【51CTO.com獨家特稿】從07年的愛沙尼亞DDoS信息戰(zhàn)，到今年廣西南寧30個網(wǎng)吧遭受到DDoS勒索，再到新浪網(wǎng)遭受DDoS攻擊無法提供對外服務(wù)500多分鐘。DDoS愈演愈烈，攻擊事件明顯增多，攻擊流量也明顯增大，形勢十分嚴峻，超過1G的攻擊流量頻頻出現(xiàn)，CNCERT/CC掌握的數(shù)據(jù)表明，最高時達到了12G，這樣流量，甚至連專業(yè)的機房都無法抵擋。更為嚴峻的是：利用DDoS攻擊手段敲詐勒索已經(jīng)形成了一條完整的產(chǎn)業(yè)鏈！并且，攻擊者實施成本極低，在網(wǎng)上可以隨便搜索到一大堆攻擊腳本、工具工具，對攻擊者的技術(shù)要求也越來越低。相反的是，專業(yè)抗DDoS設(shè)備的價格十分昂貴，而且對于攻擊源的追查難度極大，防護成本遠遠大于攻擊成本。

本文將對DDoS攻擊的原理做一個剖析，并提供一些解決方法。

一. DDoS攻擊

什么是DDoS？DDoS是英文Distributed Denial of Service的縮寫，意即"分布式拒絕服務(wù)",DDoS的中文名叫分布式拒絕服務(wù)攻擊，俗稱洪水攻擊。首先，我們來了解一下相關(guān)定義。

服務(wù)：系統(tǒng)提供的，用戶在對其使用中會受益的功能

拒絕服務(wù)：任何對服務(wù)的干涉如果使其可用性降低或者失去可用性均稱為拒絕服務(wù)。

拒絕服務(wù)攻擊：是指攻擊者通過某種手段，有意地造成計算機或網(wǎng)絡(luò)不能正常運轉(zhuǎn)從而不能向合法用戶提供所需要的服務(wù)或者使得服務(wù)質(zhì)量降低

分布式拒絕服務(wù)攻擊：處于不同位置的多個攻擊者同時向一個或者數(shù)個目標發(fā)起攻擊，或者一個或多個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊，由于攻擊的發(fā)出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務(wù)攻擊。

圖

如圖所示，DDoS攻擊將造成網(wǎng)絡(luò)資源浪費、鏈路帶寬堵塞、服務(wù)器資源耗盡而業(yè)務(wù)中斷。這種攻擊大多數(shù)是由黑客非法控制的電腦實施的。黑客非法控制一些電腦之后，把這些電腦轉(zhuǎn)變?yōu)橛傻叵戮W(wǎng)絡(luò)遠程控制的“bots”，然后用這些電腦實施DDoS攻擊。黑客還以每臺為單位，低價出租這些用于攻擊的電腦，真正擁有這些電腦的主人并不知道自己的計算機已經(jīng)被用來攻擊別人。由于有數(shù)百萬臺電腦現(xiàn)在已經(jīng)被黑客變成了“bots”，因此這種攻擊將非常猛烈。被DDoS攻擊時的現(xiàn)象：

網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包；

制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機無法正常和外界通訊；

利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機無法及時處理所有正常請求；

嚴重時會造成系統(tǒng)死機。

由于網(wǎng)絡(luò)層的拒絕服務(wù)攻擊有的利用了網(wǎng)絡(luò)協(xié)議的漏洞，有的則搶占網(wǎng)絡(luò)或者設(shè)備有限的處理能力，使得對拒絕服務(wù)攻擊的防治成為了一個令管理員非常頭痛的問題。尤其是目前在大多數(shù)的網(wǎng)絡(luò)環(huán)境骨干線路上普遍使用的防火墻、負載均衡等設(shè)備，在發(fā)生DDoS攻擊的時候往往成為整個網(wǎng)絡(luò)的瓶頸，造成全網(wǎng)的癱瘓。#p#

二. 數(shù)據(jù)包結(jié)構(gòu)

