNS服務(wù)能夠間接打垮一家公司的全部業(yè)務(wù)，或者打垮一個(gè)地區(qū)的網(wǎng)絡(luò)服務(wù)。前些時(shí)候風(fēng)頭正盛的黑客組織anonymous也曾經(jīng)宣布要攻擊全球互聯(lián)網(wǎng)的13臺(tái)根DNS服務(wù)器，不過(guò)最終沒(méi)有得手。

UDP攻擊是最容易發(fā)起海量流量的攻擊手段，而且源IP隨機(jī)偽造難以追查。但過(guò)濾比較容易，因?yàn)榇蠖鄶?shù)IP并不提供UDP服務(wù)，直接丟棄UDP流量即可。所以現(xiàn)在純粹的UDP流量攻擊比較少見(jiàn)了，取而代之的是UDP協(xié)議承載的DNS Query Flood攻擊。簡(jiǎn)單地說(shuō)，越上層協(xié)議上發(fā)動(dòng)的DDoS攻擊越難以防御，因?yàn)閰f(xié)議越上層，與業(yè)務(wù)關(guān)聯(lián)越大，防御系統(tǒng)面臨的情況越復(fù)雜。

　　DNS Query Flood就是攻擊者操縱大量傀儡機(jī)器，對(duì)目標(biāo)發(fā)起海量的域名查詢請(qǐng)求。為了防止基于ACL的過(guò)濾，必須提高數(shù)據(jù)包的隨機(jī)性。常用的做法是UDP層隨機(jī)偽造源IP地址、隨機(jī)偽造源端口等參數(shù)。在DNS協(xié)議層，隨機(jī)偽造查詢ID以及待解析域名。隨機(jī)偽造待解析域名除了防止過(guò)濾外，還可以降低命中DNS緩存的可能性，盡可能多地消耗DNS服務(wù)器的CPU資源。

關(guān)于DNS Query Flood的代碼，我在2011年7月為了測(cè)試服務(wù)器性能曾經(jīng)寫(xiě)過(guò)一份代碼，鏈接是http://www.icylife.net/yunshu/show.php?id=832。同樣的，這份代碼人為降低了攻擊性，只做測(cè)試用途。

HTTP Flood

　　上文描述的SYN Flood、DNS Query Flood在現(xiàn)階段已經(jīng)能做到有效防御了，真正令各大廠商以及互聯(lián)網(wǎng)企業(yè)頭疼的是HTTP Flood攻擊。HTTP Flood是針對(duì)Web服務(wù)在第七層協(xié)議發(fā)起的攻擊。它的巨大危害性主要表現(xiàn)在三個(gè)方面：發(fā)起方便、過(guò)濾困難、影響深遠(yuǎn)。

SYN Flood和DNS Query Flood都需要攻擊者以root權(quán)限控制大批量的傀儡機(jī)。收集大量root權(quán)限的傀儡機(jī)很花費(fèi)時(shí)間和精力，而且在攻擊過(guò)程中傀儡機(jī)會(huì)由于流量異常被管理員發(fā)現(xiàn)，攻擊者的資源快速損耗而補(bǔ)充緩慢，導(dǎo)致攻擊強(qiáng)度明顯降低而且不可長(zhǎng)期持續(xù)。HTTP Flood攻擊則不同，攻擊者并不需要控制大批的傀儡機(jī)，取而代之的是通過(guò)端口掃描程序在互聯(lián)網(wǎng)上尋找匿名的HTTP代理或者SOCKS代理，攻擊者通過(guò)匿名代理對(duì)攻擊目標(biāo)發(fā)起HTTP請(qǐng)求。匿名代理是一種比較豐富的資源，花幾天時(shí)間獲取代理并不是難事，因此攻擊容易發(fā)起而且可以長(zhǎng)期高強(qiáng)度的持續(xù)。

　　另一方面，HTTP Flood攻擊在HTTP層發(fā)起，極力模仿正常用戶的網(wǎng)頁(yè)請(qǐng)求行為，與網(wǎng)站業(yè)務(wù)緊密相關(guān)，安全廠商很難提供一套通用的且不影響用戶體驗(yàn)的方案。在一個(gè)地方工作得很好的規(guī)則，換一個(gè)場(chǎng)景可能帶來(lái)大量的誤殺。

　　最后，HTTP Flood攻擊會(huì)引起嚴(yán)重的連鎖反應(yīng)，不僅僅是直接導(dǎo)致被攻擊的Web前端響應(yīng)緩慢，還間接攻擊到后端的Java等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫(kù)服務(wù)，增大它們的壓力，甚至對(duì)日志存儲(chǔ)服務(wù)器都帶來(lái)影響。

　　有意思的是，HTTP Flood還有個(gè)頗有歷史淵源的昵稱叫做CC攻擊。CC是Challenge Collapsar的縮寫(xiě)，而Collapsar是國(guó)內(nèi)一家著名安全公司的DDoS防御設(shè)備。從目前的情況來(lái)看，不僅僅是Collapsar，所有的硬件防御設(shè)備都還在被挑戰(zhàn)著，風(fēng)險(xiǎn)并未解除。

慢速連接攻擊

　　提起攻擊，第一反應(yīng)就是海量的流量、海量的報(bào)文。但有一種攻擊卻反其道而行之，以慢著稱，以至于有些攻擊目標(biāo)被打死了都不知道是怎么死的，這就是慢速連接攻擊，最具代表性的是rsnake發(fā)明的Slowloris。　　

