什么是 DDOS 流量攻击，DDoS 防护安全方案

​

随着互联网的发展普及，云计算+AI+5G 成新趋势，人们对生活方式逐渐发生改变的同时，随之而来的网络安全威胁也日益严重！DDoS 攻击是目前最为常见的攻击手段，而且随着技术发展，现在的 DDoS 攻击势头更为猛烈，造成的影响也越来越大。在网络安全上，德迅云安全多年积累 DDOS 攻防经验，今天就来简单讲解下什么是 DDOS 流量攻击，以及 DDoS 防护安全方案。

一、什么是 DDOS

DDOS，全称 Distributed Denial of Service，中文意思为“分布式拒绝服务”，是一种特殊的拒绝服务攻击类型，其特殊之处在于这种攻击方式是分布式拒绝服务攻击。

定义：

DDoS 攻击是指攻击者利用大量的网络资源，向目标发起大量的、合法的或非法的请求，导致目标系统资源耗尽，无法处理正常请求，从而造成目标服务不可用。

原理：

DDoS 攻击通过控制大量的僵尸网络发起，这些僵尸网络是由被恶意软件感染的计算机组成的网络，攻击者通过控制这些计算机，让它们向目标发送大量的请求，从而导致服务器宕机而无法对外提供正常服务，造成业务暂停而引起经济损失。

​

二、DDoS 的攻击方式

网络服务需要面向大众就需要提供用户访问接口，这些接口恰恰就给了攻击者有可乘之机，如：可以利用 TCP/IP 协议握手缺陷消耗服务端的链接资源，可以利用 UDP 协议无状态的机制伪造大量的 UDP 数据包阻塞通信信道。可以说，互联网的世界自诞生之日起就不缺乏被 DDoS 利用的攻击点，从 TCP/IP 协议机制到 CC、DNS、NTP 反射类攻击，更有甚者利用各种应用漏洞发起更高级更精确的攻击。

从 DDoS 的危害性和攻击行为，DDoS 攻击方式有以下几类：

1）资源消耗类攻击

资源消耗类是比较典型的 DDoS 攻击，最具代表性的包括：Syn Flood、Ack Flood、UDP Flood。这类攻击的目标很简单，就是通过大量请求消耗正常的带宽和协议栈处理资源的能力，从而达到服务端无法正常工作的目的。

2）服务消耗性攻击

相比资源消耗类攻击，服务消耗类攻击不需要太大的流量，它主要是针对服务的特点进行精确定点打击，如 web 的 CC，数据服务的检索，文件服务的下载等。这类攻击往往不是为了拥塞流量通道或协议处理通道，它们是让服务端始终处理高消耗型的业务的忙碌状态，进而无法对正常业务进行响应。

​

3）反射类攻击

反射攻击也叫放大攻击，该类攻击以 UDP 协议为主，一般请求回应的流量远远大于请求本身流量的大小。攻击者通过流量被放大的特点以较小的流量带宽就可以制造出大规模的流量源，从而对目标发起攻击。反射类攻击严格意义上来说不算是攻击的一种，它只是利用某些服务的业务特征来实现用更小的代价发动 Flood 攻击

4）混合型攻击

混合型攻击是结合上述几种攻击类型，并在攻击过程中进行探测选择最佳的攻击方式。混合型攻击往往伴随这资源消耗和服务消耗两种攻击类型特征。

三、DDOS 的危害：

DDoS 攻击的危害主要体现在以下几个方面：

• 服务不可用：DDoS 攻击的目标通常是提供互联网服务的公司或组织，通过大量的请求使服务器过载，导致正常的用户请求无法得到处理，最终导致服务不可用。

• 数据泄露：在 DDoS 攻击过程中，如果攻击者能够成功入侵目标系统，可能会窃取敏感信息或破坏数据。

• 经济损害：对于企业来说，DDoS 攻击可能导致其品牌形象受损，影响客户信任，导致用户的流失，造成企业经济损失。

四、为什么攻击会选择 DDoS

在过去十几年中，网络基础设施核心部件从未改变，这使得一些已经发现和被利用的漏洞以及一些成熟的攻击工具生命周期很长，即使放到今天也依然有效；另外，互联网七层模型应用的迅猛发展，使得 DDoS 的攻击目标多元化，从 web 到 DNS，从三层网络到七层应用，从协议栈到应用 App，层出不穷的新产品也给了黑客更多的机会和突破点；再者 DDoS 的防护是一个技术和成本不对等的工程，往往一个业务的 DDoS 防御系统建设成本要比业务本身的成本或收益更加庞大，这使得很多创业公司或小型互联网公司不愿意做更多的投入提前做好网络安全。

另外，不同于其他恶意篡改数据或劫持类攻击，DDoS 简单粗暴，可以达到直接摧毁目标的目的。相对其他攻击方式，DDoS 的技术要求和发动攻击的成本很低，只需要购买部分服务器权限或控制一批肉鸡即可，而且攻击相应速度很快，攻击效果更直观，而且攻击容易，防护难，这些特点使得 DDoS 成为攻击者们首选的攻击方式。

面对难缠的 DDOS 攻击，德迅云安全给大家带来防护 DDOS 的安全解决方案：

1、流量清洗：这是一种常见的 DDoS 防护手段，可以通过部署 DDOS 高防 IP 对流量进行清洗，将正常的流量和恶意流量分开，然后将恶意流量丢弃或转向。

2、限流：限流是指限制流量的速率或数量，从而防止服务器过载。例如，可以限制来自同一 IP 地址的请求速率，或者限制总的入站带宽。

3、内容过滤：通过检查流量的内容，识别并过滤恶意流量。例如，可以过滤掉所有的 ICMP 洪水攻击流量。

4、分布式防御：德迅云安全 SCDN，由于 DDoS 攻击通常来自大量的僵尸网络，安全 SCDN 分布式防御系统，可提供可弹性扩缩的分布式云防护节点，当发生超大流量攻击时，可根据影响范围，迅速将业务分摊到未受影响的节点。

​