要了解DDoS的攻擊原理，就要首先了解一下數(shù)據(jù)包的結(jié)構(gòu)，才能知根知底，追本溯源。首先來回顧一下數(shù)據(jù)包的結(jié)構(gòu)。

2.1 IP報文結(jié)構(gòu)

圖

2.2 TCP報文結(jié)構(gòu)

圖

一個TCP報頭的標識（code bits）字段包含6個標志位：

SYN：標志位用來建立連接，讓連接雙方同步序列號。如果SYN＝1而ACK=0，則表示該數(shù)據(jù)包為連接請求，如果SYN=1而ACK=1則表示接受連接

FIN：表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了，希望釋放連接。

RST：用來復(fù)位一個連接。RST標志置位的數(shù)據(jù)包稱為復(fù)位包。一般情況下，如果TCP收到的一個分段明顯不是屬于該主機上的任何一個連接，則向遠端發(fā)送一個復(fù)位包。

URG：為緊急數(shù)據(jù)標志。如果它為1，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時緊急數(shù)據(jù)指針有效。

ACK：為確認標志位。如果為1，表示包中的確認號時有效的。否則，包中的確認號無效。

PSH：如果置位，接收端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層, 不必等緩沖區(qū)滿再發(fā)送 。

2.3 UDP報文結(jié)構(gòu)

圖

2.4 ICMP報文結(jié)構(gòu)

圖

圖

#p#

三. DDoS攻擊方式

3.1 SYN Flood攻擊

SYN-Flood攻擊是當前網(wǎng)絡(luò)上最為常見的DDoS攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了TCP協(xié)議實現(xiàn)上的一個缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報文，就可能造成目標服務(wù)器中的半開連接隊列被占滿，從而阻止其他合法用戶進行訪問。這種攻擊早在1996年就被發(fā)現(xiàn)，但至今仍然顯示出強大的生命力。很多操作系統(tǒng)，甚至防火墻、路由器都無法有效地防御這種攻擊，而且由于它可以方便地偽造源地址，追查起來非常困難。它的數(shù)據(jù)包特征通常是，源發(fā)送了大量的SYN包，并且缺少三次握手的最后一步握手ACK回復(fù)。

3.1.1 原理

例如，攻擊者首先偽造地址對服務(wù)器發(fā)起SYN請求（我可以建立連接嗎？），服務(wù)器就會回應(yīng)一個ACK+SYN（可以+請確認）。而真實的IP會認為，我沒有發(fā)送請求，不作回應(yīng)。服務(wù)器沒有收到回應(yīng)，會重試3-5次并且等待一個SYN Time（一般30秒-2分鐘）后，丟棄這個連接。

如果攻擊者大量發(fā)送這種偽造源地址的SYN請求，服務(wù)器端將會消耗非常多的資源來處理這種半連接，保存遍歷會消耗非常多的CPU時間和內(nèi)存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。最后的結(jié)果是服務(wù)器無暇理睬正常的連接請求—拒絕服務(wù)。在服務(wù)器上用netstat –an命令查看SYN_RECV狀態(tài)的話，就可以看到：

圖

如果我們抓包來看：

圖

可以看到大量的SYN包沒有ACK回應(yīng)。

3.1.2 SYN Flood防護

目前市面上有些防火墻具有SYN Proxy功能，這種方法一般是定每秒通過指定對象（目標地址和端口、僅目標地址或僅源地址）的SYN片段數(shù)的閥值，當來自相同源地址或發(fā)往相同目標地址的SYN片段數(shù)達到這些閥值之一時，防火墻就開始截取連接請求和代理回復(fù)SYN/ACK片段，并將不完全的連接請求存儲到連接隊列中直到連接完成或請求超時。當防火墻中代理連接的隊列被填滿時，防火墻拒絕來自相同安全區(qū)域（zone）中所有地址的新SYN片段，避免網(wǎng)絡(luò)主機遭受不完整的三次握手的攻擊。但是，這種方法在攻擊流量較大的時候，連接出現(xiàn)較大的延遲，網(wǎng)絡(luò)的負載較高，很多情況下反而成為整個網(wǎng)絡(luò)的瓶頸；

