如何防御各种类型的DDoS攻击？ --无敌防护

您的位置：新闻资讯 > 行业动态 > 正文

如何防御各种类型的DDoS攻击？

来源：无敌防护 2019-12-27 16:56:02

DDoS攻击是最常见的网络攻击类型，其攻击成本很低，攻击力却很强，能够大规模消耗目标网站的主机资源，让它无法正常服务，另很多互联网企业非常害怕。
DDoS的攻击方式有很多种，最常见的就是利用大量僵尸网络模拟真实流量访问服务器，从而占用服务器资源和带宽拥堵，导致正常用户无法访问。现在DDoS攻击大多数是复合式攻击，越来越复杂化，不同攻击方式对应的防御措施也不一样。本文小墨给大家分享一下不同类型的DDoS攻击对应的防御措施。

一、按攻击流量规模分类

1、较小流量

小于1000Mbps攻击流量的DDoS攻击，一般只会造成小幅度延迟和卡顿，并不是很不影响线上业务的正常运行，可以利用iptables或者DDoS防护应用实现软件层的DDoS防护。

2、大型流量

大于1000Mbps攻击流量的DDoS攻击，可以利用iptables或者DDoS防护应用实现软件层防护，或者在机房出口设备直接配置黑洞等防护策略，或者同时切换域名，将对外服务IP修改为高负载Proxy集群外网IP，或者CDN高仿IP，或者公有云DDoS网关IP，由其代理到RealServer。

3、超大规模流量

超大规模的DDoS攻击流量通过上述方法也起不到多大作用，只能通过专业的网络安全公司接入DDoS高防服务，隐藏服务器源IP，将攻击流量引流到高防IP，对恶意攻击流量进行智能清洗，阻拦漏洞攻击、网页篡改、恶意扫描等黑客行为，保障网站的安全与可用性。

二、按攻击流量协议分类

1、syn/fin/ack等tcp协议包

设置预警阀值和响应阀值，前者开始报警，后者开始处理，根据流量大小和影响程度调整防护策略和防护手段，逐步升级。

2、UDP/DNS query等UDP协议包

对于大部分游戏业务来说，都是TCP协议的，所以可以根据业务协议制定一份TCP协议白名单，如果遇到大量UDP请求，可以不经产品确认或者延迟跟产品确认，直接在系统层面/HPPS或者清洗设备上丢弃UDP包。

3、http flood/CC等需要跟数据库交互的攻击

这种一般会导致数据库或者webserver负载很高或者连接数过高，在限流或者清洗流量后可能需要重启服务才能释放连接数，因此更倾向在系统资源能够支撑的情况下调大支持的连接数。相对来说，这种攻击防护难度较大，对防护设备性能消耗很大。

4、其他

icmp包可以直接丢弃，先在机房出口以下各个层面做丢弃或者限流策略。现在这种攻击已经很少见，对业务破坏力有限。

这几年，5G网络和智能物联网设备的逐渐普及，随之而来的是DDoS攻击的爆发式增长，DDoS攻击的规模和造成的危害也越来越大。DDoS攻击对互联网线上业务的影响极大，因为网络攻击导致用户体验极差，肯能导致互联网平台口碑变差甚至直接导致很多用户流失。所以互联网必须清楚网络安全的重要性，做好必要的DDoS高防措施，建议接入墨者盾高防，通过最新指纹识别系统对恶意攻击流量进行流量清洗，降低网络攻击风险，保障服务器稳定运行。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDOS攻击防御。

上一篇：为什么你的网站访问很慢？

下一篇：带你了解堪称灾难级的攻击：UDP反射放大型DDOS攻击