服務器最難防護的3大DDoS攻擊

       你有沒有想過哪種類型的DDoS攻擊最難阻止?有許多不同類型的分佈式拒絕服務攻擊，但並非所有這些攻擊都難以阻止，因此我們將DDoS保護難題的前三名放在一起。一般來說，要有效防禦應用程序的合法流量遭受DDoS攻擊總是很難，但是有一些攻擊特別難以阻止。

　　一、直接殭屍網絡攻擊

　　殭屍網絡是受感染的PC和/或服務器的數字(範圍從10到100,000+)，可以由攻擊者從所謂的C&C(命令和控制)服務器控制。根據殭屍網絡的類型，攻擊者可以使用它來執行各種不同的攻擊。例如，它可用於第7層HTTP攻擊，攻擊者會使每個受感染的PC /服務器向受害者的網站發送HTTP GET或POST請求，直到Web服務器的資源耗盡爲止。

　　通常，殭屍網絡在攻擊期間建立完整的TCP連接，這使得它們很難被阻止。它基本上是第7層DDoS，可以修改爲儘可能多地對任何應用程序造成傷害，不僅僅是網站，還有遊戲服務器和任何其他服務。即使機器人無法模仿目標應用程序的協議，他們仍然可以建立這麼多TCP連接，使受害者的TCP / IP堆棧無法接受更多連接，因此無法響應。

　　通過分析來自機器人的連接並弄清楚它們發送的有效載荷如何與合法連接不同，可以減輕直接殭屍網絡攻擊。連接限制也可以提供幫助，但這一切都取決於殭屍網絡的行爲方式，每次都可能不同。通常是識別和停止直接殭屍網絡DDoS的手動過程。

　　二、第7層 HTTP DDoS

　　基於HTTP的第7層攻擊(例如HTTP GET或HTTP 數分數分 POST)是一種DDoS攻擊，它通過向Web服務器發送大量HTTP請求來模仿網站訪問者以耗盡其資源。雖然其中一些攻擊具有可用於識別和阻止它們的模式，但是無法輕易識別的HTTP洪水。它們並不罕見，對網站管理員來說非常苛刻，因爲它們不斷發展以繞過常見的檢測方法。

　　針對第7層HTTP攻擊的緩解方法包括HTTP請求限制，HTTP連接限制，阻止惡意用戶代理字符串以及使用Web應用程序防火牆(WAF)來識別已知模式或源IP的惡意請求。

　　三、TCP SYN / ACK反射攻擊(DrDoS)

　　TCP反射DDoS攻擊是指攻擊者向任何類型的TCP服務發送欺騙數據包，使其看起來源自受害者的IP地址，這使得TCP服務向受害者的IP地址發送SYN / ACK數據包。例如，攻擊者想要攻擊的IP是1.2.3.4。爲了定位它，攻擊者將數據包發送到端口80上的任何隨機Web服務器，其中標頭是僞造的，因爲Web服務器認爲該數據包來自1.2.3.4，實際上它沒有。這將使Web服務器將SYN / ACK發送回1.2.3.4以確認它收到了數據包。

　　TCP SYN / ACK反射DDoS很難阻止，因爲它需要一個支持連接跟蹤的狀態防火牆。連接跟蹤通常需要防火牆設備上的一些資源，具體取決於它必須跟蹤的合法連接數。它會檢查一個SYN數據包是否實際上已經發送到IP，它首先接收到SYN / ACK數據包。

　　另一種緩解方法是阻止攻擊期間使用的源端口。在我們的示例案例中，所有SYN / ACK數據包都有源端口80，合法數據包通常沒有(除非在受害者的計算機上運行代理)，因此通過阻止所有數據來阻止這種攻擊是安全的。源端口爲80的TCP數據包。

　　攻擊者模仿他所針對的應用程序用戶的實際協議和行爲越好，防護DDoS攻擊就越難。有時很難發現合法和不良流量之間的差異，這使得安全專家很難制定過濾這些DDoS攻擊的方法，尤其是在不影響任何合法流量的情況下。數分科技香港高防服務器，結合最先進的流量監測平臺，可以最精準地識別全類型的DDoS攻擊，並自動觸發流量清洗過濾，並將正常流量返注回源站。數分高防服務器可有效防護高達600Gbps以上規模的大型DDoS攻擊，並提供免費壓力測試，以及防禦無效退款承諾。