Random Drop：隨機丟包的方式雖然可以減輕服務(wù)器的負載，但是正常連接的成功率也會降低很多；

特征匹配：IPS上會常用的手段，在攻擊發(fā)生的當時統(tǒng)計攻擊報文的特征，定義特征庫，例如過濾不帶TCP Options 的syn 包等；

早期攻擊工具（例如synkiller，xdos，hgod等）通常是發(fā)送64字節(jié)的TCP SYN報文，而主機操作系統(tǒng)在發(fā)起TCP連接請求時發(fā)送SYN 報文是大于64字節(jié)的。因此可以在關(guān)鍵節(jié)點上設(shè)置策略過濾64字節(jié)的TCP SYN報文，某些宣傳具有防護SYN Flood攻擊的產(chǎn)品就是這么做的。隨著工具的改進，發(fā)出的TCP SYN 報文完全模擬常見的通用操作系統(tǒng)，并且IP頭和TCP頭的字段完全隨機，這時就無法在設(shè)備上根據(jù)特定的規(guī)則來過濾攻擊報文。這時就需要根據(jù)經(jīng)驗判斷IP 包頭里TTL值不合理的數(shù)據(jù)包并阻斷，但這種手工的方法成本高、效率低。 圖是某攻擊工具屬性設(shè)置。 

圖

SYN Cookie：就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN報文，就認定是受到了攻擊，以后從這個IP地址來的包會被丟棄。但SYN Cookie依賴于對方使用真實的IP地址，如果攻擊者利用SOCK_RAW隨機改寫IP報文中的源地址，這個方法就沒效果了。

3.1.3 商業(yè)產(chǎn)品的防護算法

syn cookie/syn proxy類防護算法：這種算法對所有的syn包均主動回應(yīng)，探測發(fā)起syn包的源IP地址是否真實存在；如果該IP地址真實存在，則該IP會回應(yīng)防護設(shè)備的探測包，從而建立TCP連接；大多數(shù)的國內(nèi)外抗拒絕服務(wù)產(chǎn)品采用此類算法。

safereset算法：此算法對所有的syn包均主動回應(yīng)，探測包特意構(gòu)造錯誤的字段，真實存在的IP地址會發(fā)送rst包給防護設(shè)備，然后發(fā)起第2次連接，從而建立TCP連接；部分國外產(chǎn)品采用了這樣的防護算法。

syn重傳算法：該算法利用了TCP/IP協(xié)議的重傳特性，來自某個源IP的第一個syn包到達時被直接丟棄并記錄狀態(tài)，在該源IP的第2個syn包到達時進行驗證，然后放行。 

綜合防護算法：結(jié)合了以上算法的優(yōu)點，并引入了IP信譽機制。當來自某個源IP的第一個syn包到達時，如果該IP的信譽值較高，則采用syncookie算法；而對于信譽值較低的源IP，則基于協(xié)議棧行為模式，如果syn包得到驗證，則對該連接進入syncookie校驗，一旦該IP的連接得到驗證則提高其信譽值。有些設(shè)備還采用了表結(jié)構(gòu)來存放協(xié)議棧行為模式特征值，大大減少了存儲量。#p#

3.2 ACK Flood攻擊

3.2.1 原理

ACK Flood攻擊是在TCP連接建立之后，所有的數(shù)據(jù)傳輸TCP報文都是帶有ACK標志位的，主機在接收到一個帶有ACK標志位的數(shù)據(jù)包的時候，需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在，如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法，然后再向應(yīng)用層傳遞該數(shù)據(jù)包。如果在檢查中發(fā)現(xiàn)該數(shù)據(jù)包不合法，例如該數(shù)據(jù)包所指向的目的端口在本機并未開放，則主機操作系統(tǒng)協(xié)議棧會回應(yīng)RST包告訴對方此端口不存在。

