流量攻击

由于DDoS攻击往往采取合法的数据请求技术，再加上傀儡机器，造成DDoS攻击成为最难防御的网络攻击之一。据美国最新的安全损失调查报告，DDoS攻击所造成的经济损失已经跃居第一。

传统的网络设备和周边安全技术，例如防火墙和IDSs(Intrusion Detection Systems)， 速率限制，接入限制等均无法提供非常有效的针对DDoS攻击的保护，需要一个新的体系结构和技术来抵御复杂的DDoS拒绝服务攻击。 DDoS攻击主要是利用了internet协议和internet基本优点——无偏差地从任何的源头传送数据包到任意目的地。

攻击揭秘

DDoS攻击分为两种：要么大数据，大流量来压垮网络设备和服务器，要么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。有效防止DDoS攻击的关键困难是无法将攻击包从合法包中区分出来：IDS进行的典型“签名”模式匹配起不到有效的作用；许多攻击使用源IP地址欺骗来逃脱源识别，很难搜寻特定的攻击源头。

有两类最基本的DDoS攻击

● 带宽攻击：这种攻击消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器和防火墙；带宽攻击的普遍形式是大量表面看合法的TCP、UDP或ICMP数据包被传送到特定目的地；为了使检测更加困难，这种攻击也常常使用源地址欺骗，并不停地变化。

● 应用攻击：利用TCP和HTTP等协议定义的行为来不断占用计算资源以阻止它们处理正常事务和请求。HTTP半开和HTTP错误就是应用攻击的两个典型例子。

危害

DDoS攻击的一个致命趋势是使用复杂的欺骗技术和基本协议，如HTTP，Email等协议，而不是采用可被阻断的非基本协议或高端口协议，非常难识别和防御，通常采用的包过滤或限制速率的措施只是通过停止服务来简单停止攻击任务，但同时合法用户的请求也被拒绝，造成业务的中断或服务质量的下降；DDoS事件的突发性，往往在很短的时间内，大量的DDoS攻击数据就可使网络资源和服务资源消耗殆尽。

防御方式

流行的黑洞技术和路由器过滤、限速等手段，不仅慢，消耗大，而且同时也阻断有效业务。如IDS入侵监测可以提供一些检测性能但不能缓解DDoS攻击，防火墙提供的保护也受到其技术弱点的限制。其它策略，例如大量部署服务器，冗余设备，保证足够的响应能力来提供攻击防护，代价过于高昂。

1、 黑洞技术描述了一个服务提供商将指向某一目标企业的包尽量阻截在上游的过程，将改向的包引进“黑洞”并丢弃，以保全运营商的基础网络和其它的客户业务。但是合法数据包和恶意攻击业务一起被丢弃，所以黑洞技术不能算是一种好的解决方案。被攻击者失去了所有的业务服务，攻击者因而获得胜利。

2、 路由器许多人运用路由器的过滤功能提供对DDoS攻击的防御，但对于复杂的DDoS攻击不能提供完善的防御。 路由器只能通过过滤非基本的不需要的协议来停止一些简单的DDoS攻击，例如ping攻击。这需要一个手动的反应措施，并且往往是在攻击致使服务失败之后。另外，DDoS攻击使用互联网必要的有效协议，很难有效的滤除。路由器也能防止无效的或私有的IP地址空间，但DDoS攻击可以很容易的伪造成有效IP地址。 基于路由器的DDoS预防策略——在出口侧使用uRPF来停止IP地址欺骗攻击——这同样不能有效防御现在的DDoS攻击，因为uRPF的基本原理是如果IP地址不属于应该来自的子网网络阻断出口业务。然而，DDoS攻击能很容易伪造来自同一子网的IP地址，致使这种解决法案无效。

3、 其他策略为了忍受DDoS攻击，可能考虑了这样的策略，例如过量供应，就是购买超量带宽或超量的网络设备来处理任何请求。这种方法成本效益比较低，尤其是因为它要求附加冗余接口和设备。不考虑最初的作用，攻击者仅仅通过增加攻击容量就可击败额外的硬件，互联网上上千万台的机器是他们取之不净的攻击容量资源。 有效抵御DDoS攻击 从事于DDoS攻击防御需要一种全新的方法，不仅能检测复杂性和欺骗性日益增加的攻击，而且要有效抵御攻击的影响。

保护关键主题

完整的DDoS保护围绕四个关键主题建立：

1． 要缓解攻击，而不只是检测

2． 从恶意业务中精确辨认出好的业务，维持业务继续进行，而不只是检测攻击的存在

3． 内含性能和体系结构能对上游进行配置，保护所有易受损点

4． 维持可靠性和成本效益可升级性

防御保护性质

通过完整的检测和阻断机制立即响应DDoS攻击，即使在攻击者的身份和轮廓不 断变化的情况下。

与现有的静态路由过滤器或IDS签名相比，能提供更完整的验证性能。

提供基于行为的反常事件识别来检测含有恶意意图的有效包。

识别和阻断个别的欺骗包，保护合法商务交易。

提供能处理大量DDoS攻击但不影响被保护资源的机制。

攻击期间能按需求部署保护，不会引进故障点或增加串联策略的瓶颈点。

内置智能只处理被感染的业务流，确保可靠性最大化和花销比例最小化。

避免依赖网络设备或配置转换。

所有通信使用标准协议，确保互操作性和可靠性最大化。

保护技术体系

1． 时实检测DDoS停止服务攻击攻击。

2． 转移指向目标设备的数据业务到特定的DDoS攻击防护设备进行处理。

3． 从好的数据包中分析和过滤出不好的数据包，阻止恶意业务影响性能，同时允许合法业务的处理。

4． 转发正常业务来维持商务持续进行。