墨者安全详细解读：如何有效的进行DDOS防护？

不同于其他恶意篡改数据或劫持类攻击，DDoS简单粗暴，可以达到直接摧毁目标的目的。另外，相对其他攻击手段DDoS的技术要求和发动攻击的成本很低，只需要购买部分服务器权限或控制一批肉鸡即可，而且攻击相应速度很快，攻击效果可观。另一方面，DDoS具有攻击易防守难的特征，服务提供商为了保证正常客户的需求需要耗费大量的资源才能和攻击发起方进行对抗。
尽管几乎所有的DDoS攻击都涉及到目标设备或网络的流量，但攻击一般可以分为下面三类。

应用层攻击

应用层攻击利用了网络协议栈第6、7层中的弱点，针对特定的应用而不是整个服务器进行攻击，他们常见的目标端口和服务是DNS和HTTP服务。有时也称为第7层DDoS攻击（相对于OSI模型的第7层），这些攻击的目标是耗尽目标的资源。攻击针对的是服务器上生成网页并响应HTTP请求而进行传递的应用层。单个HTTP请求在客户端执行的成本很低，而目标服务器响应的成本可能很高，因为服务器通常必须加载多个文件并运行数据库查询才能创建网页。第7层攻击很难防御，因为流量很难标记为恶意流量。

协议攻击

协议攻击是利用网络协议工作机制的弱点进行攻击的一种方式，协议攻击（也称为状态耗尽攻击）通过消耗Web应用程序服务器或防火墙和负载平衡器之类的中间资源的所有可用状态表容量，导致服务中断。协议攻击利用协议栈的第3层和第4层中的弱点使目标无法访问。

大流量攻击Volumetric Attacks

攻击者试图耗尽目标网络/服务内部的带宽、目标网络/服务与互联网之间的带宽。也叫反射攻击或者放大攻击，该类攻击以UDP协议为主，一般请求回应的流量远远大于请求本身流量的大小。攻击者通过流量被放大的特点以较小的流量带宽就可以制造出大规模的流量源，从而对目标发起攻击。耗尽可用带宽来造成拥塞。


缓解DDoS攻击的方法

缓解DDoS攻击的关键问题是区分攻击和正常流量。例如，如果某个公司新产品发布的网站充斥着热切的客户，那么切断所有流量就是一个错误。如果该公司的突然流量来自已知的不良行为者，则可能有必要采取措施缓解攻击。困难在于它难以区分真正的客户和攻击流量。常见的缓解DDoS攻击的方法有下面几种：


1.黑洞路由

几乎所有网络管理员都可以使用的解决方案是创建黑洞路由，并将流量汇入该路由。以最简单的形式，当在没有特定限制条件的情况下实施黑洞过滤时，合法和恶意网络流量都会路由到空路由或黑洞，并从网络中丢弃。

黑洞路由最大的好处是充分利用了路由器的包转发能力，对系统负载影响非常小。

2.限速

限制服务器在特定时间范围内接受的请求数量也是减轻DDoS攻击的一种方法。虽然速率限制有助于减缓Web爬虫窃取内容的速度并减轻暴力登录尝试，但仅靠速率限制可能不足以有效地处理复杂的DDoS攻击。但是，速率限制是有效的DDoS缓解策略中有用的组成部分。

3.Web应用防火墙

Web应用程序防火墙（WAF）是一种工具，可以帮助缓解第7层DDoS攻击。通过将WAF放在Internet和原始服务器之间，WAF可以充当反向代理，从而保护目标服务器免受某些类型的恶意流量的侵害。通过基于用于识别DDoS工具的一系列规则过滤请求，可以阻止第7层攻击。有效的WAF的一个关键价值是能够快速实施自定义规则以应对攻击。

4.Anycast网络扩散

Anycast技术是一种网络寻址和路由方法。在Anycast寻址过程中. 流量会被导向网络扑结构上最近的节点, 在这个过程中, 攻击者并不能对攻击流量进行操控,因此攻击流量将会被分散并稀释到最近的节点上，每一个节点上的资源消耗都会减少。这种缓解方法使用Anycast网络将攻击流量分散到分布式服务器网络中，直至网络吸收流量。就像将一条湍急的河流沿着单独的较小河道引导一样，这种方法将分布式攻击流量的影响分散到可以控制的程度，从而分散了任何破坏性能力。 缓解DDoS攻击的服务

面对DDoS攻击威胁，早期的用户通常在本地网络边界处部署一些抗DDoS攻击的硬件设备，对进入本地网络的流量进行实时检测，一旦发现带有攻击特征流量则进行阻断或者丢弃，这样做的确可以起到一定程度的DDoS缓解作用。但ROI低，TCO高，对耗尽网络带宽的DDoS攻击无能为力。如今云计算越来越成为主流，目前主流的DDoS攻击流量缓解服务有以下几种方式：

1.由DDoS设备厂商提供云清洗+本地清洗服务。

DDoS设备厂商利用自身技术和设备优势，在某些网络区域建设流量清洗云节点，为本区域内的用户提供流量清洗服务。

2.由CDN服务提供商提供流量清洗服务。

CDN主要用于网络加速，提高用户访问网站的响应速度，CDN类似于给被保护目标增加了一个大规模分布式缓存层，对于防御各种资源消耗型流量型网络攻击有很好的效果。单独一个用户的硬件资源和带宽有限，很快就会被DDoS攻击消耗掉，但CDN的资源要比单独一个用户多得多，有能力应对一定程度的DDoS攻击，因此CDN服务商在CDN基础服务外通常都会提供DDoS防护增值服务。CDN服务商可以通过DNS重定向方式或者BGP方式牵引攻击流量，通过DNS智能调度攻击流量，将攻击流量化整为零并分散到各个CDN节点上进行处理，减少单一节点资源不足被攻击流量打垮的风险；通过CDN防御DDoS攻击，需要隐藏好源站IP，如果攻击者获取到源站IP就可以无视CDN的存在而直接针对源IP发起DDoS透传攻击，为了更有效的防御此类攻击，可以在源站IP前再增加一层保护，例如WAF等设备。

3.由公有云服务商提供DDoS防护云服务。

公有云服务商一般提供免费的基础防护和需要付费的高级防护。免费的基础防护不承诺防护的效果。如果攻击的强度过大，影响到了云平台本身，则存在屏蔽公网 IP 的可能或者直接丢入黑洞。

4.由运营商提供流量清洗服务。

运营商是骨干网、城域网、接入网的拥有者和运营者，负责除了专线网络以外所有流量的互联和转发，所有流量在进入用户本地网络前和离开用户本地网络后，都要经过运营商网络的转发，简单地讲，运营商可以看见所有进出网络的流量，因此在大流量攻击检测和防御方面具有天然的先发优势，结合运营商的其它网络安全专业服务（态势感知服务、威胁情报服务等），能够起到更好的预警、检测与防御效果。

现代化DDoS攻击手段不断翻新，一般要综合采用不同的技术和服务来进行DDos防护。 关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDOS攻击防御。