DDOS攻击种类繁多

DDOS 的攻击途径分类大略有三种。第一种，利用软件的缺陷，对服务方发送一些可能会引发事故或者故障而无法正常服务的报文，而这种攻击非常致命，比普通的资源占用型攻击要凶残许多，往往一旦攻击成功就会导致服务器瘫痪等重大问题。

第二种，利用协议漏洞对系统资源进行占用。这种攻击往往会利用HTTP的协议漏洞，伪造IP进行攻击。由于向服务器连接时需要有三次握手阶段，用户发送请求，服务器回应请求，用户确认和服务器连接。但是在攻击时，伪造IP仅仅执行前两个阶段而形成死循环，大量占用服务器资源导致网站无法正常工作。

 

　　TCP三次握手阶段(图片源于百科)

第三种，也就是最最缺乏技术含量的一种，大量的资源比拼。由于攻击者手中握有很多的代理程序，利用这些代理程序向服务器发送大量的垃圾数据，占用带宽，导致服务器拒绝服务。这种方法简直就是资金硬拼，你用你的流量和攻击换取我的加强基础设施建设，甚至超规模建设等问题。

三种办法听起来都是很简单的手段，但是一旦进行攻击，其危险性超脱了很多人的预想。美国的金融机构纷纷中招也显示了这个简单粗暴的攻击手段到底有多难防御，成名20年依然不能阻挡他神挡杀神佛的脚步，那么我们真的拿他无解了么？

　　想说防你很难，但又不得不防

对于软件缺陷型攻击的防御一般还是采取主动防御的措施，因为在三种攻击中，该攻击的后果最为严重，而且攻击手段也非常隐蔽。对于系统应当经常进行监察检测，及时发现漏洞，对此发布补丁、设置加固，消除漏洞。此外还可以购买一些更为专业的防御软件，但是这并不能让你万事大吉。

利用协议漏洞的话防御起来也是比较困难的，因为通常这种远程行为采用的是伪造IP地址，追查难度较大。因此，一般可以选择部署安全设备进行相关设置，然后限制每个源 IP 地址每秒的域名解析请求次数，对于突然出现的大量频度较低的域名解析请求的源 IP 地址进行限制等手段。

 

　　DDOS防御和攻击，都是钱的斗争

而第三种攻击，除了直接砸钱拓宽宽带以外，还可以采取一些其他的技术手段。比如可以部署流量清洗设备，设置一定的阙值，超过之后则选择性丢弃相关数据包；识别DDOS攻击手段，联系服务商，在被攻击时配合运营商引流进入“路由黑洞”等多种手段共同配合，解决问题。

虽说用这些手段可以防范攻击，但是也不能做到完美的防御，DDOS攻击是一种非常难以防御而又极其消耗财力物力人力的一种网络攻击手段，对于他的防御除了针对性的防御以外，还需要在平时做一些事情进行防范。

首先，适当减少企业通道成本。因为DDOS简单说就是一个砸钱的攻击手段，选取较为廉价的通道，甚至采用服务端对外的多路动态网络+静态网络的方式，减小投入成本， 防御成本也就会相应减少，在防范时的升级工作可以有备无患。

其次，减少数据交换需求。对数据流采用加密处理，优化数据交换需求， 采用压缩并检测排除的方法，减轻通道压力。

 

　　采用云数据库是防御DDOS的新思路

再者，可以将需求数据库转为建设云数据库，将重要数据分开存放，建立多通道专用的服务器内网， 即使被DDOS攻击，也不至于全盘崩溃，在被攻击时可选取几条通道关闭并将服务转移。

DDOS攻击虽然无奈，但是也并非完全不可解。多种手段并行防范，从意识上崛起提升网络安全才是重中之重。

(责任编辑：安博涛)