　　HTTP協(xié)議規(guī)定，HTTP Request以\r\n\r\n結(jié)尾表示客戶端發(fā)送結(jié)束，服務(wù)端開(kāi)始處理。那么，如果永遠(yuǎn)不發(fā)送\r\n\r\n會(huì)如何？Slowloris就是利用這一點(diǎn)來(lái)做DDoS攻擊的。攻擊者在HTTP請(qǐng)求頭中將Connection設(shè)置為Keep-Alive，要求Web Server保持TCP連接不要斷開(kāi)，隨后緩慢地每隔幾分鐘發(fā)送一個(gè)key-value格式的數(shù)據(jù)到服務(wù)端，如a:b\r\n，導(dǎo)致服務(wù)端認(rèn)為HTTP頭部沒(méi)有接收完成而一直等待。如果攻擊者使用多線程或者傀儡機(jī)來(lái)做同樣的操作，服務(wù)器的Web容器很快就被攻擊者占滿了TCP連接而不再接受新的請(qǐng)求。

很快的，Slowloris開(kāi)始出現(xiàn)各種變種。比如POST方法向Web Server提交數(shù)據(jù)、填充一大大Content-Length但緩慢的一個(gè)字節(jié)一個(gè)字節(jié)的POST真正數(shù)據(jù)內(nèi)容等等。關(guān)于Slowloris攻擊，rsnake也給出了一個(gè)測(cè)試代碼，參見(jiàn)http://ha.ckers.org/slowloris/slowloris.pl。

DDoS攻擊進(jìn)階

混合攻擊

　　以上介紹了幾種基礎(chǔ)的攻擊手段，其中任意一種都可以用來(lái)攻擊網(wǎng)絡(luò)，甚至擊垮阿里、百度、騰訊這種巨型網(wǎng)站。但這些并不是全部，不同層次的攻擊者能夠發(fā)起完全不同的DDoS攻擊，運(yùn)用之妙，存乎一心。

高級(jí)攻擊者從來(lái)不會(huì)使用單一的手段進(jìn)行攻擊，而是根據(jù)目標(biāo)環(huán)境靈活組合。普通的SYN Flood容易被流量清洗設(shè)備通過(guò)反向探測(cè)、SYN Cookie等技術(shù)手段過(guò)濾掉，但如果在SYN Flood中混入SYN+ACK數(shù)據(jù)包，使每一個(gè)偽造的SYN數(shù)據(jù)包都有一個(gè)與之對(duì)應(yīng)的偽造的客戶端確認(rèn)報(bào)文，這里的對(duì)應(yīng)是指源IP地址、源端口、目的IP、目的端口、TCP窗口大小、TTL等都符合同一個(gè)主機(jī)同一個(gè)TCP Flow的特征，流量清洗設(shè)備的反向探測(cè)和SYN Cookie性能壓力將會(huì)顯著增大。其實(shí)SYN數(shù)據(jù)報(bào)文配合其他各種標(biāo)志位，都有特殊的攻擊效果，這里不一一介紹。對(duì)DNS Query Flood而言，也有獨(dú)特的技巧。

　　首先，DNS可以分為普通DNS和授權(quán)域DNS，攻擊普通DNS，IP地址需要隨機(jī)偽造，并且指明服務(wù)器要求做遞歸解析；但攻擊授權(quán)域DNS，偽造的源IP地址則不應(yīng)該是純隨機(jī)的，而應(yīng)該是事先收集的全球各地ISP的DNS地址，這樣才能達(dá)到最大攻擊效果，使流量清洗設(shè)備處于添加IP黑名單還是不添加IP黑名單的尷尬處境。添加會(huì)導(dǎo)致大量誤殺，不添加黑名單則每個(gè)報(bào)文都需要反向探測(cè)從而加大性能壓力。

另一方面，前面提到，為了加大清洗設(shè)備的壓力不命中緩存而需要隨機(jī)化請(qǐng)求的域名，但需要注意的是，待解析域名必須在偽造中帶有一定的規(guī)律性，比如說(shuō)只偽造域名的某一部分而固化一部分，用來(lái)突破清洗設(shè)備設(shè)置的白名單。道理很簡(jiǎn)單，騰訊的服務(wù)器可以只解析騰訊的域名，完全隨機(jī)的域名可能會(huì)直接被丟棄，需要固化。但如果完全固定，也很容易直接被丟棄，因此又需要偽造一部分。

　　其次，對(duì)DNS的攻擊不應(yīng)該只著重于UDP端口，根據(jù)DNS協(xié)議，TCP端口也是標(biāo)準(zhǔn)服務(wù)。在攻擊時(shí)，可以UDP和TCP攻擊同時(shí)進(jìn)行。

HTTP Flood的著重點(diǎn)，在于突破前端的cache，通過(guò)HTTP頭中的字段設(shè)置直接到達(dá)Web Server本身。另外，HTTP Flood對(duì)目標(biāo)的選取也非常關(guān)鍵，一般的攻擊者會(huì)選擇搜索之類需要做大量數(shù)據(jù)查詢的頁(yè)面作為攻擊目標(biāo)，這是非常正確的，可以消耗服務(wù)器盡可能多的資源。但這種攻擊容易被清洗設(shè)備通過(guò)人機(jī)識(shí)別的方式識(shí)別出來(lái)，那么如何解決這個(gè)問(wèn)題？很簡(jiǎn)單，盡量選擇正常用戶也通過(guò)APP訪問(wèn)的頁(yè)面，一般來(lái)說(shuō)就是各種Web API。正常用戶和惡意流量都是來(lái)源于APP，人機(jī)差別很小，基本融為一體難以區(qū)分。

　　之類的慢速攻擊，是通過(guò)巧妙的手段占住連接不釋放達(dá)到攻擊的目的，但這也是雙刃劍，每一個(gè)TCP連接既存在于服務(wù)端也存在于自身，自身也需要消耗資源維持TCP狀態(tài)，因此連接不能保持太多。如果可以解決這一點(diǎn)，攻擊性會(huì)得到極大增強(qiáng)，也就是說(shuō)Slowloris可以通過(guò)stateless的方式發(fā)動(dòng)攻擊，在客戶端通過(guò)嗅探捕獲TCP的序列號(hào)和確認(rèn)維護(hù)TCP連接，系統(tǒng)內(nèi)核無(wú)需關(guān)注TCP的各種狀態(tài)變遷，一臺(tái)筆記本即可產(chǎn)生多達(dá)65535個(gè)TCP連接。

