DDOS分类以及防护方案

fcj123456

1.带宽消耗型：消耗带宽，在入口阻塞正常用户。

①防御方法：提升服务器租Q（交换机）入流量996带宽，单机10G，机房39一般是100G。针对429UPD Flood，与机房沟通是否可以限制UDP服务，针对ICMP Flood，运营商层面一般就会阻断，禁止ping包可以。

②防御方法：针对带宽消耗型攻击，目前主要靠灵活调度来防御。而且这种情况下，流量根本就没有到我们的服务器，在机房交换机上一层就已经拥塞了。这个时候就要购买对应防护的款式进行抗攻击，快快网络扬州BGP清洗机房，T级防御，独家清洗防火墙，自建天擎云防系统，实时观察攻击类型。

2. 资源消耗型攻击：攻击者利用协议的缺陷或者模拟应用层协议，构造恶意的攻击报文，这种报文没有作用但是目标服务器又不得不处理，消耗大量系统资源，导致目标服务器异常，影响正常应用。比如CC攻击等。

CC攻击可以归为DDoS攻击的一种。他们之间的原理都是一样的，即发送大量的请求数据来导致服务器拒绝服务，是一种连接攻击。CC攻击又可分为代理CC攻击，和肉鸡CC攻击。请求的内容一般为动态资源，比如js/cgi/asp, 由于这类攻击能模仿正常用户请求，很难识别，较难防御。而且用户放在CDN的内容，针对这类文件一般都不会缓存，直接透传到源站。 针对这类攻击，只能在业务层面防护，比如针对某些动作，做限制频率，比如某个IP，5分钟内只能请求3次，超过就返回403