随着物联网装备飞速发展，散布式谢绝服务（DDoS）攻击正在成为一种危险的趋势。就如 DNS 公司 Dyn 上年秋季之遭受[1] 一样，黑客仿佛瞄上了每一个人，使用未保护的物联网装备来轰炸网络的做法正在抬头。
很多人可雇佣的 DDoS 攻击的出现意味着即便是最不精通技术的人都能精准报复某些网站。就像在柜台前面买个东西一样方便，然后就能够完全弄定一个公司。
由 IDG 新闻服务的消息可知，要建造一个 DDoS 服务也是很简单的。通常黑客会租用 6 到 12 个左右的服务器，然后使用它们随便的攻击任何目标。去年十月下旬，HackForums.net 关闭[8]了他们的“服务器压力测试”版块，这个做法就是斟酌到黑客可能通过使用他们每个月十美元的服务建造可雇佣的 DDoS 服务。

攻击原理与攻击危害

依照攻击对象的区别，将对攻击原理和攻击危害的分析分成 3 类，分别是攻击网络带宽资源、系统和利用。

攻击网络带宽资源



攻击系统资源

攻击利用资源

攻击防护原理

从 tcp/udp 协议栈原理介绍 DDoS 防护原理：

（点击图片放大查看）

syn flood：

可以在收到客户端第三次握手 reset 、第二次握手发送毛病的 ack，等 Client 回复 Reset，结合信任机制进行判断。

ack flood：

抛弃三次 ack，让对方重连：重发 syn 建立链接，后续是 syn flood 防护原理；学习正常 ack 的源，超过阈值后，该 ack 没有在正常源列表里面就抛弃 ack 三次，让对方重连：重发 syn 建立链接，后续是 syn flood 防护。

udp flood：

区别层面的防护

按攻击流量范围分类

• 较小流量

小于 1000Mbps，且在服务器硬件与利用接受范围以内，其实不影响业务的：

利用 iptables 或 DDoS 防护利用实现软件层防护。

• 大型流量

大于 1000Mbps，但在 DDoS 清洗装备性能范围以内，且小于机房出口，可能影响相同机房的其他业务的：

利用 iptables 或 DDoS 防护利用实现软件层防护，或在机房出口装备直接配置黑洞等防护策略，或同时切换域名，将对外服务 IP 修改成高负载 Proxy 集群外网 IP 或 CDN 高仿 IP 或公有云 DDoS 防护网关 IP，由其代理到 RealServer；或直接接入 DDoS 清洗装备。

• 超大范围流量

在 DDoS 清洗装备性能范围以外，但在机房出口性能以内，可能影响相同机房的其他业务，或大于机房出口，已影响相同机房的所有业务或大部份业务的：

联系运营商检查分组限流配置部署情况，并视察业务恢复情况。

按攻击流量协议分类

• syn/fin/ack 等 tcp 协议包

设置预警阀值和响应阀值，前者开始报警，后者开始处理，根据流量大小和影响程度调剂防护策略和防护手段，逐渐升级。

• udp/dns query 等 udp 协议包

对大部份游戏业务来讲，都是 TCP 协议的，所以可以根据业务协议制定一份 tcp 协议白名单，如果遇到大量 udp 要求，可以不经产品确认或延迟跟产品确认，直接在系统层面 /HPPS 或清洗装备上抛弃 udp 包。

• http flood/CC 等需要跟数据库交互的攻击

这类一般会致使数据库或 webserver 负载很高或连接数太高，在限流或清洗流量后可能需要重启服务才能释放连接数，因此更偏向在系统资源能够支持的情况下调大支持的连接数。相对来讲，这类攻击防护难度较大，对防护装备性能消耗很大。

• 其他

icmp 包可以直接抛弃，先在机房出口以下各个层面做抛弃或限流策略。现在这类攻击已很少见，对业务破坏力有限。

着十年IDC运营、八年专业DDOS安全防护、在国内掌握顶尖与领先DDOS攻击防范水准的小刀网络，数以万计的DDOS攻击防范克服经验证明了其防御体系的技高一筹。小刀网络花巨额资金搭建了国内目前为止防御系数最高的全新“立体式”安全架构体系，由“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“网络监控系统”“高防智能路由体系”等多个安全产品整合而成，从多层面、多角度、多结构集成一套多元化、高智能的完善安全防护体系。

亮点二：智能防御

小刀的“立体式”安全防护体系通过网络监控实现定期扫描网络主节点，利用智能DNS解析系统设置监测端口，时刻防备可能存在的安全漏洞，如果一个节点遭受攻击时将会自动切换至另外一节点。在面临攻击要挟时，小刀采取的是目前较为理想的一种应对策略，以海量的容量和资源拖垮黑客的攻击，小刀的“立体式”安全防护体系能完全有效处理超过1000G以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood的DDOS攻击，并能有效处理连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击等。而面对黑客DDOS攻击时，小刀组建的是散布式集群防御，可根据需求增加节点数量提高防御力度，宕机检测系统会快速响应更换已瘫痪的节点服务器保证网站正常状态。还可以把攻击者发出的数据包全部返回到发送点，使攻击源变成瘫痪状态，从而削减攻击能力。