DDoS攻击及防护措施

SYN flood

伪造大量的源IP地址，分别向服务器端发送大量的SYN包，此时服务器端会返回SYN/ACK 包，由于伪造的IP并不会答应，服务器端并无收到伪造的IP的回应，会重试3~5次并等待一个SYN的时间（30s-2min），若是超时则丢弃。

一、应用层DDos

CC攻击

对一些消耗资源较大的应用页面不断发起正常的请求，已达到消耗服务器资源的目的。

1）爬虫爬死

2）入侵一个流量很大的网站，经过篡改页面，将巨大的用户流量分流道目标网站

措施：

1）在应用程序中为每一个“客户端”作一个请求频率限制

若是IP地址不断发生变化（使用代理服务器），就不能有效防护

2）代码性能优化，数据库压力转到内存中，及时释放资源；网络架构上作好优化；实现对抗手段：显示每一个IP地址的请求频率

二、验证码：

阻止自动化的重放行为

不是万能的，有识别软件，用户体验很差

三、预防应用层DDoS

让客户端解析一段JavaScript，并给出正确的运行结果

四、资源耗尽攻击

Slowloris：以极低的速度速度网服务器发送HTTP请求，因为Webserver对于并发的链接数都有必定的上限，当恶意地占用在这些资源不释放时，全部链接将被恶意占用，从而没法接受新的请求，致使拒绝服务。

HTTP Post DOS：相似于Slowloris，发送HTTP Post包

Server Limit DOS：Apache所能接受的最大的HTTP包头大小为8192字节（Request Header，如果Request Body默认大小是2GB），若是客户端发送的的HTTP包头超过这个大小，服务器就会返回一个错误4xx。

假如攻击者经过XSS攻击，恶意往客户端写入一个超长的Cookie。因为Cookie也是放在HTTP包头里发送的，二Web Server默认会认为这是一个长长的非正常请求，从而致使客户端的拒绝服务。

五、正则：ReDos

代码缺陷，遍历消耗