DDoS攻擊類型及其防禦方法

　　DDoS攻擊(拒絕服務攻擊)可以造成目標網站/應用停止提供服務。一個DDoS攻擊通常可導致個別IT基礎設施組件超載。當攻擊者使用海量無效請求充斥目標URL以使服務器無法再處理其他正常請求時，就會發生超載。這意味着網絡設備、操作系統和單個服務器服務只能以延遲的方式響應請求，最終造成網站/應用停止服務。

　　一、什麼是DDoS攻擊?

　　DoS的常見形式稱爲“分佈式拒絕服務”(DDoS)。黑客不僅僅使用一臺計算機，還會根據許多網絡設備的請求使系統過載，這些設備組合在一起形成巨大的殭屍網絡。通過使用這樣的網絡，產生的流量比簡單的DoS攻擊更多。DDoS攻擊對所涉及的網站產生極大的負面影響，並且通常難以找到攻擊源。

　　二、DoS和DDoS攻擊的目標

　　與其他網絡犯罪入侵不同，DoS和DDoS攻擊不會試圖滲透系統; 數分 相反，它們通常是更大攻擊的一部分。例如，當系統癱瘓時，攻擊可以用來分散服務器操作員的注意力，以便更隱蔽地進行其他入侵和攻擊行爲。如果系統的響應性因DoS或DDoS攻擊而延遲，則黑客有機會通過操縱響應將請求更改爲過載系統。這種攻擊背後的策略可以分爲三類：帶寬過載、系統資源過載以及軟件錯誤利用和安全漏洞。

　　1、帶寬過載

　　重載帶寬的目的是使計算機無法訪問。DoS和DDoS攻擊直接針對網絡及其各自的連接設備。路由器一次只能處理一定數量的數據。如果由於攻擊而超出此容量，則其他用戶將無法再使用相應的服務。設計用於超載帶寬的典型DDoS攻擊是Smurf攻擊。

　　2、系統資源過載

　　DoS或DDoS攻擊以系統資源爲目標，這樣，攻擊者利用Web服務器只能建立有限數量的連接的規律。如果這些用於無效請求，則將有效阻止常規用戶使用服務器。這被稱爲“洪水攻擊”，例如：ping flood，SYN flood和UDP flood。

　　3、利用軟件錯誤和安全漏洞

　　如果黑客在操作系統或程序中發現某些安全漏洞，他們可以計劃DoS或DDoS攻擊，以便請求觸發系統崩潰。此類攻擊的示例包括ping of death和LAND(局域網拒絕)攻擊。

　　三、DDoS攻擊防禦辦法

　　已經開發了各種安全措施來阻止IT系統因DoS和DDoS攻擊而過載。一種方法是識別關鍵IP地址並關閉任何已知的安全漏洞。此外，利用硬件和軟件資源可以防禦DDoS攻擊。

　　1、IP黑名單：黑名單可以識別關鍵IP地址並拒絕數據包。這些安全措施可以通過動態黑名單通過防火牆手動實現或自動化。

　　2、過濾：爲了過濾掉不規則的數據包，您可以在指定的時間段內定義數據量的限制。您應該注意代理，這可能意味着許多客戶端在服務器上使用相同的IP地址註冊，並且可能被阻止。

　　3、高防服務器：我們以數分科技香港高防服務器爲例說明。其高防服務器接入海量的高防帶寬，通過攻擊智能檢測平臺，可以快速精準地自動識別各類DDoS變種攻擊，並通過清洗中心清洗過濾，將正常流量返注回源站以確保其正常運作。使用高防服務器可以全天候不間斷地保護您的關鍵業務免受大規模DDoS影響，防禦能力高達600Gbps以上，同時給予其卓越的性能支撐。

　　4、SYN cookie：SYN cookie專注於TCP連接中的安全漏洞。如果實施了這些安全措施，則有關SYN數據包的信息將不再保存在服務器上，而是作爲加密cookie發送給客戶端。SYN泛洪攻擊會佔用一些計算機容量，但不會使目標系統的內存過載。

　　5、負載平衡：針對過載的有效對策是將負載分配到不同的系統，這通過負載平衡實現。這裏可用服務的硬件容量分佈在多臺物理機器上。這就是DoS和DDoS攻擊可以在一定程度上被截獲的方式。