　　前面描述的，都是技術(shù)層面的攻擊增強(qiáng)。在人的方面，還可以有一些別的手段。如果SYN Flood發(fā)出大量數(shù)據(jù)包正面強(qiáng)攻，再輔之以Slowloris慢速連接，多少人能夠發(fā)現(xiàn)其中的秘密？即使服務(wù)器宕機(jī)了也許還只發(fā)現(xiàn)了SYN攻擊想去加強(qiáng)TCP層清洗而忽視了應(yīng)用層的行為。種種攻擊都可以互相配合，達(dá)到最大的效果。攻擊時(shí)間的選擇，也是一大關(guān)鍵，比如說(shuō)選擇維護(hù)人員吃午飯時(shí)、維護(hù)人員下班堵在路上或者在地鐵里無(wú)線上網(wǎng)卡都沒(méi)有信號(hào)時(shí)、目標(biāo)企業(yè)在舉行大規(guī)�；顒�(dòng)流量飆升時(shí)等。

這里描述的只是純粹的攻擊行為，因此不提供代碼，也不做深入介紹。

來(lái)自P2P網(wǎng)絡(luò)的攻擊

　　前面的攻擊方式，多多少少都需要一些傀儡機(jī)，即使是HTTP Flood也需要搜索大量的匿名代理。如果有一種攻擊，只需要發(fā)出一些指令，就有機(jī)器自動(dòng)上來(lái)執(zhí)行，才是完美的方案。這種攻擊已經(jīng)出現(xiàn)了，那就是來(lái)自P2P網(wǎng)絡(luò)的攻擊。

大家都知道，互聯(lián)網(wǎng)上的P2P用戶和流量都是一個(gè)極為龐大的數(shù)字。如果他們都去一個(gè)指定的地方下載數(shù)據(jù)，使成千上萬(wàn)的真實(shí)IP地址連接過(guò)來(lái)，沒(méi)有哪個(gè)設(shè)備能夠支撐住。拿BT下載來(lái)說(shuō)，偽造一些熱門視頻的種子，發(fā)布到搜索引擎，就足以騙到許多用戶和流量了，但這只是基礎(chǔ)攻擊。

高級(jí)P2P攻擊，是直接欺騙資源管理服務(wù)器。如迅雷客戶端會(huì)把自己發(fā)現(xiàn)的資源上傳到資源管理服務(wù)器，然后推送給其他需要下載相同資源的用戶，這樣，一個(gè)鏈接就發(fā)布出去。通過(guò)協(xié)議逆向，攻擊者偽造出大批量的熱門資源信息通過(guò)資源管理中心分發(fā)出去，瞬間就可以傳遍整個(gè)P2P網(wǎng)絡(luò)。更為恐怖的是，這種攻擊是無(wú)法停止的，即使是攻擊者自身也無(wú)法停止，攻擊一直持續(xù)到P2P官方發(fā)現(xiàn)問(wèn)題更新服務(wù)器且下載用戶重啟下載軟件時(shí)為止。

CC

　　ChallengeCollapsar的名字源于挑戰(zhàn)國(guó)內(nèi)知名安全廠商綠盟的抗DDOS設(shè)備-“黑洞”，通過(guò)botnet的傀儡主機(jī)或?qū)ふ夷涿�代理服�?wù)器，向目標(biāo)發(fā)起大量真實(shí)的http請(qǐng)求，最終消耗掉大量的并發(fā)資源，拖慢整個(gè)網(wǎng)站甚至徹底拒絕服務(wù)。

　　互聯(lián)網(wǎng)的架構(gòu)追求擴(kuò)展性本質(zhì)上是為了提高并發(fā)能力，各種SQL性能優(yōu)化措施：消除慢查詢、分表分庫(kù)、索引、優(yōu)化數(shù)據(jù)結(jié)構(gòu)、限制搜索頻率等本質(zhì)都是為了解決資源消耗，而CC大有反其道而行之的意味，占滿服務(wù)器并發(fā)連接數(shù)，盡可能使請(qǐng)求避開(kāi)緩存而直接讀數(shù)據(jù)庫(kù)，讀數(shù)據(jù)庫(kù)要找最消耗資源的查詢，最好無(wú)法利用索引，每個(gè)查詢都全表掃描，這樣就能用最小的攻擊資源起到最大的拒絕服務(wù)效果。

　　互聯(lián)網(wǎng)產(chǎn)品和服務(wù)依靠數(shù)據(jù)分析來(lái)驅(qū)動(dòng)改進(jìn)和持續(xù)運(yùn)營(yíng)，所以除了前端的APP、中間件和數(shù)據(jù)庫(kù)這類OLTP系統(tǒng)，后面還有OLAP，從日志收集，存儲(chǔ)到數(shù)據(jù)處理和分析的大數(shù)據(jù)平臺(tái)，當(dāng)CC攻擊發(fā)生時(shí)，不僅OLTP的部分受到了影響，實(shí)際上CC會(huì)產(chǎn)生大量日志，直接會(huì)對(duì)后面的OLAP產(chǎn)生影響，影響包括兩個(gè)層面，一個(gè)當(dāng)日的數(shù)據(jù)統(tǒng)計(jì)完全是錯(cuò)誤的。第二個(gè)層面因CC期間訪問(wèn)日志劇增也會(huì)加大后端數(shù)據(jù)處理的負(fù)擔(dān)。

