1.什麼是 DDoS 攻擊？

拒絕服務 (DoS) 攻擊是一種惡意攻擊，其目的影響目標系統 (例如網站或應用程式目標) 對合法終端使用者的可用性。攻擊者通常會生成大量資料包或請求，最終壓垮目標系統。進行分散式拒絕服務 (DDoS) 攻擊時，攻擊者會使用多個被攻破或受控制的源來生成攻擊。

一般而言，DDoS 攻擊可以由受攻擊的開放系統互連 (OSI) 模型的層分隔開。攻擊最常發生在網路層 (第 3 層)、傳輸層 (第 4 層)、表示層 (第 6 層) 和應用程層 (第 7 層)。

2.DDOS 攻擊分類

考慮緩解此類攻擊的技術時，將攻擊分成基礎設施層 (第 3、4 層) 攻擊和應用層 (第 6、7 層) 攻擊非常有用。

2.1基礎設施層攻擊

第 3、4 層中的攻擊通常被分類為基礎設施層攻擊。這些也是最常見的 DDoS 攻擊型別，包括同步 (SYN) 洪水等攻擊以及使用者資料報包 (UDP) 洪水等其他反射攻擊。這類攻擊的數量通常很多，目的是耗盡網路或應用程式伺服器的容量。但是幸運的是，這些型別的攻擊帶有清晰的簽名，易於檢測。

2.2應用層攻擊

第 6、7 層中的攻擊通常被分類為應用層攻擊。這類攻擊不太常見，往往也更復雜。與基礎設施層攻擊相比，這些攻擊的規模通常較小，但往往側重於特別昂貴的應用程式，讓真正的使用者無法使用這些應用程式。例如，向登入頁面或者昂貴的搜尋 API 發起的 HTTP 請求洪水攻擊或者 Wordpress XML RPC 洪水攻擊 (也稱為 Wordpress pingback 攻擊) 都屬於應用層攻擊。

3.DDoS 防護技術

3.1減少攻擊面

緩解 DDoS 攻擊的一種首選方式是儘可能減少可能受到攻擊的攻擊面，這樣可以限制攻擊者的選擇，讓使您能夠在一個位置構建防護。我們應該確保應用程式或資源不向其不會與之通訊的埠、協議或應用程式開放。這樣可以儘可能減少攻擊點，讓我們有重點地進行防護。在某些情況下，您可以將計算資源放置於內容分發網路 (CDN) 或負載均衡器的後面，並限制指向基礎設施某些部分 (例如資料庫伺服器) 的直接 Internet 流量，從而實現這一點。在其他情況下，您可以使用防火牆或訪問控制列表 (ACL) 來控制到達應用程式的流量。

3.2制定擴充套件計劃

要緩解大規模 DDoS 攻擊，頻寬 (或傳輸) 容量和伺服器容量是可以吸收和緩解攻擊的兩個重要方面。

3.3傳輸容量。

設計應用程式架構時，請確保您的託管提供商能夠提供足夠的冗餘 Internet 連線，讓您能夠應對大量流量。因為 DDoS 攻擊的最終目標是影響資源/應用程式的可用性，所以資源/應用程式的位置應該靠近終端使用者和大型 Internet 交換機，這樣，即使出現大量流量，您的使用者也能輕鬆訪問應用程式。此外，Web 應用程式可以使用內容分發網路 (CDN) 和 智慧 DNS 解析服務，這樣可以在更接近終端使用者的位置額外設定一層網路基礎設定來提供內容和解析 DNS，從而實現進一步的防護。

3.4伺服器容量。

大多數 DDoS 攻擊是針對容量的攻擊，會耗盡大量資源；因此，您應該能夠快速擴充套件或縮減計算資源。要實現這一點，您可以使用規模更大的計算資源，也可以使用支援更大容量、網路介面更多或者網路連線更強的計算資源。此外，您可以使用負載均衡器來持續監控並在資源間移動負載，以便防止任何一種資源過載，這也是一種常見的方式。

4.瞭解正常流量和異常流量

檢測到進入主機的流量不斷增加時，我們要保持的底線是隻接受主機在不影響可用性的情況下能夠處理的流量。這個概念稱為速率限制。更高階保護技術可以更進一步，透過分析各個資料包來智慧地只接受合法的流量。要實現這一點，您需要了解目標通常接收到的良好流量的特徵，並能夠針對這一基準線來比較每個資料包。

5.針對複雜的應用程式攻擊部署防火牆

比較好的做法是使用 Web 應用程式防火牆 (WAF) 來防護試圖利用應用程式本身漏洞的攻擊 (例如 SQL 注入或跨站點請求偽造)。此外，由於這些攻擊的獨特性質，您應該能夠針對非法請求 (可能具有偽裝為良好流量或來自不良 IP、異常地理位置等特徵) 輕鬆建立自定義緩解措施。在經驗豐富的人員的支援下研究流量模式並建立自定義防護措施，也可能有助於緩解攻擊。