這里，服務(wù)器要做兩個動作：查表、回應(yīng)ACK/RST。這種攻擊方式顯然沒有SYN Flood給服務(wù)器帶來的沖擊大，因此攻擊者一定要用大流量ACK小包沖擊才會對服務(wù)器造成影響。按照我們對TCP協(xié)議的理解，隨機源IP的ACK小包應(yīng)該會被Server很快丟棄，因為在服務(wù)器的TCP堆棧中沒有這些ACK包的狀態(tài)信息。但是實際上通過測試，發(fā)現(xiàn)有一些TCP服務(wù)會對ACK Flood比較敏感，比如說JSP Server，在數(shù)量并不多的ACK小包的打擊下，JSP Server就很難處理正常的連接請求。對于Apache或者IIS來說，10kpps的ACK Flood不構(gòu)成危脅，但是更高數(shù)量的ACK Flood會造成服務(wù)器網(wǎng)卡中斷頻率過高，負載過重而停止響應(yīng)。可以肯定的是，ACK Flood不但可以危害路由器等網(wǎng)絡(luò)設(shè)備，而且對服務(wù)器上的應(yīng)用有不小的影響。抓包：

圖

如果沒有開放端口，服務(wù)器將直接丟棄，這將會耗費服務(wù)器的CPU資源。如果端口開放，服務(wù)器回應(yīng)RST。

3.2.2 ACK Flood防護

利用對稱性判斷來分析出是否有攻擊存在。所謂對稱型判斷，就是收包異常大于發(fā)包，因為攻擊者通常會采用大量ACK包，并且為了提高攻擊速度，一般采用內(nèi)容基本一致的小包發(fā)送。這可以作為判斷是否發(fā)生ACK Flood的依據(jù)，但是目前已知情況來看，很少有單純使用ACK Flood攻擊，都會和其他攻擊方法混合使用，因此，很容易產(chǎn)生誤判。

一些防火墻應(yīng)對的方法是：建立一個hash表，用來存放TCP連接“狀態(tài)”，相對于主機的TCP stack實現(xiàn)來說，狀態(tài)檢查的過程相對簡化。例如，不作sequence number的檢查，不作包亂序的處理，只是統(tǒng)計一定時間內(nèi)是否有ACK包在該“連接”(即四元組)上通過，從而“大致”確定該“連接”是否是“活動的”。#p#

3.3 UDP Flood攻擊

3.3.1 原理

UDP Flood是日漸猖厥的流量型DoS攻擊，原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認證服務(wù)器、流媒體視頻服務(wù)器。 100k pps的UDP Flood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個網(wǎng)段的癱瘓。由于UDP協(xié)議是一種無連接的服務(wù)，在UDP FLOOD攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是，由于UDP協(xié)議是無連接性的，所以只要開了一個UDP的端口提供相關(guān)服務(wù)的話，那么就可針對相關(guān)的服務(wù)進行攻擊。

正常應(yīng)用情況下，UDP包雙向流量會基本相等，而且大小和內(nèi)容都是隨機的，變化很大。出現(xiàn)UDP Flood的情況下，針對同一目標IP的UDP包在一側(cè)大量出現(xiàn)，并且內(nèi)容和大小都比較固定。攻擊工具：

圖

53端口的UDP Flood攻擊抓圖：

圖

UDP Flood大包攻擊（占帶寬，分片）：

圖

3.3.2 UDP Flood防護

UDP協(xié)議與TCP 協(xié)議不同，是無連接狀態(tài)的協(xié)議，并且UDP應(yīng)用協(xié)議五花八門，差異極大，因此針對UDP Flood的防護非常困難。其防護要根據(jù)具體情況對待：

判斷包大小，如果是大包攻擊則使用防止UDP碎片方法：根據(jù)攻擊包大小設(shè)定包碎片重組大小，通常不小于1500。在極端情況下，可以考慮丟棄所有UDP碎片。

攻擊端口為業(yè)務(wù)端口：根據(jù)該業(yè)務(wù)UDP最大包長設(shè)置UDP最大包大小以過濾異常流量。

攻擊端口為非業(yè)務(wù)端口：一個是丟棄所有UDP包，可能會誤傷正常業(yè)務(wù)；一個是建立UDP連接規(guī)則，要求所有去往該端口的UDP包，必須首先與TCP端口建立TCP連接。不過這種方法需要很專業(yè)的防火墻或其他防護設(shè)備支持。#p#

