防攻击怎么防御流量攻击？DDoS/CC攻击我们需要这么防！

什么是DDOS攻击，为什么我的网站会被攻击？

分布式拒绝服务攻击是一种分布式拒绝服务攻击。

攻击的主要目的是阻止指定目标提供正常服务，这是目前最强大也是最难防御的攻击之一。

近年来分布式反射攻击的出现使得分布式拒绝服务攻击水平迅速上升，网络安全受到网络暴力的威胁。

攻击目的:敲诈勒索、同行雇佣攻击、报复攻击冒犯用户。

措施:不给勒索者一分钱，而是找IDC/ISP进行防御加固和防御，这是以后永远避免被欺负的最好办法。

DDOS的分类

在理解防御之前，先简单了解一下各种攻击，因为DDoS是一种攻击，不是攻击，DDoS的防御是一个可以相对自动化但不能绝对自动化的过程。许多进化的攻击方法的自动化可能无法识别，需要进一步的专家判断。

网络层攻击:同步泛滥

利用TCP建立连接时三次握手的“漏洞”，通过原套接字发送虚假源地址的SYN消息，使目标主机永远无法完成三次握手，占用系统协议栈队列，不释放资源，进而拒绝服务，这是互联网中最重要的DDOS攻击之一。网上有一些加固方法，比如调整内核参数的方法，可以减少等待和重试，加快资源释放，在小流量syn-flood的情况下可以缓解，但是在流量稍微大一点的时候是不够的。抵御syn-flood的常见方法包括syn代理、syn cookies、丢弃第一个数据包(第一个请求的syn数据包)等。

反向洪水

对于假的确认包，目标设备将直接回复RST包以丢弃连接，因此损坏值远小于syn-flood。DDOS的一种原始方式。

UDP-洪水

利用原始套接字伪造大量虚假源地址的UDP包，DNS协议是目前的主要协议。

ICMP-flood

平洪，一条老路。

挑战生态平衡

ChallengeCollapsar这个名字源于挑战国内知名安全厂商的反DDOS设备——“黑洞”，通过僵尸网络的傀儡主机或寻找匿名代理服务器向目标发起大量真实的http请求，最终消耗大量并发资源，拖慢整个网站的速度，甚至完全拒绝服务。

本质上，互联网架构追求可扩展性以提高并发性。各种SQL性能优化措施:消除慢速查询、划分表和数据库、索引、优化数据结构、限制搜索频率，都是为了解决资源消耗。CC则相反，占用服务器中并发连接数，使得请求尽量避免缓存，直接读取数据库。要读取数据库，最好找到消耗资源最多的查询，最好不要使用索引。每个查询都在整个表中扫描。这样一来，

互联网产品和服务依靠数据分析来推动改进和持续运营。所以前端除了APP、中间件、数据库等OLTP系统，后面还有OLAP，从日志采集存储到数据处理分析的大数据平台。当发生CC攻击时，不仅OLTP受到影响，实际上CC会产生大量日志，直接影响后面的OLAP。影响包括两个方面。一个是当天的数据统计完全错误。第二个层面，CC期间访问日志的激增也会增加后端数据处理的负担。CC是目前应用层攻击的主要手段之一。防御上有一些方法，但是不能完美解决这个问题。

混合攻击

在流量较大的实际攻击中，通常不会受到上述某一种数据类型的攻击，而往往会混入TCP和UDP流量，网络层和应用层攻击同时进行。

反射攻击

真正的TCP服务器发送TCP的SYN包，而这些接收SYN包的TCP服务器为了完成3次握手，将SYN|ACK包“回复”到目标地址，完成一次“反射”攻击。攻击者隐藏了自己，但是存在攻击者创建的流量和目标收到的攻击流量是1:1的问题，SYN|ACK包到达目标后立即和RST包一起返回，所以整个攻击的投资回报不高。

反射攻击的本质是利用“挑战-响应”协议，通过伪造原始套接字，将挑战包的源地址设置为目标地址，然后将响应的“返回包”发送给目标。如果返回数据包量大或者协议支持递归效应，攻击流量就会被放大，成为一种高性价比的流量型攻击。

目前，反射攻击使用的协议包括NTP、Chargen、SSDP、DNS、RPC portmap等。

冲动攻击

许多攻击持续时间很短，通常在5分钟内，流程图显示峰值。

这样的攻击之所以流行，是因为“打-打-停-停”的效果最好。一旦触发防御阈值，攻击就停止并继续下去。蚊子不是咬你，而是在你耳朵里飞。当你开灯想打他们的时候，他们就跑了。当你关灯的时候，它们又来了，你睡不着。

自动防御机制大多是通过设置阈值来触发的。虽然很多厂商声称自己的防御措施是二阶反应，但其实很难。

多层防御体系

反向代理/互联网层

反向代理(CDN)不是反DDOS产品，但对于web服务来说，它具有一定的反DDOS能力。以大型电商抢购为例，这个流量非常大，在很多指标上不亚于DDOS的CC。在平台端，其实大部分请求都是通过CDN级别的验证码进行过滤，最后到达数据库的请求只占总请求的一小部分。

对于http CC DDOS，不会直接去源站，但是CDN会先通过自己的带宽进行抵抗。无法抵抗或穿透CDN的动态请求会去源站。如果源站前端的DDOS电阻或者源站前的带宽受限，就完全是DDOS。

我们的策略是提前设置网站的CNAME，把域名指向云清洗的DNS服务器。一般情况下，云清理的DNS还是会将穿透CDN的请求指向源站。当检测到攻击时，域名指向它自己的清理集群，然后清理后的流量返回到源。

金融业

“野蛮成长”是互联网金融给大多数人带来的直观感受。主要模式包括互联网支付、贵金属交易、期货交易、知识产权交易、P2P、点对点借贷、在线小额贷款、众筹、金融机构创新互联网平台等。但无论哪种模式，其业务的运营、运营、处理、维护几乎都是依靠互联网，相关业务都是以在线完成的形式进行的。如果互联网中断，其业务链将完全中断，无法进行任何服务。

安全问题

与此同时，互联网金融背后的黑链也在迅速耸动。依靠互联网谋利的黑客，自然嗅到了这种快速扩张的资金链的诱惑。

从事互联网金融的公司大多是小微公司，精力主要集中在业务开发和运营上，安全能力较弱。面对专业黑客，他们的防护能力几乎为零。面对成千上万的DDoS攻击，他们的业务很容易非正常死亡，很容易引起客户恐慌。所以，在互联网金融遍地开花的同时，因黑客攻击而被关闭的网贷平台层出不穷。

针对金融和博彩业的攻击趋势

1、大流量攻击的普遍性

2.大流量攻击呈上升趋势

3.大量流量攻击流向云

4.大型流量攻击在游戏行业愈演愈烈

5.小流量快速攻击变成脉冲攻击

6.分布式拒绝服务攻击不再局限于终端

高防御服务在保护金融业中的优势

1.支持http和https协议保护