　　CC是目前應(yīng)用層攻擊的主要手段之一，在防御上有一些方法，但不能完美解決這個(gè)問(wèn)題。

反射型

　　2004年時(shí)DRDOS第一次披露，通過(guò)將SYN包的源地址設(shè)置為目標(biāo)地址，然后向大量的

　　真實(shí)TCP服務(wù)器發(fā)送TCP的SYN包，而這些收到SYN包的TCP server為了完成3次握手把SYN|ACK包“應(yīng)答”給目標(biāo)地址，完成了一次“反射”攻擊，攻擊者隱藏了自身，但有個(gè)問(wèn)題是攻擊者制造的流量和目標(biāo)收到的攻擊流量是1:1，且SYN|ACK包到達(dá)目標(biāo)后馬上被回以RST包，整個(gè)攻擊的投資回報(bào)率不高。

　　反射型攻擊的本質(zhì)是利用“質(zhì)詢-應(yīng)答”式協(xié)議，將質(zhì)詢包的源地址通過(guò)原始套接字偽造設(shè)置為目標(biāo)地址，則應(yīng)答的“回包”都被發(fā)送至目標(biāo)，如果回包體積比較大或協(xié)議支持遞歸效果，攻擊流量會(huì)被放大，成為一種高性價(jià)比的流量型攻擊。

　　反射型攻擊利用的協(xié)議目前包括NTP、Chargen、SSDP、DNS、RPC portmap等等。

　　流量放大型

以上面提到的DRDOS中常見(jiàn)的SSDP協(xié)議為例，攻擊者將Searchtype設(shè)置為ALL，搜索所有可用的設(shè)備和服務(wù)，這種遞歸效果產(chǎn)生的放大倍數(shù)是非常大的，攻擊者只需要以較小的偽造源地址的查詢流量就可以制造出幾十甚至上百倍的應(yīng)答流量發(fā)送至目標(biāo)。

防御基礎(chǔ)

  攻擊流量到底多大，這是一個(gè)關(guān)鍵問(wèn)題。攻擊量的大小。用的防護(hù)方法不一樣。下面給你講一講，1G之內(nèi)的防護(hù)方式。費(fèi)用在，<1萬(wàn)，每月

　　談到DDoS防御，首先就是要知道到底遭受了多大的攻擊。這個(gè)問(wèn)題看似簡(jiǎn)單，實(shí)際上卻有很多不為人知的細(xì)節(jié)在里面。

以SYN Flood為例，為了提高發(fā)送效率在服務(wù)端產(chǎn)生更多的SYN等待隊(duì)列，攻擊程序在填充包頭時(shí)，IP首部和TCP首部都不填充可選的字段，因此IP首部長(zhǎng)度恰好是20字節(jié)，TCP首部也是20字節(jié)，共40字節(jié)。

對(duì)于以太網(wǎng)來(lái)說(shuō)，最小的包長(zhǎng)度數(shù)據(jù)段必須達(dá)到46字節(jié)，而攻擊報(bào)文只有40字節(jié)，因此，網(wǎng)卡在發(fā)送時(shí)，會(huì)做一些處理，在TCP首部的末尾，填充6個(gè)0來(lái)滿足最小包的長(zhǎng)度要求。這個(gè)時(shí)候，整個(gè)數(shù)據(jù)包的長(zhǎng)度為14字節(jié)的以太網(wǎng)頭，20字節(jié)的IP頭，20字節(jié)的TCP頭，再加上因?yàn)樽钚“�長(zhǎng)度要求而填充的6個(gè)字節(jié)的0，一共是60字節(jié)。

但這還沒(méi)有結(jié)束。以太網(wǎng)在傳輸數(shù)據(jù)時(shí)，還有CRC檢驗(yàn)的要求。網(wǎng)卡會(huì)在發(fā)送數(shù)據(jù)之前對(duì)數(shù)據(jù)包進(jìn)行CRC檢驗(yàn)，將4字節(jié)的CRC值附加到包頭的最后面。這個(gè)時(shí)候，數(shù)據(jù)包長(zhǎng)度已不再是40字節(jié)，而是變成64字節(jié)了，這就是常說(shuō)的SYN小包攻擊，數(shù)據(jù)包結(jié)構(gòu)如下：

|14字節(jié)以太網(wǎng)頭部|20字節(jié)IP頭部|20字節(jié)TCP|6字節(jié)填充|4字節(jié)檢驗(yàn)|

|目的MAC|源MAC|協(xié)議類型| IP頭 |TCP頭|以太網(wǎng)填充 | CRC檢驗(yàn) |

到64字節(jié)時(shí)，SYN數(shù)據(jù)包已經(jīng)填充完成，準(zhǔn)備開(kāi)始傳輸了。攻擊數(shù)據(jù)包很小，遠(yuǎn)遠(yuǎn)不夠最大傳輸單元（MTU）的1500字節(jié)，因此不會(huì)被分片。那么這些數(shù)據(jù)包就像生產(chǎn)流水線上的罐頭一樣，一個(gè)包連著一個(gè)包緊密地?cái)D在一起傳輸嗎？事實(shí)上不是這樣的。

以太網(wǎng)在傳輸時(shí)，還有前導(dǎo)碼（preamble）和幀間距（inter-frame gap）。其中前導(dǎo)碼占8字節(jié)（byte），即64比特位。前導(dǎo)碼前面的7字節(jié)都是10101010，1和0間隔而成。但第八個(gè)字節(jié)就變成了10101011，當(dāng)主機(jī)監(jiān)測(cè)到連續(xù)的兩個(gè)1時(shí)，就知道后面開(kāi)始是數(shù)據(jù)了。在網(wǎng)絡(luò)傳輸時(shí)，數(shù)據(jù)的結(jié)構(gòu)如下：

|8字節(jié)前導(dǎo)碼|6字節(jié)目的MAC地址|6字節(jié)源MAC地址|2字節(jié)上層協(xié)議類型|20字節(jié)IP頭|20字節(jié)TCP頭|6字節(jié)以太網(wǎng)填充|4字節(jié)CRC檢驗(yàn)|12字節(jié)幀間距|

