浅谈ddos防御

浅谈ddos解说：（根据个人的看法，仅作参考）

一直听着别人说大都是攻击怎么破？
首先我们来了解一下什么是ddos攻击？
顾名思义，ddos攻击是借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。

从出现分布式拒绝服务攻击一直到现在，不少人还是在研究怎样防御这样的攻击，但一直都没做到根治，其实小编在这里想说的是，根据个人来看，ddos攻击根本就是没有办法根治的，据我了解有以下几个防御方式：

1.硬件防火墙
   防火墙防御工作原理我分析不出来，不过大家都知道正常用户访问肯定是TCP/IP有三次握手包，DDOS一般是发出两次握手包，然后服务器就在等客户机的第三次握手，等啊等却一直没等来， 然后越来越多的tcpip握手包，都只有前两次，服务器就在等越来越多的第三次握手包。虽然说防火墙本来就具备这个分辨的能力，但是还是一样！超过你防火墙能防的量你就得死！
   就见到来说，假如你购买了1T的服务器，但是如果有一个人想攻击你的话，他就会获取不计其数的计算机的权限联合起来同时攻击你的服务器，直到你的服务器超量再到崩溃，这样，就算你有再大的服务器你都会死在超大数据容量中。

2.CDN

   CDN就要比硬件防火墙理智的多，其优点是：
   （1）用户根本获取不到你真实的IP
   （2）以TX的为例，一百个域名，200个节点。随机分配。
假如200G的硬件防火墙在知道你真实IP后直接300G量打过来，你肯定要死的把。
那如果换成CDN，我两百个节点，假如每个节点能防30G，200*30就是600G，你来打我呀！笨蛋！那CDN会死吗？当然会！假如说你有十个节点，我全部获取到之后全给你打死！CDN可以说是网站和用户之间的中转站，所以你的网站也跟随着一起死去了！但是其代价也是相当大，得多少量才能打动数十个甚至上百个节点？
硬件防火墙 VS CDN
我感觉CDN比较好。不过呢，硬件防火墙的机子相对来说便宜一点，CDN就很贵了。
TX的CDN我之前可是领教过，100个域名，两百个IP。但是，现在的黑客都不是吃干饭的，依然还是会想尽各种办法来获取你的ip，比如通过钓鱼网站，当然这个比较难。

......

面对黑客的攻击唯有多层次纵深防御方能幸存（安全狗）

网络安全防御：
防恶意扫描·防暴力破解·防网络漏洞

网站安全：
拦Webshell·防网站漏洞·保护资源

服务器安全：
拦病毒·防提权·发现可疑行为

上面是安全狗的防御模式，主要是通过流量来实现的防御功能：

安全狗（啸天抗D盾）通过跟有大流量清理能力的数据中心合作，提供高效流量清洗中心，针对从网络层到应用层的攻击流量进行精确清洗，也就是说它的原理是通过追踪大数据的方式来实现的。

流程：

用户正常流量访问--->安全狗防cc（相当于流量监控器）--->服务器（这里也是要经过过滤器的）

黑客访问--->安全狗cc---->流量报警--->云端告警--->启动流量牵引--->流量清洗中心(流量过滤，相当于一个过滤器，满足条件的通过，不满足的过滤掉)--->拜拜

现在存在的安全机制基本上都是这种模式，区别就在于流量监控的敏感程度了，比较好的吧，我也只能说基本上是没啥问题的，但是吧，人家黑客也不是傻子，所以说，人与人之间的差距往往就体现在某些小小的细节上。

这里小编还有点想法：
当有很多主机商遭到ddos攻击后一般选择的是忍到停止攻击，但这样就会在一些经济上的造成损失，有时甚至会流失大量的客源，危害极大。

so，在我看来，当遭到ddos攻击的时候，一方面应该积极防御，另一方面应该
反其攻击，不能一味地等待，这就又带来一个问题了，要怎样反过来攻击呢？毕竟很难获取攻击方的ip地址，在成千上万ip数据中查找？不现实，当你查找出来的时候，你可能已经玩完了。


问题：
1.判断机制
2.控制机制
3.止损机制
就目前而言，新兴和传统进度都一样。因为一般对抗的关键点都在于不可规避的点，也就没有更好的办法。缩短连接延时时间，建立新型运维机制，改善服务器的配置，同时需要严格控制损失情况，控制清洗流量监测流量。
1.建立新型企业级运维云平台，部署多节点，服务开集群，同时关闭不必要的端口，严格检测如80这些端口。避免出现阻塞情况。
2.提升带宽，限制部分无用的服务，资源耗尽无解。尽量保存数据，准备重启吧。。。
3.找个大牛多一点的防火墙合作伙伴吧，或者对自己的运维人员好一点吧。。这样还能事后多挽回一些损失。
4.新兴和传统感觉区别不大，都处于被动状态，也没有更好的解决办法。


反正就是ddos防御还得继续研究，农药还得继续喝！！！