什么是 DDoS？DDoS 代表“分布式拒絕服務(wù)”?！?DDoS 攻擊是惡意嘗試使服務(wù)器或網(wǎng)絡(luò )資源對用戶(hù)不可用，通常是通過(guò)暫時(shí)中斷或暫停連接到 Internet 的主機的服務(wù)。與拒絕服務(wù) (DoS) 攻擊（其中使用一臺計算機和一個(gè) Internet 連接用數據包淹沒(méi)目標資源）不同，DDoS 攻擊使用多臺計算機和許多 Internet 連接，這些連接通常分布在全球范圍內，稱(chēng)為僵尸網(wǎng)絡(luò )。

Anti-DDoS?防護技術(shù)

DDoS 攻擊主要有 3 種類(lèi)型，每種類(lèi)型都有自己獨特的保護策略和工具：

基于卷的攻擊：基于容量的攻擊會(huì )產(chǎn)生大量的網(wǎng)絡(luò )級請求，使網(wǎng)絡(luò )設備或服務(wù)器不堪重負。這些可能包括UDP 泛洪、ICMP 泛洪和其他使用欺騙網(wǎng)絡(luò )數據包的攻擊。為了防止基于流量的攻擊，反 DDoS 提供商執行大規?！扒謇怼?，使用云服務(wù)器檢查流量，丟棄惡意請求并讓合法請求通過(guò)。這種方法可以應對大規模、數 GB 的 DDoS 攻擊。這也稱(chēng)為 DDoS 通縮。

協(xié)議攻擊：協(xié)議攻擊會(huì )生成利用網(wǎng)絡(luò )協(xié)議弱點(diǎn)的請求。其中包括SYN 泛洪、碎片化數據包和Ping of Death。為了防止協(xié)議攻擊，反 DDoS 工具通過(guò)在不良流量到達您的站點(diǎn)之前阻止它來(lái)減輕協(xié)議攻擊。高級解決方案可以分析流量并將合法用戶(hù)與惡意、自動(dòng)化的客戶(hù)端和機器人區分開(kāi)來(lái)。

應用層攻擊：在應用層攻擊中，攻擊者向 Web 應用程序或其他軟件應用程序生成大量請求，這些請求似乎來(lái)自合法用戶(hù)。其中包括 GET/POST 泛洪、低速攻擊或針對 Apache 或 Windows漏洞的特定攻擊。為了防止應用層攻擊，反 DDoS 系統會(huì )監控站點(diǎn)訪(fǎng)問(wèn)者的行為，阻止負責應用層攻擊的惡意機器人，并使用多種機制（例如 JavaScript 測試、cookie 挑戰和CAPTHA）挑戰無(wú)法識別的訪(fǎng)問(wèn)者。

防 DDoS 軟件解決方案

Anti-DDoS 軟件在現有硬件上運行，分析并過(guò)濾掉惡意流量。通常，Anti-DDoS 軟件比基于硬件的解決方案更具成本效益且更易于管理。但是，基于軟件和腳本的解決方案只能提供部分 DDoS 攻擊保護，容易出現誤報，并且無(wú)助于緩解基于數量的 DDoS 攻擊。本地安裝的軟件比設備或基于云的解決方案更容易不堪重負，后者在面對大型攻擊時(shí)更具可擴展性。

防DDoS防火墻

DDoS 攻擊試圖通過(guò)用大量看似合法的請求淹沒(méi)服務(wù)器/防火墻來(lái)壓倒它。傳統防火墻難以有效攔截DDoS攻擊，往往自身成為海量請求的瓶頸，使攻擊更加嚴重。傳統防火墻的一些弱點(diǎn)可以通過(guò)調整網(wǎng)絡(luò )拓撲結構以及優(yōu)化防火墻和入侵防御/檢測系統(IPS/IDS) 的部署和配置來(lái)緩解。但即使是最佳的防火墻部署和配置也無(wú)法消除 DDoS 損害，尤其是在應用層攻擊場(chǎng)景中。

Web 應用程序防火墻 (WAF) 可以充當反 DDoS 防火墻，可以智能地清除不良請求，是 DDoS 保護的有效且經(jīng)濟的替代方案。WAF 通常部署在云中，通過(guò)發(fā)送 cookie 或其他響應來(lái)響應可疑的應用程序請求——在允許訪(fǎng)問(wèn)系統之前確保用戶(hù)是真實(shí)的并且請求是有效的。

防DDoS硬件解決方案

防 DDoS 硬件是潛在攻擊者和您的網(wǎng)絡(luò )之間的物理保護層。盡管抗 DDoS 硬件可以防止某些類(lèi)型的攻擊，但其他類(lèi)型（如 DNS 攻擊）完全不受硬件影響，因為損壞甚至在流量到達設備之前就已完成。硬件保護可能很昂貴。除了硬件本身的資本支出外，維護、安置和運行設備所需的設施和熟練人力還需要大量運營(yíng)費用。額外的成本是設備折舊和升級。

防DDoS托管

降低 DDoS 攻擊風(fēng)險的一種常見(jiàn)方法是與支持 DDoS 的托管服務(wù)提供商簽訂合同，該提供商已經(jīng)擁有在發(fā)生 DDoS 攻擊時(shí)吸收不良流量所需的設備。但是，Anti-DDoS 托管的效率有限，并且比傳統托管成本高得多。在 Anti-DDoS 托管生態(tài)圈中，網(wǎng)站所有者通常有兩種選擇：

• 專(zhuān)用托管——往往非常昂貴，而且不靈活/可擴展。
• 租用主機——既昂貴又受主機提供商的總容量和主機計劃的特定容量的限制。

但是，這兩個(gè)選項都沒(méi)有提供智能應用層DDoS 緩解。此外，Anti-DDoS 托管的成本效益低于其他選項，因為吸收 DDoS 流量是有代價(jià)的，并且不提供基于智能行為/簽名的識別。在典型的 Anti-DDoS 托管場(chǎng)景中，網(wǎng)站所有者會(huì )持續為用于吸收潛在攻擊的帶寬付費——即使沒(méi)有此類(lèi)攻擊正在進(jìn)行。一個(gè)更具成本效益和靈活性的選擇是識別攻擊，并按需擴展以響應它們。