也就是說(shuō)，一個(gè)本來(lái)只有40字節(jié)的SYN包，在網(wǎng)絡(luò)上傳輸時(shí)占的帶寬，其實(shí)是84字節(jié)。

有了上面的基礎(chǔ)，現(xiàn)在可以開(kāi)始計(jì)算攻擊流量和網(wǎng)絡(luò)設(shè)備的線速問(wèn)題了。當(dāng)只填充IP頭和TCP頭的最小SYN包跑在以太網(wǎng)絡(luò)上時(shí)，100Mbit的網(wǎng)絡(luò)，能支持的最大PPS（Packet Per Second）是100×106 / (8 * (64+8+12)) = 148809，1000Mbit的網(wǎng)絡(luò)，能支持的最大PPS是1488090。

SYN Flood防御

前文描述過(guò)，SYN Flood攻擊大量消耗服務(wù)器的CPU、內(nèi)存資源，并占滿SYN等待隊(duì)列。相應(yīng)的，我們修改內(nèi)核參數(shù)即可有效緩解。主要參數(shù)如下：

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_max_syn_backlog = 8192

net.ipv4.tcp_synack_retries = 2

分別為啟用SYN Cookie、設(shè)置SYN最大隊(duì)列長(zhǎng)度以及設(shè)置SYN+ACK最大重試次數(shù)。

SYN Cookie的作用是緩解服務(wù)器資源壓力。啟用之前，服務(wù)器在接到SYN數(shù)據(jù)包后，立即分配存儲(chǔ)空間，并隨機(jī)化一個(gè)數(shù)字作為SYN號(hào)發(fā)送SYN+ACK數(shù)據(jù)包。然后保存連接的狀態(tài)信息等待客戶端確認(rèn)。啟用SYN Cookie之后，服務(wù)器不再分配存儲(chǔ)空間，而且通過(guò)基于時(shí)間種子的隨機(jī)數(shù)算法設(shè)置一個(gè)SYN號(hào)，替代完全隨機(jī)的SYN號(hào)。發(fā)送完SYN+ACK確認(rèn)報(bào)文之后，清空資源不保存任何狀態(tài)信息。直到服務(wù)器接到客戶端的最終ACK包，通過(guò)Cookie檢驗(yàn)算法鑒定是否與發(fā)出去的SYN+ACK報(bào)文序列號(hào)匹配，匹配則通過(guò)完成握手，失敗則丟棄。當(dāng)然，前文的高級(jí)攻擊中有SYN混合ACK的攻擊方法，則是對(duì)此種防御方法的反擊，其中優(yōu)劣由雙方的硬件配置決定

tcp_max_syn_backlog則是使用服務(wù)器的內(nèi)存資源，換取更大的等待隊(duì)列長(zhǎng)度，讓攻擊數(shù)據(jù)包不至于占滿所有連接而導(dǎo)致正常用戶無(wú)法完成握手。net.ipv4.tcp_synack_retries是降低服務(wù)器SYN+ACK報(bào)文重試次數(shù)，盡快釋放等待資源。這三種措施與攻擊的三種危害一一對(duì)應(yīng)，完完全全地對(duì)癥下藥。但這些措施也是雙刃劍，可能消耗服務(wù)器更多的內(nèi)存資源，甚至影響正常用戶建立TCP連接，需要評(píng)估服務(wù)器硬件資源和攻擊大小謹(jǐn)慎設(shè)置。

除了定制TCP/IP協(xié)議棧之外，還有一種常見(jiàn)做法是TCP首包丟棄方案，利用TCP協(xié)議的重傳機(jī)制識(shí)別正常用戶和攻擊報(bào)文。當(dāng)防御設(shè)備接到一個(gè)IP地址的SYN報(bào)文后，簡(jiǎn)單比對(duì)該IP是否存在于白名單中，存在則轉(zhuǎn)發(fā)到后端。如不存在于白名單中，檢查是否是該IP在一定時(shí)間段內(nèi)的首次SYN報(bào)文，不是則檢查是否重傳報(bào)文，是重傳則轉(zhuǎn)發(fā)并加入白名單，不是則丟棄并加入黑名單。是首次SYN報(bào)文則丟棄并等待一段時(shí)間以試圖接受該IP的SYN重傳報(bào)文，等待超時(shí)則判定為攻擊報(bào)文加入黑名單。

首包丟棄方案對(duì)用戶體驗(yàn)會(huì)略有影響，因?yàn)閬G棄首包重傳會(huì)增大業(yè)務(wù)的響應(yīng)時(shí)間，有鑒于此發(fā)展出了一種更優(yōu)的TCP Proxy方案。所有的SYN數(shù)據(jù)報(bào)文由清洗設(shè)備接受，按照SYN Cookie方案處理。和設(shè)備成功建立了TCP三次握手的IP地址被判定為合法用戶加入白名單，由設(shè)備偽裝真實(shí)客戶端IP地址再與真實(shí)服務(wù)器完成三次握手，隨后轉(zhuǎn)發(fā)數(shù)據(jù)。而指定時(shí)間內(nèi)沒(méi)有和設(shè)備完成三次握手的IP地址，被判定為惡意IP地址屏蔽一定時(shí)間。除了SYN Cookie結(jié)合TCP Proxy外，清洗設(shè)備還具備多種畸形TCP標(biāo)志位數(shù)據(jù)包探測(cè)的能力，通過(guò)對(duì)SYN報(bào)文返回非預(yù)期應(yīng)答測(cè)試客戶端反應(yīng)的方式來(lái)鑒別正常訪問(wèn)和惡意行為。

