ddos攻击是什么，如何防护

DDoS（Distributed Denial of Service，分布式拒绝服务）

定义：

主要经过大量合法的请求占用大量网络资源，从而使合法用户没法获得服务的响应，是目前最强大、最难防护的攻击之一。

ddos攻击最大的难点在于攻击者发起的攻击的成本远低于防护的成本。好比黑客能够轻易的控制大量肉鸡发起10G，100G的攻击。而要防护这样的攻击10G，100G带宽的成本倒是100W，1000W….

分类：

1. 网络层攻击：SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood等等
2. 应用层攻击：

效果：

1. 占满网络带宽；
2. 提交大量请求，使服务器超负荷运行，响应缓慢；
3. 阻断某一用户访问服务器；
4. 阻断某服务与特定系统或我的的通信。

 

防御：

1.针对第一种，须要在运营商网络里进行攻击流量识别，清洗；

2.第二种须要对流量模型学习建模，防御引擎要有多种方式检测攻击流量并自动生成过滤特征。固然最重要是修复应用的脆弱设计；抗DDOS设备主要的技术难点在于如何准确判断流量是攻击流量仍是正常流量。流量清洗回注是没多少技术含量的。固然光靠设备自动化防御是远远不够的，须要有应急团队的专业服务。那些直接说不能防御的人不知是神马心态.

 

防护手段：

整体来讲，从下面几个方面考虑：

• 硬件
• 单个主机
• 整个服务器系统

 

硬件：

1. 增长带宽

带宽直接决定了承受攻击的能力，增长带宽硬防御是理论最优解，只要带宽大于攻击流量就不怕了，但成本很是高。

 

二、提高硬件配置

在有网络带宽保证的前提下，尽可能提高CPU、内存、硬盘、网卡、路由器、交换机等硬件设施的配置，选用知名度高、 口碑好的产品。

 

三、 硬件防火墙

将服务器放到具备DDoS硬件防火墙的机房。专业级防火墙一般具备对异常流量的清洗过滤功能，可对抗SYN/ACK攻击、TCP全链接攻击、刷脚本攻击等等流量型DDoS攻击

 

单个主机:

一、及时修复系统漏洞，升级安全补丁。

二、关闭没必要要的服务和端口，减小没必要要的系统加载项及自启动项，尽量减小服务器中执行较少的进程，更改工做模式

三、iptables

四、严格控制帐户权限，禁止root登陆，密码登陆，修改经常使用服务的默认端口

 

整个服务器系统：

1. 负载均衡

使用负载均衡将请求被均衡分配到各个服务器上，减小单个服务器的负担。

二、CDN

CDN是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，经过中心平台的分发、调度等功能模块，使用户就近获取所需内容，下降网络拥塞，提升用户访问响应速度和命中率，所以CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制，CDN则更加理智，多节点分担渗透流量，目前大部分的CDN节点都有200G 的流量防御功能，再加上硬防的防御，能够说能应付目绝大多数的DDoS攻击了。

3. 分布式集群防护

分布式集群防护的特色是在每一个节点服务器配置多个IP地址，而且每一个节点能承受不低于10G的DDoS攻击，如一个节点受攻击没法提供服务，系统将会根据优先级设置自动切换另外一个节点，并将攻击者的数据包所有返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防御角度去影响企业的安全执行决策。

 四、安全域划分

 

其余：

一、预防措施和应急预案