DDOS流量攻击防御策略概览

一、前言

随着互联网带宽的持续增长以及DDOS黑客工具的普及，DDOS拒绝服务攻击的实施变得愈发容易。商业竞争、打击报复、网络敲诈等多种因素，导致IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期受DDOS攻击困扰。随之而来的是客户投诉、虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。为此，网络服务商必须将解决DDOS攻击作为首要任务。

二、DDOS攻击的定义

DDOS，即“分布式拒绝服务”攻击，其核心目的是阻止合法用户访问正常的网络资源。与DOS攻击不同，DDOS通过大量的“僵尸主机”向受害主机发送看似合法的网络包，从而造成网络拥堵或服务器资源耗尽。常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood等。

三、判断网站是否受到DDOS攻击的方法

1. 流量攻击判定:

使用Ping命令测试，如果发现Ping超时或丢包严重，而平时是正常的，那么网站可能遭受了流量攻击。

若发现与主机接在同一交换机上的服务器也无法访问，则可以基本确定是遭受了流量攻击。

2. 资源耗尽攻击的判定:

若平时访问网站正常，突然网站访问变得非常缓慢或无法访问，但Ping仍然可以通，那么可能遭受了资源耗尽攻击。

在服务器上使用Netstat -na命令，如果观察到大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态，而ESTABLISHED状态很少，则可以判定为资源耗尽攻击。

三种主流的DDOS攻击方式

1、SYN/ACK Flood攻击

SYN/ACK Flood攻击被视为经典且高效的DDOS攻击手段，其能够对付各种系统的网络服务。此攻击主要通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包来实施。这些伪造的请求导致主机缓存资源被耗尽或使主机忙于回应这些请求，从而造成拒绝服务。由于源IP和端口都是伪造的，追踪攻击源头比较困难。然而，此攻击方法的实施难度较大，需要高带宽的僵尸主机支持。少量的SYN/ACK Flood攻击可能导致主机服务器无法访问，但仍可以Ping通。在服务器上执行Netstat -na命令时，会发现存在大量的SYN_RECEIVED状态。若遭受大量的此种攻击，会导致Ping失败、TCP/IP栈失效，并可能出现系统凝固现象，即键盘和鼠标无响应。值得注意的是，大部分普通防火墙难以抵御此种攻击。

2、TCP全连接攻击

TCP全连接攻击是设计来绕过常规防火墙的检查的。常规防火墙通常能过滤如TearDrop、Land等DOS攻击，但对于正常的TCP连接往往会放行。然而，许多网络服务程序（例如IIS、Apache等Web服务器）能接受的TCP连接数是有限的。当大量的TCP连接同时存在时，即便是正常的连接，也会导致网站访问变得非常缓慢或无法访问。TCP全连接攻击通过众多僵尸主机不断地与受害服务器建立TCP连接，直到服务器资源如内存被耗尽，从而造成拒绝服务。这种攻击的特点是能绕过一般防火墙的防护，但其缺点是需要大量的僵尸主机，并且这些主机的IP是暴露的，因此容易被追踪。

3、刷Script脚本攻击

针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统，刷Script脚本攻击是一种常见的方法。攻击者与服务器建立正常的TCP连接后，不断向脚本程序提交查询、列表等大量耗费数据库资源的请求。这种攻击以较小的代价换取服务器资源的大量消耗。对于服务器而言，处理这些请求可能会从数万条记录中查找某个记录，从而消耗大量资源。通常，数据库服务器很少能支持数百个查询指令同时执行，而这对于攻击者来说轻而易举。因此，攻击者只需通过Proxy代理向主机服务器大量递交查询指令，数分钟内即可耗尽服务器资源，导致拒绝服务。常见现象包括网站响应缓慢、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高等。这种攻击可完全绕过普通防火墙，且只需简单寻找一些Proxy代理即可实施攻击。然而，其缺点是对于只有静态页面的网站效果有限，并且有些Proxy可能会暴露攻击者的IP地址。

四、如何有效抵御DDOS攻击？

对抗DDOS攻击是一个综合性的任务，依赖单一的系统或产品来完全防御DDOS是不现实的。当前，完全杜绝DDOS攻击还是不可能的，但通过适当的策略，抵挡住90%的DDOS攻击是可以实现的。增加防御DDOS的能力，也就意味着提高了攻击者的攻击成本，使得大部分攻击者因成本过高而放弃，这也就相当于成功地抵御了DDOS攻击。以下是一些建议的防御措施：