1.什麼是 DDoS 攻擊？

拒絕服務 (DoS) 攻擊是一種惡意攻擊，其目的影響目標系統 (例如網站或應用程式目標) 對合法終端使用者的可用性。攻擊者通常會生成大量資料包或請求，最終壓垮目標系統。進行分散式拒絕服務 (DDoS) 攻擊時，攻擊者會使用多個被攻破或受控制的源來生成攻擊。

一般而言，DDoS 攻擊可以由受攻擊的開放系統互連 (OSI) 模型的層分隔開。攻擊最常發生在網路層 (第 3 層)、傳輸層 (第 4 層)、表示層 (第 6 層) 和應用程層 (第 7 層)。

2.DDOS 攻擊分類

考慮緩解此類攻擊的技術時，將攻擊分成基礎設施層 (第 3、4 層) 攻擊和應用層 (第 6、7 層) 攻擊非常有用。

2.1基礎設施層攻擊

第 3、4 層中的攻擊通常被分類為基礎設施層攻擊。這些也是最常見的 DDoS 攻擊型別，包括同步 (SYN) 洪水等攻擊以及使用者資料報包 (UDP) 洪水等其他反射攻擊。這類攻擊的數量通常很多，目的是耗盡網路或應用程式伺服器的容量。但是幸運的是，這些型別的攻擊帶有清晰的簽名，易於檢測。

2.2應用層攻擊

第 6、7 層中的攻擊通常被分類為應用層攻擊。這類攻擊不太常見，往往也更復雜。與基礎設施層攻擊相比，這些攻擊的規模通常較小，但往往側重於特別昂貴的應用程式，讓真正的使用者無法使用這些應用程式。例如，向登入頁面或者昂貴的搜尋 API 發起的 HTTP 請求洪水攻擊或者 Wordpress XML RPC 洪水攻擊 (也稱為 Wordpress pingback 攻擊) 都屬於應用層攻擊。

3.DDoS 防護技術

3.1減少攻擊面

緩解 DDoS 攻擊的一種首選方式是儘可能減少可能受到攻擊的攻擊面，這樣可以限制攻擊者的選擇，讓使您能夠在一個位置構建防護。我們應該確保應用程式或資源不向其不會與之通訊的埠、協議或應用程式開放。這樣可以儘可能減少攻擊點，讓我們有重點地進行防護。在某些情況下，您可以將計算資源放置於內容分發網路 (CDN) 或負載均衡器的後面，並限制指向基礎設施某些部分 (例如資料庫伺服器) 的直接 Internet 流量，從而實現這一點。在其他情況下，您可以使用防火牆或訪問控制列表 (ACL) 來控制到達應用程式的流量。

3.2制定擴充套件計劃

要緩解大規模 DDoS 攻擊，頻寬 (或傳輸) 容量和伺服器容量是可以吸收和緩解攻擊的兩個重要方面。

3.3傳輸容量。

設計應用程式架構時，請確保您的託管提供商能夠提供足夠的冗餘 Internet 連線，讓您能夠應對大量流量。因為 DDoS 攻擊的最終目標是影響資源/應用程式的可用性，所以資源/應用程式的位置應該靠近終端使用者和大型 Internet 交換機，這樣，即使出現大量流量，您的使用者也能輕鬆訪問應用程式。此外，Web 應用程式可以使用內容分發網路 (CDN) 和 智慧 DNS 解析服務，這樣可以在更接近終端使用者的位置額外設定一層網路基礎設定來提供內容和解析 DNS，從而實現進一步的防護。

3.4伺服器容量。

大多數 DDoS 攻擊是針對容量的攻擊，會耗盡大量資源；因此，您應該能夠快速擴充套件或縮減計算資源。要實現這一點，您可以使用規模更大的計算資源，也可以使用支援更大容量、網路介面更多或者網路連線更強的計算資源。此外，您可以使用負載均衡器來持續監控並在資源間移動負載，以便防止任何一種資源過載，這也是一種常見的方式。

4.瞭解正常流量和異常流量

檢測到進入主機的流量不斷增加時，我們要保持的底線是隻接受主機在不影響可用性的情況下能夠處理的流量。這個概念稱為速率限制。更高階保護技術可以更進一步，透過分析各個資料包來智慧地只接受合法的流量。要實現這一點，您需要了解目標通常接收到的良好流量的特徵，並能夠針對這一基準線來比較每個資料包。

5.針對複雜的應用程式攻擊部署防火牆

比較好的做法是使用 Web 應用程式防火牆 (WAF) 來防護試圖利用應用程式本身漏洞的攻擊 (例如 SQL 注入或跨站點請求偽造)。此外，由於這些攻擊的獨特性質，您應該能夠針對非法請求 (可能具有偽裝為良好流量或來自不良 IP、異常地理位置等特徵) 輕鬆建立自定義緩解措施。在經驗豐富的人員的支援下研究流量模式並建立自定義防護措施，也可能有助於緩解攻擊。