清洗設(shè)備的硬件具有特殊的網(wǎng)絡(luò)處理器芯片和特別優(yōu)化的操作系統(tǒng)、TCP/IP協(xié)議棧，可以處理非常巨大的流量和SYN隊(duì)列。

HTTP Flood防御

HTTP Flood攻擊防御主要通過(guò)緩存的方式進(jìn)行，盡量由設(shè)備的緩存直接返回結(jié)果來(lái)保護(hù)后端業(yè)務(wù)。大型的互聯(lián)網(wǎng)企業(yè)，會(huì)有龐大的CDN節(jié)點(diǎn)緩存內(nèi)容。

當(dāng)高級(jí)攻擊者穿透緩存時(shí)，清洗設(shè)備會(huì)截獲HTTP請(qǐng)求做特殊處理。最簡(jiǎn)單的方法就是對(duì)源IP的HTTP請(qǐng)求頻率做統(tǒng)計(jì)，高于一定頻率的IP地址加入黑名單。這種方法過(guò)于簡(jiǎn)單，容易帶來(lái)誤殺，并且無(wú)法屏蔽來(lái)自代理服務(wù)器的攻擊，因此逐漸廢止，取而代之的是JavaScript跳轉(zhuǎn)人機(jī)識(shí)別方案。

HTTP Flood是由程序模擬HTTP請(qǐng)求，一般來(lái)說(shuō)不會(huì)解析服務(wù)端返回?cái)?shù)據(jù)，更不會(huì)解析JS之類代碼。因此當(dāng)清洗設(shè)備截獲到HTTP請(qǐng)求時(shí)，返回一段特殊JavaScript代碼，正常用戶的瀏覽器會(huì)處理并正常跳轉(zhuǎn)不影響使用，而攻擊程序會(huì)攻擊到空處。

DNS Flood防御

DNS攻擊防御也有類似HTTP的防御手段，第一方案是緩存。其次是重發(fā)，可以是直接丟棄DNS報(bào)文導(dǎo)致UDP層面的請(qǐng)求重發(fā)，可以是返回特殊響應(yīng)強(qiáng)制要求客戶端使用TCP協(xié)議重發(fā)DNS查詢請(qǐng)求。

特殊的，對(duì)于授權(quán)域DNS的保護(hù)，設(shè)備會(huì)在業(yè)務(wù)正常時(shí)期提取收到的DNS域名列表和ISP DNS IP列表備用，在攻擊時(shí)，非此列表的請(qǐng)求一律丟棄，大幅降低性能壓力。對(duì)于域名，實(shí)行同樣的域名白名單機(jī)制，非白名單中的域名解析請(qǐng)求，做丟棄處理。

慢速連接攻擊防御

Slowloris攻擊防御比較簡(jiǎn)單，主要方案有兩個(gè)。

第一個(gè)是統(tǒng)計(jì)每個(gè)TCP連接的時(shí)長(zhǎng)并計(jì)算單位時(shí)間內(nèi)通過(guò)的報(bào)文數(shù)量即可做精確識(shí)別。一個(gè)TCP連接中，HTTP報(bào)文太少和報(bào)文太多都是不正常的，過(guò)少可能是慢速連接攻擊，過(guò)多可能是使用HTTP 1.1協(xié)議進(jìn)行的HTTP Flood攻擊，在一個(gè)TCP連接中發(fā)送多個(gè)HTTP請(qǐng)求。

第二個(gè)是限制HTTP頭部傳輸?shù)淖畲笤S可時(shí)間。超過(guò)指定時(shí)間HTTP Header還沒(méi)有傳輸完成，直接判定源IP地址為慢速連接攻擊，中斷連接并加入黑名單。

～～～～～～～～～～～～～～～～～～～～～·

下面我們細(xì)說(shuō)一下，不同攻擊量對(duì)應(yīng)對(duì)方式

如果超過(guò)，>10G 攻擊，如果大于10G攻擊軟件防護(hù)就扯蛋，

下面記住一句話，防ddos攻擊大小于取決于你帶寬的大小，與軟件沒(méi)關(guān)系。

國(guó)內(nèi)現(xiàn)在100M帶寬一個(gè)月就，便宜的8000，貴的2萬(wàn)多，1G帶寬，8萬(wàn)，10G帶寬，80萬(wàn)，你確定要自己防護(hù)？

業(yè)務(wù)邏輯很很多種，每家都不太一樣，

WEB類型，這個(gè)是攻擊最多，防護(hù)方案更廣，可以選擇國(guó)內(nèi)，國(guó)外，cdn加速等，

游戲類型，這個(gè)必須得放在國(guó)內(nèi)，放國(guó)外太卡，掉線，沒(méi)人玩了

解決辦法就是找第三方防ddos解決商，

10~50G防護(hù)，國(guó)內(nèi)很多機(jī)房都可以防護(hù)，問(wèn)題你給的錢夠不夠idc機(jī)房是否給你防護(hù)，他們防護(hù)示意圖，

機(jī)房有一個(gè)總帶寬，如果你攻擊帶寬太大就影響他正常客戶，他就會(huì)找各種借口給你ip屏蔽。

很多攻擊持續(xù)的時(shí)間非常短，通常5分鐘以內(nèi)，流量圖上表現(xiàn)為突刺狀的脈沖。

實(shí)際對(duì)機(jī)房沒(méi)有什么影響，但是機(jī)房就給你ip屏蔽了，這個(gè)用于攻擊游戲類網(wǎng)站，搞一會(huì)一掉線，用戶全掉光了，

50G之間，單機(jī)防護(hù)，浙江，江蘇，廣東，都可以防都可以防護(hù)，月成本，2萬(wàn)左右，（價(jià)格說(shuō)小于1萬(wàn)那就是騙子，已經(jīng)測(cè)試過(guò)）

