墨者安全分享：如何有效的防止DDoS攻击和CC攻击

之前只要网站排名特别好，所做的行业利益竞争特别大的时候，网站基本都会遭受到网络攻击。

现如今行业互联化大趋势走向，DDoS攻击范围也越来广泛，可以说是大大小小的网站都会遇到这种问题。

网络攻击的主要形式是一般有两种：DDoS攻击和CC攻击。 DDoS，即“分布式拒绝服务”，那么什么又是分布式拒绝服务呢？可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。同时它被称之为“洪水式攻击”，因为一旦被实施，攻击网络包就会从很多DOS攻击源(俗称肉鸡)犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源。

DDos攻击的常见方法：

1．SYN Flood

利用TCP协议的原理，这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，TCP通道在建立以前，需要三次握手，所以攻击者可以通过伪造大量的TCP握手请求，耗尽服务器端的资源。

2．HTTP Flood

针对系统的每个Web页面，或者资源，或者Rest API，用大量肉鸡，发送大量http request，典型的以小博大的攻击方法，不足之处就是是对付只有静态页面的网站效果会大打折扣。

3．慢速攻击

Http协议中规定，HttpRequest以rnrn结尾来表示客户端发送结束。攻击者打开一个Http 1.1的连接，将Connection设置为Keep-Alive，保持和服务器的TCP长连接。然后始终不发送rnrn，每隔几分钟写入一些无意义的数据流，拖死机器。

4．P2P攻击

每当网络上出现一个热门事件，比如XX门， 精心制作一个种子， 里面包含正确的文件下载。

DDoS攻击防御方法

1．过滤不必要的服务和端口

可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP。


2．异常流量的清洗过滤

通过DDoS硬件防火墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。

3．分布式集群防御

这是目前网络安全界防御大规模DDoS攻击的最有效办法。如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。

4．高防智能DNS解析

高智能DNS解析系统与DDoS防御系统的完美结合，为企业提供对抗新兴安全威胁的超级检测功能。同时还有宕机检测功能，随时可将瘫痪的服务器IP智能更换成正常服务器IP，为企业的网络保持一个永不宕机的服务状态。
除了上面介绍的，DDoS攻击另一种衍生就是CC攻击，前身名为Fatboy攻击，也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。相比其它的DDoS攻击CC似乎更有技术含量一些。这种攻击你见不到真实源IP，见不到特别大的异常流量，但造成服务器无法进行正常连接。

CC攻击防御方法

1．注册表修改法

对比较小的CC攻击有一定的作用，但对大量的攻击就难以防御，最终导致服务器死机，网络中断。

2．域名欺骗解析法

虽然可以防御CC攻击，但是正常流量的访问也无法访问，无法正常使用，跟你直接把网站关闭了没什么区别，所以是不可取的。

3．采用防火墙

国内现在有各种各样的免费防火墙。但是经过实际使用和测试，真正对大量发包的CC攻击真正起到防御作用的，寥寥无几，许多免费的防御程序，或免费的防火墙的，在对付一些短时间的恶作剧攻击有一定的作用，但是对付那些勒索式，报仇式是很难起到什么作用的。 关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDOS攻击防御。