如何防御網(wǎng)站被ddos攻擊 首先要了解什么是流量攻擊

什么是DDOS流量攻擊？我們大多數(shù)人第一眼看到這個DDOS就覺得是英文的，有點(diǎn)難度，畢竟是國外的，其實(shí)簡單通俗來講，DDOS攻擊是利用帶寬的流量來攻擊服務(wù)器以及網(wǎng)站。


舉個例子，服務(wù)器目前帶寬是100M，突然從外邊來了200M的帶寬流量進(jìn)來，那么服務(wù)器根本承載不了這個200M的帶寬流量，服務(wù)器的網(wǎng)絡(luò)瞬間就會癱瘓，導(dǎo)致服務(wù)器無法連接，甚至導(dǎo)致服務(wù)器里的網(wǎng)站都無法打開，因?yàn)?00M的帶寬流量，已經(jīng)占滿了整個服務(wù)器的100M帶寬。

再舉一個更貼切于生活的例子：一家飯店，正常情況下最多能承載100個人吃飯，因?yàn)橥�行競爭，對面飯店老板雇傭�?00個社會小混混去飯店吃飯，導(dǎo)致飯店滿客，無法再接納正常的客人來飯店吃飯了。這就是DDOS攻擊，利用流量去占滿服務(wù)器的帶寬，導(dǎo)致沒有多余的帶寬來提供用戶的網(wǎng)站訪問。

DDOS流量攻擊分很多種，有UDP-flood流量攻擊，TCP-flood流量攻擊，ICMP-flood流量攻擊TCP/UPD/ICMP分片式流量攻擊，SYN-flood流量攻擊，ACK-flood流量攻擊，zeroWindow攻擊，SSL-flood攻擊，SSLkeyrenego攻擊，DNS反射性放大流量攻擊，NTS反射，NTP反射,SNMP反射，SSDP反射，Chargen反射。

43b152471c6a4de7857afea82ef41a0a.jpeg

UDP-flood是屬于UDP協(xié)議中的一種流量攻擊，攻擊特征是偽造大量的真實(shí)IP并發(fā)送小數(shù)量的數(shù)據(jù)包對要攻擊的服務(wù)器進(jìn)行發(fā)送，只要服務(wù)器開啟UDP的端口就會受到流量攻擊。如何防御這種流量攻擊，對UDP的包數(shù)據(jù)大小進(jìn)行設(shè)置，嚴(yán)格把控發(fā)送的數(shù)據(jù)包大小，超過一定值的數(shù)據(jù)包進(jìn)行丟棄，再一個防御的方法是只有建立了TCP鏈接的IP，才能發(fā)送UDP包，否則直接屏蔽該IP。

ICMP是利用ICMP協(xié)議對服務(wù)器進(jìn)行PING的攻擊，放大icmp的長度，以及數(shù)據(jù)包的字節(jié)對服務(wù)器進(jìn)行攻擊。TCP-flood攻擊是一種使用tcp三次握手協(xié)議的一種方式來進(jìn)行的攻擊，攻擊特種是偽造大量的真實(shí)IP去連接要攻擊的服務(wù)器，導(dǎo)致服務(wù)器無法承載更多的TCP連接而導(dǎo)致服務(wù)器癱瘓。

SYN-Flood是利用SYN協(xié)議，客戶端協(xié)議上發(fā)送SYN數(shù)據(jù)，服務(wù)器接收到并響應(yīng)SYN以及ACK反映，攻擊者利用這個方式去模擬大量的客戶連接發(fā)送數(shù)據(jù)包，導(dǎo)致服務(wù)器癱瘓。

ACK-Flood的攻擊跟上面這個SYN的攻擊差不多，都是同樣采用發(fā)送數(shù)據(jù)包到服務(wù)器端去，攻擊者利用ACK數(shù)據(jù)包進(jìn)行攻擊，只要服務(wù)器接受ACK的包，那么就會造成ACK連接過多導(dǎo)致服務(wù)器資源耗盡，服務(wù)器沒有多余的資源來接收ACK的包，服務(wù)器就無法打開了。

SSL-Flood是利用客戶端不斷的與SSL通道握手，SSL的資源比普通的用戶訪問HTTP網(wǎng)站消耗的資源還要多，會多出幾十倍，配置低的服務(wù)器根本無法承載SSL的多次請求與握手，導(dǎo)致服務(wù)器的CPU占用到百分之90，沒有多余的CPU去處理用戶的訪問。SSL流量攻擊如何防御：禁用Renegotiating的安全機(jī)制來防御大量的SSL流量攻擊。

反射放大性流量攻擊

反射性的攻擊，不管是DNS反射還是NTP反射，都是使用的UDP協(xié)議攻擊，UDP協(xié)議里訪問用戶發(fā)送請求的數(shù)據(jù)包到服務(wù)器，服務(wù)器再反饋給用戶端，那么用戶端發(fā)送到服務(wù)器里的請求數(shù)據(jù)包里，用戶的IP可以進(jìn)行偽造，可以偽造成服務(wù)器的IP，服務(wù)器IP發(fā)送數(shù)據(jù)包到服務(wù)器IP里，這樣就造成了反射攻擊。

DNS反射攻擊也是一樣的道理，利用DNS服務(wù)器的解析進(jìn)行攻擊，偽造要攻擊的服務(wù)器IP，進(jìn)行DNS查詢，并查詢到DNS服務(wù)器里，DNS服務(wù)器返回數(shù)據(jù)包到要攻擊的服務(wù)器IP中去，一來一去

形成了反射流量攻擊。