1. 采用高性能网络设备：

确保网络设备不成为攻击的瓶颈。为此，在选择路由器、交换机、硬件防火墙等设备时，应优先选用知名度高、口碑好的产品。如果与网络提供商有特殊关系或协议，当大量攻击发生时，可以请求他们在网络接点处实施流量限制，这对抗某些DDOS攻击尤为有效。

2. 避免NAT的使用：

无论是路由器还是硬件防护墙，都应尽量避免使用网络地址转换(NAT)。因为NAT技术会大幅降低网络通信能力，原因在于NAT需要对地址进行来回转换，此过程中会产生额外的CPU开销，用于网络包的校验和计算。但在某些场景下，如果必须使用NAT，那么此建议可能不适用。

3. 确保充足的网络带宽：

网络带宽是抵御DDOS攻击的一个关键因素。例如，10M带宽很难对抗现在的SYN Flood攻击。建议选择至少100M的共享带宽，而最佳的选择是挂在1000M的主干上。但需要注意的是，即使主机上的网卡是1000M，如果它连接在100M的交换机上，其实际带宽仍不会超过100M。

4. 升级主机服务器硬件：

在保证了网络带宽的前提下，应尽量提升服务器硬件配置。

5. 网站静态化处理：

将网站转化为静态页面不仅可以大大提高其抗攻击能力，还能给潜在的黑客入侵带来麻烦。到目前为止，HTML的溢出问题尚未出现。当然，如果需要数据库支持的脚本，应确保其安全性，并建议在脚本中拒绝使用代理的访问，因为经验表明，大部分使用代理访问的行为都是恶意的。

6. 加强操作系统的TCP/IP栈：

对于Windows 2000和Windows 2003服务器操作系统，它们默认状态下具有一定的抵抗DDOS攻击的能力，但这一功能通常需要手动开启。开启后可以抵挡约10,000个SYN攻击包，而未开启时仅能抵御数百个。

7. 安装专业抗DDOS防火墙：

安装专门针对DDOS攻击的防火墙，可以提高服务器的防御能力，降低被攻击的风险。

8. 其他防御措施：

除了以上提到的建议，还应定期更新系统和软件的安全补丁，确保所有防护措施都处于最新状态，并定期进行安全审计，确保没有潜在的漏洞被攻击者利用。

在面临复杂多变的网络攻击挑战时，这些方式可能无法满足全面防护的需求。那么，企业如何选择适合自己的防御产品呢？

YUNDUN，拥有12年的攻防经验，推荐其Web安全加速产品。这款产品针对Web/API等在线业务提供一站式安全加速解决方案，整合了Web应用防火墙、CDN加速、抗DDoS三大模块。它专注于保护游戏、电商、金融、医疗、门户等行业的网站/APP/API业务，免受各种网络攻击的威胁，同时确保网站内容的快速稳定访问。

与传统硬件防火墙和一般云WAF相比，YUNDUN的Web安全加速产品有何优势呢？

首先，相较于传统硬件防火墙，YUNDUN的Web安全加速产品成本更低，支持分钟级接入，且配置简单，只需修改DNS配置或CNAME接入。在防御性能上，误杀率低，尤其适合复杂的业务系统。对于网站类DDoS防护，它通过DNS解析将访问流量引至全球DDoS防护集群进行清洗，为各类业务提供DDoS防护能力。

其次，对于CC攻击防护，YUNDUN的产品通过DNS解析将流量引至防御节点，根据业务逻辑和特性灵活制定防御策略，有效缓解CC攻击。

最后，与一般云WAF相比，YUNDUN的Web安全加速产品在安全防御能力上更为全面，可以解决与Web应用有关的一系列安全问题。自带动态CDN能力，既保证了网站安全，又为网站接口提供动态内容加速分发能力，确保了业务的持续稳定性。

有效的安全防护是企业稳定运营的关键。选择一款适合自己的安全防护产品，既可以避免不必要的损失，也是对未来发展的保障。YUNDUN的Web安全加速产品凭借其高效、全面、灵活的防护策略，无疑是企业的理想选择。