面对不同类型的DDos攻击如何采取正当防御措施？老男孩网络安全课程培训

       近几年来，攻击产业依靠DDos攻击发展迅猛，因其实施方便、见效快、成本低、攻击回报高等特点，而攻击重灾区大多在游戏、电商、金融、医疗、视频等跟社会生活息息相关的行业，那面对不同类型的DDos攻击如何采取正当防御措施？请看下文：

       一、按攻击流量规模分类

       a. 较小流量

       小于1000Mbps攻击流量的DDoS攻击，一般只会造成小幅度延迟和卡顿，并不是很不影响线上业务的正常运行，可以利用DDoS防护应用实现软件层的DDoS防护。

       b. 大型流量

       大于1000Mbps攻击流量的DDoS攻击，可以利用DDoS防护应用实现软件层防护，或者在机房出口设备直接配置黑洞等防护策略，或者同时切换域名，将对外服务IP修改为高负载Proxy集群外网IP，或者CDN高仿IP，或者公有云DDoS网关IP，由其代理到RealServer。

       c. 超大规模流量

       超大规模流量通过上述方法也起不到多大作用，只能通过专业的网络安全公司接入DDoS高防服务，隐藏服务器源IP，将攻击流量引流到高防IP，对恶意攻击流量进行智能清洗，阻拦漏洞攻击、网页篡改、恶意扫描等黑客行为，保障网站的安全与可用性。

       二、按攻击流量协议分类

       a. syn/fin/ack等tcp协议包

       设置预警阀值和响应阀值，前者开始报警，后者开始处理，根据流量大小和影响程度调整防护策略和防护手段，逐步升级。

       b. UDP/DNS query等UDP协议包

       大部分游戏业务都是TCP协议的，所以可以根据业务协议制定一份TCP协议白名单，如果遇到大量UDP请求，可以不经产品确认或者延迟跟产品确认，直接在系统层面/HPPS或者清洗设备上丢弃UDP包。

       c. http flood/CC等需要跟数据库交互的攻击

       这种一般会导致数据库或者webserver负载很高或者连接数过高，在限流或者清洗流量后可能需要重启服务才能释放连接数，因此更倾向在系统资源能够支撑的情况下调大支持的连接数。相对来说，这种攻击防护难度较大，对防护设备性能消耗很大。

       d. 其他

       icmp包可以直接丢弃，先在机房出口以下各个层面做丢弃或者限流策略。现在这种攻击已经很少见，对业务破坏力有限。

       关于"面对不同类型的DDos攻击如何采取正当防御措施？"的话题到这里就结束了，网络安全培训班正在招生中，更多课程信息，欢迎咨询老男孩教育在线客服，可免费申请试听学习视频和教学大纲，了解网络安全学习路线。

　　推荐阅读：

　　【网络安全培训班】代码审计难学吗?有哪些好用的工具?

　　网络安全培训班_为什么要开展等级保护工作?

　　【网络安全培训机构】网络安全工程师和信息安全工程师有什么不同?