網(wǎng)上很多說(shuō)無(wú)視，320G防護(hù)，全是吹牛的，他說(shuō)的320G，應(yīng)當(dāng)就是udp攻擊，因?yàn)殡娦派蠈咏o屏蔽了udp帶寬，

廣東有雙線，合適放游戲類網(wǎng)站，速度快，防護(hù)還可以，

廣東有些ip是屏蔽國(guó)外的流量，還有屏蔽聯(lián)通的流量，意思就是除了電信的別的地方的流量都過(guò)不來(lái)，

就像這個(gè)ISP近源清洗

100～200G之個(gè)，這個(gè)現(xiàn)在是關(guān)鍵了，現(xiàn)在攻擊這個(gè)是最多的，游戲類網(wǎng)站如果有怎么大攻擊放國(guó)內(nèi)，現(xiàn)在能有怎么大防護(hù)的，電信，廣東，福州，廣西，聯(lián)通，有大連，

福州買過(guò)，2萬(wàn)多一個(gè)月，說(shuō)防300G，130G就給封了，騙子，dns防護(hù)也不行，10G左右的dns攻擊直接搞死了

廣東機(jī)房買過(guò)，3萬(wàn)一個(gè)月，100g 就給封了，不過(guò)廣東可以秒解，買200個(gè)ip，還是能防一會(huì)，廣東的直接訪問(wèn)不了dns,機(jī)房做策略了。

  廣西，這個(gè)正測(cè)試，前幾天放了dns在廣西機(jī)房，打死了。

DNS攻擊防護(hù)也是重點(diǎn)，買了dnspod的最貴那個(gè)版本3萬(wàn)多/年，封了，dnspod也，老吳不在那了嗎？搞別的去了，現(xiàn)在真是垃圾，指著dnspod防護(hù)差遠(yuǎn)了，我給大家介紹一下，google有dns防護(hù)，好用，比dnspod便宜很多，還有CF，也非常好，200刀，沒(méi)打死過(guò)。

上面就浪費(fèi)十來(lái)萬(wàn)，測(cè)試dns測(cè)試100G防護(hù)，總結(jié)的經(jīng)驗(yàn)，

游戲的只能放國(guó)內(nèi)，還得看是udp,還是tcp，所以防護(hù)范圍小。

WEB的防護(hù)比較多，可以考慮放國(guó)外，

現(xiàn)在國(guó)外比較能吹的，

美國(guó)SK機(jī)房，防100G，買了，安排機(jī)器花了2天，這個(gè)攻擊完了ip,封1小時(shí)，真心不行。機(jī)房還老掉線，花了1萬(wàn)左右可能一個(gè)月，

美國(guó)hs機(jī)房，防80G，一個(gè)月8萬(wàn)，買了，打死了，他防到40G左右就給你封了，也跟騙子差不多，說(shuō)是要加到200G防護(hù)，沒(méi)看到，

美國(guó)CD機(jī)房，最后花了>10萬(wàn)每月，找的他們老板防住了，但是dns防護(hù)不行。

還有一家機(jī)房可以推薦，加拿大機(jī)房，單機(jī)防160G，集群480G，不封ip，防護(hù)還可以，缺點(diǎn)，卡，國(guó)內(nèi)ping掉包，8000左右一個(gè)月，20元一個(gè)ip,

上面速度最快的是hs機(jī)房國(guó)內(nèi)，150ms左右，沒(méi)攻擊的時(shí)候用用還行，有攻擊防護(hù)差點(diǎn)意思。

我不是給機(jī)房做廣告，我只是總結(jié)我最近防護(hù)的經(jīng)驗(yàn)，國(guó)內(nèi)可以放免備案的機(jī)房也有，資源聯(lián)系方式，dns防攻擊500G，都可以，你聯(lián)系我。我可以免費(fèi)告訴你這些資源的聯(lián)系方式，

～～～～～～～～～～～～～～～～～～～～～～～～～～

最后說(shuō)一下，云加速，

國(guó)內(nèi)的云盾，收費(fèi)死貴，防護(hù)不行，別看他家的了。

阿里云防護(hù)，單機(jī)防4個(gè)G，不貴，小企業(yè)可以用，缺點(diǎn)得備案，還有如果你有非法信息，他們可以直接給報(bào)官了（最垃圾的是這點(diǎn)）

百度云加速，說(shuō)是防1T攻擊，我認(rèn)真研究了一下，他是聯(lián)合，國(guó)外的CF云加速，電信的云堤（近源清洗）說(shuō)能防1T，攻擊400G他轉(zhuǎn)到CF國(guó)外，國(guó)內(nèi)600G攻擊，全是云堤防護(hù)的，

什么是近源清洗，就是江蘇有攻擊，到電信江蘇的出口的時(shí)候，isp，中國(guó)電信直接不讓他出口，

目前如中國(guó)電信的專門做抗DDOS的云堤提供了[近源清洗]和[流量壓制]的服務(wù)，對(duì)于購(gòu)買其服務(wù)的廠商來(lái)說(shuō)可以自定義需要黑洞路由的IP與電信的設(shè)備聯(lián)動(dòng)，黑洞路由是一種簡(jiǎn)單粗暴的方法，除了攻擊流量，部分真實(shí)用戶的訪問(wèn)也會(huì)被一起黑洞掉，對(duì)用戶體驗(yàn)是一種打折扣的行為，本質(zhì)上屬于為了保障留給其余用戶的鏈路帶寬的棄卒保帥的做法，之所以還會(huì)有這種收費(fèi)服務(wù)是因?yàn)榧偃绮贿@么做，全站服務(wù)會(huì)對(duì)所有用戶徹底無(wú)法訪問(wèn)。對(duì)于云清洗廠商而言，實(shí)際上也需要借助黑洞路由與電信聯(lián)動(dòng)。

百度云加速，還沒(méi)測(cè)試過(guò)，不評(píng)價(jià)，總結(jié)國(guó)內(nèi)的廠商全是吹牛B的比較多，行業(yè)就這樣，

