多層防御策略的DDoS防御是必不可少的，包括專用的邊界解決用戶的防御和減輕威脅，從網(wǎng)絡的各個方面。這些工具應提供反欺騙，

　　主機認證，數(shù)據(jù)層和應用層，和協(xié)議驗證的閾值，基線實現(xiàn)，空閑檢測，和基于訪問控制列表的位置的黑白列表。

　　當考慮到特殊的DDoS解決方案，公司需要確認這些方案不僅可以基于應用層DDoS攻擊和非常有效的阻斷技術(shù)和模式的DDoS檢測，常規(guī)攻擊或習俗，以“學習”來識別交通數(shù)據(jù)的基礎上，接受和異常交通行為模型。流量分析是關(guān)鍵，以協(xié)助快速檢測和限制的威脅，同時降低了誤報。

　　為了獲得更高效的運作，公司也應該尋求提供先進的虛擬化和基于地理位置的DDoS解決方案。位置技術(shù)，另一方面，惡意流量可以使公司阻止來自未知或可疑的不相關(guān)的來源;地址信息流通過切割從公司外部的機構(gòu)可以加載資源，并減少終端服務器帶寬的消耗。

　　虛擬化策略，管理員可以在一個單一的設備中創(chuàng)建和審查多個獨立的策略域，從而防止網(wǎng)絡效應中的輻射對其他部分的攻擊。防御機制的本質(zhì)是預設，而不是投注在一組策略，管理員可以事先定義多個配置，在戰(zhàn)略是不夠的，更嚴格的策略的應用。

　　什么是DDoS攻擊?

　　DDOS又稱為分布式拒絕服務，全稱是Distributed Denial of Service。 DDoS攻擊原理： 通過使網(wǎng)絡過載來干擾甚至阻斷正常的網(wǎng)絡通訊。通過向服務器提交大量請求，使服務器超負荷。阻斷某一用戶訪問服務器阻斷某服務與特定系統(tǒng)或個人的通訊。常見的DDOS攻擊有SYN flood、UDP flood、ICMP flood等。其中SYN flood是最常見的一種，其原理是TCP協(xié)議設計中得缺陷(3次握手)。在SYN flood攻擊時，首先偽造大量的源IP地址，分別向服務器發(fā)送的大量的SYN包，服務器會返回ACK/SYN包，但是IP是偽造的，所以服務器是不會受到應答的，會重試3-5次，并且等待一個SYN time(一般是39秒到2分鐘)，如果超時則丟棄這個連接。攻擊者發(fā)送大量的這種偽造源地址的SYN請求，服務端會消耗很多的資源(CPU和內(nèi)存)來處理這種半連接，同時還要對這些請求進行SYN/ACK重試，最后的結(jié)果就是服務器無暇理睬正常的連接請求，導致拒絕服務。

　　什么是CC攻擊?

　　CC攻擊的前身是一個叫fatboy的攻擊程序，當時是黑客為了挑戰(zhàn)綠盟的一款防DDOS設備開發(fā)的。 CC應該算是一個應用層的DDOS，是發(fā)生在TCP3次握手已經(jīng)完成之后，，所以發(fā)送的IP都是真實的，但應用層的DDOS又是甚至比網(wǎng)絡層的DDOS更可怕，因為今天幾乎所有的商業(yè)anti-DDOS設備，只在對抗網(wǎng)絡層DDOS時效果較好，而對應用層DDOS攻擊卻缺乏有效的手段。CC攻擊的原理很簡單，就是對一些消耗資源交單的應用頁面不斷地發(fā)起正常的請求，以達到消耗服務端資源的目的，在web應用中，查詢數(shù)據(jù)庫、讀寫硬盤文件的操作，相對都會消耗比較多的資源。一個簡單的例子，一個小的網(wǎng)站，可能被搜索引擎、信息收集等系統(tǒng)的爬蟲爬死，或者是掃描器掃死，這與應用層的DDOS攻擊的結(jié)果很像。

　　大級別攻擊運行原理:

　　1.一個比較完善的DDoS攻擊體系分成四大部分，先來看一下最重要的第2和第3部分：它們分別用做控制和實際發(fā)起攻擊。請注意控制機與攻擊機的區(qū)別，對第4部分的受害者來說，DDoS的實際攻擊包是從第3部分攻擊傀儡機上發(fā)出的，第2部分的控制機只發(fā)布命令而不參與實際的攻擊。對第2和第3部分計算機，駭客(cracker)有控制權(quán)或者是部分的控制權(quán)，并把相應的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運行并等待來自駭客的指令，通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時，這些傀儡機器并沒有什么異常，只是一旦駭客連接到它們進行控制，并發(fā)出指令的時候，攻擊傀儡機就成為害人者去發(fā)起攻擊了。

　　2. 如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺到。比較不敬業(yè)的駭客會不管三七二十一把日志全都刪掉，但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒了就會知道有人干了壞事了，頂多無法再從日志發(fā)現(xiàn)是誰干的而已。相反，真正的好手會挑有關(guān)自己的日志項目刪掉，讓人看不到異常的情況。這樣可以長時間地利用傀儡機。

　　但是在第3部分攻擊傀儡機上清理日志實在是一項龐大的工程，即使在有很好的日志清理工具的幫助下，駭客也是對這個任務很頭痛的。這就導致了有些攻擊機弄得不是很干凈，通過它上面的線索找到了控制它的上一級計算機，這上級的計算機如果是駭客自己的機器，那么他就會被揪出來了。但如果這是控制用的傀儡機的話，駭客自身還是安全的?？刂瓶軝C的數(shù)目相對很少，一般一臺就可以控制幾十臺攻擊機，清理一臺計算機的日志對駭客來講就輕松多了，這樣從控制機再找到駭客的可能性也大大降低。

　　DDOS攻擊的目的?

　　駭客一般都出于商業(yè)目的，比如有人雇傭駭客對一個網(wǎng)站進行攻擊，事后給錢;不過如果該網(wǎng)站報警后被查出來幕后黑手的話，那么駭客和這位雇傭駭客的幕后黑手將受到法律嚴懲!但是通過肉雞攻擊的ddos一般在雇傭攻擊的情況下則比較難查，因為都是專業(yè)駭客。

　　用UDP協(xié)議的攻擊?

　　很多聊天室，視頻音頻軟件，都是通過UDP數(shù)據(jù)包傳輸?shù)?，攻擊者針對分析要攻擊的網(wǎng)絡軟件協(xié)議，發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包，這種攻擊非常難防護，一般防護墻通過攔截攻擊數(shù)據(jù)包的特征碼防護，但是這樣會造成正常的數(shù)據(jù)包也會被攔截。

　　針對游戲服務器的攻擊因為游戲服務器非常多，這里介紹最早也是影響最大的傳奇游戲，傳奇游戲分為登陸注冊端口7000,人物選擇端口7100，以及游戲運行端口7200,7300,7400等，因為游戲自己的協(xié)議設計的非常復雜，所以攻擊的種類也花樣倍出，大概有幾十種之多，而且還在不斷的發(fā)現(xiàn)新的攻擊種類，這里介紹目前最普遍的假人攻擊，假人攻擊是通過肉雞模擬游戲客戶端進行自動注冊、登陸、建立人物、進入游戲活動從數(shù)據(jù)協(xié)議層面模擬正常的游戲玩家，很難從游戲數(shù)據(jù)包來分析出哪些是攻擊哪些是正常玩家。 　　

       以上介紹的幾種最常見的攻擊也是比較難防護的攻擊。一般基于包過濾的防火墻只能分析每個數(shù)據(jù)包，或者有限的分析數(shù)據(jù)連接建立的狀態(tài)，防護SYN,或者變種的SYN,ACK攻擊效果不錯，但是不能從根本上來分析tcp，udp協(xié)議，和針對應用層的協(xié)議，比如http,游戲協(xié)議，軟件視頻音頻協(xié)議，現(xiàn)在的新的攻擊越來越多的都是針對應用層協(xié)議漏洞，或者分析協(xié)議然后發(fā)送和正常數(shù)據(jù)包一樣的數(shù)據(jù)，或者干脆模擬正常的數(shù)據(jù)流，單從數(shù)據(jù)包層面，分析每個數(shù)據(jù)包里面有什么數(shù)據(jù)，根本沒辦法很好的防護新型的攻擊。