3.4 ICMP Flood攻擊

3.4.1 原理

ICMP Flood 的攻擊原理和ACK Flood原理類似，屬于流量型的攻擊方式，也是利用大的流量給服務(wù)器帶來較大的負載，影響服務(wù)器的正常服務(wù)。由于目前很多防火墻直接過濾ICMP報文，因此ICMP Flood出現(xiàn)的頻度較低。比較下面兩幅圖，就應(yīng)該可以看出是否有ICMP Flood攻擊。

正常ICMP包：

圖

大包攻擊的時候：

圖

3.4.2 ICMP Flood防護

其防御也很簡單，直接過濾ICMP報文。這里就不做詳細說明。#p#

3.5 Connection Flood攻擊

3.5.1 原理

Connection Flood是典型的并且非常的有效的利用小流量沖擊大帶寬網(wǎng)絡(luò)服務(wù)的攻擊方式，這種攻擊方式目前已經(jīng)越來越猖獗。這種攻擊的原理是利用真實的IP地址向服務(wù)器發(fā)起大量的連接，并且建立連接之后很長時間不釋放，占用服務(wù)器的資源，造成服務(wù)器服務(wù)器上殘余連接(WAIT狀態(tài))過多，效率降低，甚至資源耗盡，無法響應(yīng)其他客戶所發(fā)起的連接。

其中一種攻擊方法是每秒鐘向服務(wù)器發(fā)起大量的連接請求，這類似于固定源IP的SYN Flood攻擊，不同的是采用了真實的源IP地址。通常這可以在防火墻上限制每個源IP地址每秒鐘的連接數(shù)來達到防護目的。但現(xiàn)在已有工具采用慢速連接的方式，也即幾秒鐘才和服務(wù)器建立一個連接，連接建立成功之后并不釋放并定時發(fā)送垃圾數(shù)據(jù)包給服務(wù)器使連接得以長時間保持。這樣一個IP地址就可以和服務(wù)器建立成百上千的連接，而服務(wù)器可以承受的連接數(shù)是有限的，這就達到了拒絕服務(wù)的效果。

另外，蠕蟲大規(guī)模爆發(fā)的時候，由于蠕蟲代碼則比較簡單，傳播過程中會出現(xiàn)大量源IP地址相同的包，對于 TCP 蠕蟲則表現(xiàn)為大范圍掃描行為。這是在判斷Connection Flood時需要注意的。

在受攻擊的服務(wù)器上使用netstat –an來看：

圖

存在大量連接狀態(tài)，來自少數(shù)的幾個源。如果統(tǒng)計的話，可以看到連接數(shù)對比平時出現(xiàn)異常。并且增長到某一值之后開始波動，說明此時可能已經(jīng)接近性能極限。因此，對這種攻擊的判斷：在流量上體現(xiàn)并不大，甚至可能會很小；大量的ESTABLISH狀態(tài)；新建的ESTABLISH狀態(tài)總數(shù)有波動。

3.5.2 Connection Flood防護

主動清除殘余連接。

對惡意連接的IP進行封禁。

限制每個源IP的連接數(shù)。

可以對特定的URL進行防護。

反查Proxy后面發(fā)起HTTP Get Flood的源。#p#

3.6 HTTP Get攻擊

3.6.1 原理

這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計的，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的數(shù)據(jù)庫服務(wù)器很少能支持數(shù)百個查詢指令同時執(zhí)行，而這對于客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機服務(wù)器大量遞交查詢指令，只需數(shù)分鐘就會把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù)，常見的現(xiàn)象就是網(wǎng)站慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火墻防護，輕松找一些Proxy代理就可實施攻擊，缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣，并且有些Proxy會暴露攻擊者的IP地址。攻擊工具：