國(guó)外的比較可靠，但是收費(fèi)的確不便宜，

三家，可以推薦，

亞馬遜，30G攻擊無(wú)視，攻擊大了，也給你封了，推薦他最大優(yōu)點(diǎn)，按流量收費(fèi)，可以按小時(shí)收費(fèi)，不要備案，國(guó)內(nèi)還得先備案，這我買6個(gè)節(jié)點(diǎn)，用三天死了。

CF加速，這個(gè)dns防護(hù)無(wú)敵，百度云加速就是聯(lián)合的他家。

akamai，這家是給蘋(píng)果做防護(hù)的，說(shuō)只有蘋(píng)果發(fā)布會(huì)的打死過(guò)一次，我沒(méi)試太貴了，1G，3.5元，一天估計(jì)就得5000左右一天，

cdn加速，是防CC的一個(gè)主要手段

CDN/Internet層CDN并不是一種抗DDOS的產(chǎn)品，但對(duì)于web類服務(wù)而言，他卻正好有一定的抗DDOS能力，以大型電商的搶購(gòu)為例，這個(gè)訪問(wèn)量非常大，從很多指標(biāo)上看不亞于DDOS的CC，而在平臺(tái)側(cè)實(shí)際上在CDN層面用驗(yàn)證碼過(guò)濾了絕大多數(shù)請(qǐng)求，最后到達(dá)數(shù)據(jù)庫(kù)的請(qǐng)求只占整體請(qǐng)求量的很小一部分。

　　對(duì)http CC類型的DDOS，不會(huì)直接到源站，CDN會(huì)先通過(guò)自身的帶寬硬抗，抗不了的或者穿透CDN的動(dòng)態(tài)請(qǐng)求會(huì)到源站，如果源站前端的抗DDOS能力或者源站前的帶寬比較有限，就會(huì)被徹底DDOS。

～～～～～～～～～～～～～～～

如果你是正規(guī)網(wǎng)站，你別怕有攻擊，不會(huì)有怎么大攻擊的，現(xiàn)在黑客主要攻擊那些非正規(guī)的網(wǎng)站,H 站，棋牌，菠菜，都是攻擊要錢的，

正規(guī)網(wǎng)站他不會(huì)天天來(lái)打死你，攻擊你的都是競(jìng)爭(zhēng)對(duì)手。

如果有一天，有人攻擊你要錢，下面就是要做的事。

立案和追蹤

目前對(duì)于流量在100G以上的攻擊是可以立案的，這比過(guò)去幸福了很多。過(guò)去沒(méi)有本土特色的資源甚至都沒(méi)法立案，但是立案只是萬(wàn)里長(zhǎng)征的第一步，如果你想找到人，必須成功完成以下步驟：

•         在海量的攻擊中，尋找倒推的線索，找出可能是C&C服務(wù)器的IP或相關(guān)域名等

•         “黑”吃“黑”，端掉C&C服務(wù)器

•         通過(guò)登錄IP或借助第三方APT的大數(shù)據(jù)資源（如果你能得到的話）物理定位攻擊者

•         陪叔叔們上門抓捕

•         上法庭訴訟

如果這個(gè)人沒(méi)有特殊身份，也許你就能如愿，但假如遇到一些特殊人物，你幾個(gè)月都白忙乎。而黑吃黑的能力則依賴于安全團(tuán)隊(duì)本身的滲透能力比較強(qiáng)，且有閑情逸致做這事。這個(gè)過(guò)程對(duì)很多企業(yè)來(lái)說(shuō)成本還是有點(diǎn)高，光有實(shí)力的安全團(tuán)隊(duì)這條門檻就足以砍掉絕大多數(shù)公司。筆者過(guò)去也只是恰好有緣遇到了這么一個(gè)團(tuán)隊(duì)。

是有成功案例，燕郊，黃總，有人攻擊他要錢，完了他打了幾千，報(bào)警抓住了。但不是你報(bào)警就有人管你的，還得有關(guān)系（國(guó)情你懂的）不過(guò)，你可以找我呀，我可以告訴你怎么辦呀。哈哈。

總結(jié)一下，

WEB網(wǎng)站攻擊，一般流量，直接syn,udp，打不死，就攻擊你的dns,不行還能舉報(bào)你，

游戲網(wǎng)站，他不直接打死你，讓你老掉線，玩不了，目的達(dá)到了。所以這類網(wǎng)站需要提前布置防護(hù)。

還有支付類網(wǎng)站，

中小企業(yè)，主要看攻擊量的大小選擇方案，如果你們公司不差錢，那就別向下看了，

下面我可是報(bào)行業(yè)內(nèi)幕，

<30G攻擊， 3000左右一個(gè)月，非連續(xù)攻擊，可用，單機(jī)防，

<50G攻擊，1萬(wàn)左右一個(gè)月，非連續(xù)攻擊，可用，雙機(jī)防，

<100G攻擊，2～3萬(wàn)，連續(xù)攻擊/日，需要用集群防，

<300G攻擊，5～8萬(wàn)，連續(xù)攻擊/日，需要集群，加CDN，學(xué)習(xí)百度云加速，國(guó)外的防護(hù)讓CF幫著防，國(guó)內(nèi)的找云堤防，

所以，總結(jié)一下那些公司是騙人的，你們不白花錢去再測(cè)試了。我已經(jīng)測(cè)試過(guò)了。

時(shí)間緊很多點(diǎn)沒(méi)有寫(xiě)全，寫(xiě)透，今后找個(gè)時(shí)間再總結(jié)分類。

        2015年9月

參考文章：

淺析大規(guī)模DDOS防御架構(gòu)-應(yīng)對(duì)T級(jí)攻防

http://www.77169.org/netadmin/HTML/20150918101159.shtm