作者：juniu网络   来源:互联网    发布时间:2023-07-08

你有没有想过哪种种类的ddos攻击最难阻止?有许多不同种类的分布式拒尽服务流量攻击，但并非所有这些流量攻击都难以阻止，因此大家将ddos保护难题的前1名放在一起.一般来说，要很好地防护运用程序的合法流量遭受ddos攻击总是很难，但是有一些流量攻击特别难以阻止.

　　一、直接僵尸网络流量攻击

　　僵尸网络是受感染的pc和/或服务器的数字(范围内从10到100,000+)，可以由流量攻击者从所谓的c&c(命令和控制)服务器控制.依据僵尸网络的种类，流量攻击者可以使用它来执行各种不同的流量攻击.例如，它可用于第7层http流量攻击，流量攻击者会使每个受感染的pc /服务器向受害者的网站发送http get或post请求，直到网站服务器的资源耗尽为止.

　　通常，僵尸网络在流量攻击期间建立完整的tcp连接，这使得它们很难被阻止.它基本上是第7层ddos，可以修改为尽可能多地对任何运用程序造成伤害，不仅仅是网站，还有游戏服务器和任何其他服务.即使服务器人无法模仿目标运用程序的协议，他们仍然可以建立这么多tcp连接，使受害者的tcp / ip堆栈无法接受更多连接，因此无法反应.

　　根据分析来自服务器人的连接并弄清楚它们发送的很好地载荷如何与合法连接不同，可以减轻直接僵尸网络流量攻击.连接限制也可以提供帮助，但这一切都取决于僵尸网络的行为方式，每次都可能不同.通常是识别和停止直接僵尸网络ddos的手动过程.

　　2、第7层 http ddos

　　基于http的第7层流量攻击(例如http get或http post)是一种ddos攻击，它根据向网站服务器发送大量http请求来模仿网站访问者以耗尽其资源.虽然其中一些流量攻击具备可用于识别和阻止它们的模式，但是无法轻易识别的http洪水.它们并不罕见，对网站管理员来说非常苛刻，因为它们不断发展以绕过常见的检测方法.

　　针对第7层http流量攻击的缓解方法包括http请求限制，http连接限制，阻止恶意客户代理字符串以及使用网站运用程序防火墙(waf)来识别已知模式或源ip的恶意请求.

　　1、tcp syn / ack反射流量攻击(drdos)

　　tcp反射ddos攻击是指流量攻击者向任何种类的tcp服务发送欺骗信息包，使其看起来源自受害者的ip地址，这使得tcp服务向受害者的ip地址发送syn / ack信息包.例如，流量攻击者想要流量攻击的ip是1.2.3.4.为了定位它，流量攻击者将信息包发送到端口80上的任何随机网站服务器，其中标头是伪造的，因为网站服务器认为该信息包来自1.2.3.4，实际上它没有.这将使网站服务器将syn / ack发送回1.2.3.4以确认它收到了信息包.

　　tcp syn / ack反射ddos很难阻止，因为它需要一个兼容连接跟踪的状态防火墙.连接跟踪通常需要防火墙设备上的一些资源，主要取决于它需要跟踪的合法连接数.它会检查一个syn信息包是否实际上已经发送到ip，它首先接收到syn / ack信息包.

　　另一种缓解方法是阻止流量攻击期间使用的源端口.在大家的示例案例中，所有syn / ack信息包都有源端口80，合法信息包通常没有(除非在受害者的数据处理机上执行代理)，因此根据阻止所有信息来阻止这种流量攻击是安全性的.源端口为80的tcp信息包.

　　流量攻击者模仿他所针对的运用程序客户的实际协议和行为越好，防御ddos攻击就越难.有时很难发现合法和不良流量之间的不同，这使得安全性专家很难制定过滤这些ddos攻击的方法，尤其是在不影响任何合法流量的情况下.巨牛科技香港高防服务器，整合的流量监测平台，可以最精准地识别全种类的ddos攻击，并全自动触发流量清洗过滤，并将正常流量返注回源站.巨牛高防服务器可很好地防御高达600gbps以上规模的大型ddos攻击，并提供不收费压力测试，以及防护无效退款承诺.