高防服務(wù)器是一種能夠幫助網(wǎng)站應(yīng)對(duì)拒絕服務(wù)攻擊，可以抵御 DDoS攻擊， CC攻擊的云服 務(wù)器，并且能夠有效地識(shí)別和清理惡意流量，為用戶提供網(wǎng)絡(luò)安全維護(hù)。所以，高防御服務(wù)器能抵哪些攻擊呢？高防服務(wù)器是一種能夠幫助網(wǎng)站應(yīng)對(duì)拒絕服務(wù)攻擊，可以抵御 DDoS攻擊， CC攻擊的云服務(wù)器，并且能夠有效地識(shí)別和清理惡意流量，為用戶提供網(wǎng)絡(luò)安全維護(hù)。所以， 高防御服務(wù)器能抵御哪些攻擊呢？

與傳統(tǒng)的靜態(tài)高防御相比，高防御服務(wù)器主要體現(xiàn)在更好的網(wǎng)絡(luò)穩(wěn)定性和傳輸體驗(yàn)，提高服務(wù)器響應(yīng)速度和穩(wěn)定性，網(wǎng)絡(luò)帶寬是高防御服務(wù)器保護(hù)的首要考慮因素。

該系統(tǒng)充分利用了全球高防御服務(wù)器清洗中心的能力，采用分布式技術(shù)，將 DDOS攻擊流 量自動(dòng)引導(dǎo)到離攻擊源最近的清洗中心進(jìn)行清洗，同時(shí)還具有多機(jī)房自動(dòng)容災(zāi)功能。

一、帶寬消耗攻擊

DDoS帶寬消耗攻擊主要是直接洪泛攻擊，利用攻擊者的資源，當(dāng)代理發(fā)送的大量攻擊流量 匯聚到目標(biāo)對(duì)象上時(shí)，就足以耗盡其網(wǎng)絡(luò)訪問帶寬。常見的帶寬消耗攻擊類型有TCP flood攻 擊、UDP flood攻擊、ICMP flood攻擊，可以單獨(dú)使用，也可以同時(shí)使用。

TCP洪流攻擊是利用 TCP協(xié)議缺陷，使用假 IP或 IP區(qū)段發(fā)送大量偽造的連接請(qǐng)求，從而導(dǎo) 致被攻擊方資源枯竭(CPU滿負(fù)荷或內(nèi)存不足)的攻擊。因?yàn)?TCP協(xié)議是許多重要應(yīng)用層服務(wù)的基 礎(chǔ)，它很大程度上會(huì)嚴(yán)重影響服務(wù)器的性能。

UDP洪水攻擊是一種日益猖獗的 DoS流量攻擊，通常使用大量 UDP包來攻擊 DNS服務(wù)器或 Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器，不過100 kbps的 UDP洪水攻擊通常導(dǎo)致線路上的主要 設(shè)備如防火墻癱瘓，導(dǎo)致整個(gè)網(wǎng)段癱瘓。所以，有時(shí)主機(jī)連接到受影響的系統(tǒng)周圍的網(wǎng)絡(luò)時(shí)，也 會(huì)遇到網(wǎng)絡(luò)連接問題。

ICMP flood攻擊方式是利用了代理向受害主機(jī)發(fā)送大量的“ping”消息，這些消息涌向目標(biāo)， 使其對(duì)消息做出響應(yīng)。合并的流量將使受害主機(jī)的網(wǎng)絡(luò)帶寬飽和，并導(dǎo)致拒絕服務(wù)。ping/smurf 攻擊軟件是一種比較常見的基于ICMP協(xié)議的攻擊軟件。當(dāng)發(fā)生ICMP泛洪攻擊時(shí)，只需禁止ping 即可。

二、系統(tǒng)資源消耗攻擊

DDoS系統(tǒng)資源消耗攻擊有惡意誤用TCP/IP協(xié)議通信(TCP SYN攻擊和TCP PSH+ACK攻擊) 和格式錯(cuò)誤的消息攻擊，兩種攻擊都會(huì)占用系統(tǒng)資源。

