DDos攻擊出現(xiàn)在網(wǎng)絡(luò)之后，很多企業(yè)都開(kāi)始進(jìn)行DDos防御，因?yàn)檫@樣才能避免DDos的攻擊，才能保證工作正常的運(yùn)行，那么DDos防御效果怎么樣呢?

　　其主要攻擊方法有4種：

　　1、 攻擊帶寬

　　跟一線城市的交通堵塞情況一樣，大家都該清楚，當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)量達(dá)到或者超過(guò)上限的時(shí)候，會(huì)出現(xiàn)網(wǎng)絡(luò)擁堵、響應(yīng)緩慢的情況。DDoS就是利用這個(gè)原理，發(fā)送大量網(wǎng)絡(luò)數(shù)據(jù)包，占滿被攻擊目標(biāo)的全部帶寬，從而造成正常請(qǐng)求失效，達(dá)到拒絕服務(wù)的目的。

　　攻擊者可以使用ICMP洪水攻擊(即發(fā)送大量ICMP相關(guān)報(bào)文)、或者UDP洪水攻擊(即發(fā)送用戶數(shù)據(jù)報(bào)協(xié)議的大包或小包)，使用偽造源IP地址方式進(jìn)行隱匿，并對(duì)網(wǎng)絡(luò)造成擁堵和服務(wù)器響應(yīng)速度變慢等影響。

　　2、 攻擊系統(tǒng)

　　創(chuàng)建TCP連接需要客戶端與服務(wù)器進(jìn)行三次交互，也就是常說(shuō)的"三次握手"。這個(gè)信息通常被保存在連接表結(jié)構(gòu)中，但是表的大小有限，所以當(dāng)超過(guò)了存儲(chǔ)量，服務(wù)器就無(wú)法創(chuàng)建新的TCP連接了。

　　攻擊者就是利用這一點(diǎn)，用受控主機(jī)建立大量惡意的TCP連接，占滿被攻擊目標(biāo)的連接表，使其無(wú)法接受新的TCP連接請(qǐng)求。如果攻擊者發(fā)送了大量的TCP SYN報(bào)文，使服務(wù)器在短時(shí)間內(nèi)產(chǎn)生大量的半開(kāi)連接，連接表也會(huì)被很快占滿，導(dǎo)致無(wú)法建立新的TCP連接，這個(gè)方式是SYN洪水攻擊，很多攻擊者都比較常用。

　　3、 攻擊應(yīng)用

　　由于DNS和Web服務(wù)的廣泛性和重要性，這兩種服務(wù)就成為了消耗應(yīng)用資源的分布式拒絕服務(wù)攻擊的主要目標(biāo)。

　　比如向DNS服務(wù)器發(fā)送大量查詢請(qǐng)求，從而達(dá)到拒絕服務(wù)的效果，如果每一個(gè)DNS解析請(qǐng)求所查詢的域名都是不同的，那么就有效避開(kāi)服務(wù)器緩存的解析記錄，達(dá)到更好的資源消耗效果。當(dāng)DNS服務(wù)的可用性受到威脅，互聯(lián)網(wǎng)上大量的設(shè)備都會(huì)受到影響而無(wú)法正常使用。

　　近些年，Web技術(shù)發(fā)展非常迅速，如果攻擊者利用大量的受控主機(jī)不斷地向Web服務(wù)器惡意發(fā)送大量HTTP請(qǐng)求，要求Web服務(wù)器處理，就會(huì)完全占用服務(wù)器資源，讓正常用戶的Web訪問(wèn)請(qǐng)求得不到處理，導(dǎo)致拒絕服務(wù)。一旦Web服務(wù)受到這種攻擊，就會(huì)對(duì)其承載的業(yè)務(wù)造成致命的影響。

　　4、 混合攻擊

　　在實(shí)際的生活中，攻擊者并不關(guān)心自己使用的哪種攻擊方法管用，只要能夠達(dá)到目的，一般就會(huì)發(fā)動(dòng)其所有的攻擊手段，盡其所能的展開(kāi)攻勢(shì)。對(duì)于被攻擊目標(biāo)來(lái)說(shuō)，需要面對(duì)不同的協(xié)議、不同資源的分布式拒絕服務(wù)攻擊，分析、響應(yīng)和處理的成本就會(huì)大大增加。

　　隨著僵尸網(wǎng)絡(luò)向著小型化的趨勢(shì)發(fā)展，為降低攻擊成本，有效隱藏攻擊源，躲避安全設(shè)備，同時(shí)保證攻擊效果，針對(duì)應(yīng)用層的小流量慢速攻擊已經(jīng)逐步發(fā)展壯大起來(lái)。因此，從另一個(gè)角度來(lái)說(shuō)，DDoS攻擊方面目前主要是兩個(gè)方面：UDP及反射式大流量高速攻擊、和多協(xié)議小流量及慢速攻擊。

　　想不被DDos攻擊，那么就要防得住DDos的攻擊，對(duì)于DDos的防御效果，性能來(lái)說(shuō)，它們能夠保證整個(gè)網(wǎng)絡(luò)，計(jì)算機(jī)不會(huì)被DDos所攻擊。也正是因?yàn)槿绱耍诂F(xiàn)如今的市場(chǎng)中，DDos的防御已經(jīng)成為了大多數(shù)企業(yè)和公司避免DDos攻擊的主要方法。

　　不被病毒，CC等其他因素侵?jǐn)_。值得我們注意的是，DDos防御不僅有著阻止DDos攻擊網(wǎng)絡(luò)，計(jì)算機(jī)的優(yōu)勢(shì)，保證它們不被DDos所攻擊，還有著隔離其他因素的主要優(yōu)勢(shì)，比如病毒，或者是CC，CDN等攻擊的情況。所以說(shuō)，相較于其他方法而言，DDos的防御更為有效。

　　DDos攻擊我們的時(shí)候，我們的服務(wù)器會(huì)出現(xiàn)死機(jī)的情況，網(wǎng)絡(luò)出現(xiàn)癱瘓的情況，可DDos防御，卻能夠保證計(jì)算機(jī)和網(wǎng)絡(luò)不被DDos所攻擊，也能夠保證它們不被病毒，CC等因素所侵?jǐn)_。所以，為了確保安全，就多注意DDos的防御措施吧。

　　現(xiàn)在針對(duì)大流量的DDOS/CC攻擊很多IDC運(yùn)營(yíng)商及網(wǎng)絡(luò)安全服務(wù)商都有推出高防服務(wù)器和高防IP 高防CDN 入侵防御 滲透測(cè)試等各類防御策略，高防服務(wù)器顧名思義就是服務(wù)器自帶的防御，由服務(wù)器運(yùn)營(yíng)商提供相關(guān)的抵御策略。

　　高防IP及高防CDN是除服務(wù)器以外的防御增值產(chǎn)品，游戲網(wǎng)站數(shù)據(jù)無(wú)需重新搭建，直接更改解析源IP地址，隱藏源IP將攻擊流量牽引到高防IP及高防CDN的節(jié)點(diǎn)上。攻擊防護(hù)流量值可達(dá)2T以上。

　　就DDoS防御方面來(lái)說(shuō)，目前主要是兩個(gè)方面，大流量攻擊可以交給運(yùn)營(yíng)商及云端清洗，小流量攻擊可以在企業(yè)本地進(jìn)行設(shè)備防護(hù)，這個(gè)分界點(diǎn)根據(jù)行業(yè)及業(yè)務(wù)特性的不同會(huì)有所差異，大概的量級(jí)應(yīng)該在百兆BPS左右。