透彻了解攻击原理有助于提升防御DDoS效果，你知道多少呢？

DDoS是网络犯罪领域的老生常谈，是一个严重的问题，需要采取有效的防御DDoS措施。最重要的是，它正在迅速发展。其中一些突袭行动依靠恶意软件、物联网僵尸网络和开源网络压力测试框架来扩大其影响范围。更糟糕的是，一些新颖的攻击增加了敲诈。

透彻了解攻击原理有助于提升防御DDoS效果，你知道多少呢？

分布式拒绝服务（DDoS）攻击现象于20世纪90年代中期首次出现，此后经历了巨大的演变。在其诞生之初，这主要是黑客行动主义者的特权，他们将主要互联网服务下线，以此作为抗议网络审查和有争议的政治举措的标志。

DDoS攻击不仅非常复杂和有影响力，而且正在形成一个巨大的网络犯罪经济体，其运营商越来越善于将他们的恶作剧货币化，最新加入到他们的类型是所谓的勒索DDoS。它的逻辑是对一个组织发动破坏性的攻击，然后要求为终止该组织支付费用。

乍一看，DDoS背后的想法似乎很简单：用超出其处理能力的数据包淹没网络或web服务器。在网络安全问题上，意识是成功的一半。如果您知道组织的IT基础架构中可能被DDoS参与者利用的薄弱环节，您可以确定防御DDoS的优先级，至少可以将遇到单点故障场景的风险降至最低。

恶意参与者的手册中有许多恶作剧，使他们能够多样化的攻击载体，并选择一个利用特定受害者的痛点。例如，作为初始侦察的一部分，如果攻击者在探测企业网络的安全弱点时发现有漏洞的web应用程序，他们可能会将其用作DDoS攻击的启动平台。

一旦发现这样一个漏洞，攻击者就会裁剪一个适当的查询，并将其迭代地注入目标网站，使服务器崩溃。跨站点脚本缺陷也说明了缺陷，使得犯罪分子可以用恶意查询和恶意软件充斥整个站点。

清理web应用程序的代码以消除SQL、XSS和其他漏洞是程序员可以而且必须参与的一个领域。除了加强对web服务的保护以防御DDoS攻击之外，这也是创建稳定代码、提供无摩擦用户体验的先决条件。

DDoS攻击泛滥因为便宜，效果明显，且已经有很完整的产业链了。最常见的防御DDoS攻击的几个有效建议：

1.实时监控，定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

2.过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假IP。只开放服务端口成为很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

3.利用海量带宽清洗攻击流量

传统高防服务器存在着很多防御能力弱、价格昂贵等缺陷，葵芳等IDC服务商，着力开发新型高防服务器，并成功推出市场。新型高防服务器租用，是从根源上与传统高防服务器区别开来。传统高防服务器是依靠机房提供的硬件防火墙实现防御，完全依赖机房提供的带宽来缓解DDoS攻击带来的超大流量，由于国际带宽昂贵，因此无法提供更高的防御能力。

透彻了解攻击原理有助于提升防御DDoS效果，你知道多少呢？

即使是大公司也可能缺乏带宽来防御DDoS攻击者人为造成的流量急剧增加。标准网络设备配备了有限的DDoS缓解机制。这一问题在中小企业的生态系统中表现得更为明显，在中小企业中，以有限的预算建立保护系统是常态。在这种情况下，最好的防御是多管齐下。

本文来自：https://www.zhuanqq.com/News/Industry/401.html

​