圖

在遭受攻擊的服務(wù)器上抓包，大量不同IP在請求資源。在實際情況中，也有可能使用代理地址連接。

3.6.2 HTTP Get防護

對是否HTTP Get的判斷，要統(tǒng)計到達每個服務(wù)器的每秒鐘的GET 請求數(shù)，如果遠遠超過正常值，就要對HTTP協(xié)議解碼，找出HTTP Get及其參數(shù)（例如URL等）。

然后判斷某個GET 請求是來自代理服務(wù)器還是惡意請求。并回應(yīng)一個帶key的響應(yīng)要求請求發(fā)起端作出相應(yīng)的回饋。如果發(fā)起端并不響應(yīng)則說明是利用工具發(fā)起的請求，這樣HTTP Get請求就無法到達服務(wù)器，達到防護的效果。#p#

3.7 UDP DNS Query Flood攻擊

3.7.1 原理

UDP DNS Query Flood攻擊實質(zhì)上是UDP Flood的一種，但是由于DNS服務(wù)器的不可替代的關(guān)鍵作用，一旦服務(wù)器癱瘓，影響一般都很大。

UDP DNS Query Flood攻擊采用的方法是向被攻擊的服務(wù)器發(fā)送大量的域名解析請求，通常請求解析的域名是隨機生成或者是網(wǎng)絡(luò)世界上根本不存在的域名，被攻擊的DNS 服務(wù)器在接收到域名解析請求的時候首先會在服務(wù)器上查找是否有對應(yīng)的緩存，如果查找不到并且該域名無法直接由服務(wù)器解析的時候，DNS 服務(wù)器會向其上層DNS服務(wù)器遞歸查詢域名信息。域名解析的過程給服務(wù)器帶來了很大的負載，每秒鐘域名解析請求超過一定的數(shù)量就會造成DNS服務(wù)器解析域名超時。

根據(jù)微軟的統(tǒng)計數(shù)據(jù)，一臺DNS服務(wù)器所能承受的動態(tài)域名查詢的上限是每秒鐘9000個請求。而我們知道，在一臺P3的PC機上可以輕易地構(gòu)造出每秒鐘幾萬個域名解析請求，足以使一臺硬件配置極高的DNS服務(wù)器癱瘓，由此可見DNS 服務(wù)器的脆弱性。同時需要注意的是，蠕蟲擴散也會帶來大量的域名解析請求。

3.7.2 UDP DNS Query Flood防護

在UDP Flood的基礎(chǔ)上對 UDP DNS Query Flood 攻擊進行防護

根據(jù)域名 IP 自學(xué)習(xí)結(jié)果主動回應(yīng)，減輕服務(wù)器負載（使用 DNS Cache）

對突然發(fā)起大量頻度較低的域名解析請求的源 IP 地址進行帶寬限制 在攻擊發(fā)生時降低很少發(fā)起域名解析請求的源 IP 地址的優(yōu)先級

限制每個源 IP 地址每秒的域名解析請求次數(shù)

四. 總結(jié)

看完這篇文章，您已經(jīng)了解了7種主流的DDoS攻擊方式，并且也了解了相應(yīng)的解決方法。雖然道高一尺，魔高一丈，新的攻擊方法也在源源不斷出現(xiàn)。但是，只要您掌握了相應(yīng)的原理，破解DDoS攻擊并非難事，不過其前提是您在掌握原理的基礎(chǔ)上，還需要有相應(yīng)的軟件、硬件來對抗。本文的最后，給出幾個小題目，幫您回憶一下前面所說的內(nèi)容。

1. 對上述方法的總結(jié)。

2. 如果您的主要業(yè)務(wù)是UDP音頻應(yīng)用，為了維護利益，盡可能降低攻擊對其業(yè)務(wù)的影響，您平時應(yīng)該如何關(guān)注？

3. 僵尸網(wǎng)絡(luò)是個無堅不摧的矛嗎？如何緩解來自僵尸網(wǎng)絡(luò)的攻擊帶來的影響？如果一次ACK-Flood的攻擊流量是通過僵尸網(wǎng)絡(luò)發(fā)出來的，那么它通常會帶有什么特征。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. 專題：DDoS攻擊防御與分析
2. 設(shè)置路由器門限值預(yù)防DDoS攻擊