1.SYN攻擊利用了TCP協(xié)議的缺陷，通過發(fā)送大量的半連接請(qǐng)求來消耗CPU和內(nèi)存資源。除 了影響主機(jī)，還可能危害路由器、防火墻等網(wǎng)絡(luò)系統(tǒng)。在DDoS模式下，其攻擊強(qiáng)度增加了數(shù)百倍。SYN攻擊無法完全防范，只能通過加強(qiáng)TCP/IP協(xié)議棧，部署防火墻/路由器等過濾網(wǎng)關(guān)來防御，將危害降到最低。

2.TCP PUSH+ACK攻擊和TCP SYN攻擊一樣，目的是消耗完受害系統(tǒng)的資源。當(dāng)代理向受 害主機(jī)發(fā)送PSH和確認(rèn)標(biāo)志設(shè)置為1的TCP消息時(shí)，它將使接收系統(tǒng)清除所有TCP緩沖區(qū)數(shù)據(jù)， 并以確認(rèn)消息進(jìn)行響應(yīng)。如果這個(gè)過程重復(fù)多次，系統(tǒng)將無法處理大量傳入的消息，導(dǎo)致服務(wù)崩潰。

3.異常消息攻擊，指攻擊者利用代理將有缺陷的 IP消息發(fā)送到受害主機(jī)，使目標(biāo)系統(tǒng)在處理 此類 IP包時(shí)發(fā)生崩潰，給目標(biāo)系統(tǒng)造成損失。大型畸形信息攻擊如 Ping of Death (發(fā)送超大尺 寸 ICMP信息)、 Teardrop (利用 IP數(shù)據(jù)包碎片攻擊)、 TCP畸形信息、IP-fragment攻擊等。

4.對(duì)于一些特殊的應(yīng)用/服務(wù)，應(yīng)用層攻擊會(huì)緩慢地消耗應(yīng)用層上的資源。在低流量情況下， 應(yīng)用層攻擊非常有效，從協(xié)議的角度來看，攻擊涉及的流量可能是合法的。與其他類型的 DDoS 攻擊相比，這使得應(yīng)用層攻擊更難檢測。HTTP攻擊， CC攻擊， DNS攻擊等等都是應(yīng)用層攻擊 的例子。

HTTP泛濫是指通過僵尸網(wǎng)絡(luò)，利用看似合法的 HTTP GET或 POST請(qǐng)求攻擊網(wǎng)頁服務(wù)器或 應(yīng)用程序。通過將大量的主機(jī)感染 bot程序病毒，形成一對(duì)多的控制網(wǎng)，黑客可以控制這些僵尸 網(wǎng)絡(luò)向目標(biāo)主機(jī)發(fā)起拒絕服務(wù)攻擊，從而使 HTTP洪災(zāi)攻擊難以檢測和攔截。。

CC攻擊是基于頁面攻擊的，模擬很多用戶不間斷地訪問服務(wù)器，攻擊對(duì)象往往是服務(wù)器上 開銷較大的動(dòng)態(tài)頁面，涉及數(shù)據(jù)庫訪問操作。由于使用代理作為攻擊的發(fā)源地，具有很強(qiáng)的隱蔽 性，系統(tǒng)很難區(qū)分是正常用戶操作還是惡意流量，從而導(dǎo)致數(shù)據(jù)庫及其連接池負(fù)載過大，無法對(duì) 正常請(qǐng)求作出響應(yīng)。

DNS攻擊主要有兩種形式：發(fā)起大量 DNS請(qǐng)求，使 DNS服務(wù)器無法響應(yīng)普通用戶的請(qǐng)求； 發(fā)起大量偽造的 DNS應(yīng)答包，使 DNS服務(wù)器帶寬擁塞；兩者都會(huì)導(dǎo)致普通用戶無法解析 DNS，從而無法獲得服務(wù)。

對(duì)服務(wù)器的安全漏洞進(jìn)行全面細(xì)致的檢查，修改權(quán)限和端口，防止黑客入侵，安裝必要的攻擊保護(hù)軟件，制定允許 IP訪問的策略，隱藏云服務(wù)器的真實(shí) IP地址等。較小攻擊小于10 G，可 以使用攻擊防護(hù)軟件來減輕攻擊，提高接入場景覆蓋范圍和防護(hù)成功率，降低成本。