DDoS攻擊的防范手段有哪些

　　DOS/DDOS（Denial of Service/Distributed Denial of Service），簡稱拒絕服務或分布式拒絕服務攻擊。一直以來，它就是黑客實施點穴式攻擊最有效的手段，在互聯網上也有很多免費的DOS/DDOS攻擊工具下載。嚴格來講，DOS/DDOS並不是一個攻擊工具，而是對“攻擊行為特征”的一種統稱，它的核心關鍵詞在於“拒絕服務”和“分布式”所包括的內涵。DOS/DDOS攻擊者想方設法，使用各種網絡技術手段，占用被攻擊者所提供服務的資源，例如：消耗服務者的網絡帶寬資源、服務器的計算資源或者存儲資源等等，讓正常訪問者無法獲取相對應的資源，從而達到破壞的目的。所以，通俗的理解DOS/DDOS攻擊目的，就是“走別人的路，讓別人無路可走”。

　　傳統的DOS/DDOS攻擊者通過在網絡層和傳輸層消耗大量帶寬，造成正常訪問通路嚴重阻塞。但是隨著有效網絡帶寬成本大幅降低，要實施帶寬攻 擊型的攻擊，需要消耗攻擊者更多的資源，而且被暴露的可能性也會加大。更重要的是，這種攻擊行為的特征非常明顯，也很容易就能判別出攻擊者的意圖，給被攻 擊者更多的應對措施和解決問題的緩沖時間，所以早期的這種暴力型“DOS/DDOS”攻擊出現的次數逐漸在整個拒絕服務攻擊中所出現的比例越來越少。但 是，Web2.0時代各種新技術的廣泛應用，針對應用層的Dos/DDOS攻擊卻在逐年增加。這類攻擊，和實際的業務系統結合非常緊密，攻擊者通過研究用 戶業務系統的數據交互特性，利用正常的應用協議進行數據傳輸交互，從協議特征的合規性上與合法訪問一致，在網絡流量上也不會引起異常大流量。這種攻擊往往悄無聲息，動靜不大，危害卻很嚴重。傳統的網絡設備，如果不細致分析用戶的業務系統，不對攻擊者的攻擊手法和攻擊過程進行深入的分析，基本上對這類攻擊就會顯得束手無策。

　　攻擊者在黑客實施DOS/DDOS攻擊之前，往往需要相當多的前奏准備。例如，先找到代理或者“肉雞”，避免暴露自己真實的位置，再通過分布式肉雞的使用端口掃描探測，獲得目標服務器的基本信息：如操作系統類型、數據庫類型、提供服務的端口、服務的類型、業務系統的特性以及服務器的硬件配置計算能力、存儲能力等等。攻擊者只需要耗費很小的帶寬和主機資源，而服務器端則要消耗很大的帶寬或者主機資源，直至造成服務器資源被消耗殆盡，就會開始拒絕其他合法客戶端訪問。針對面對這些DOS/DDOS安全威脅，天融信公司通過深入研究開發的入侵防御系統TopIDP提供了完整的解決方案。

　　首先，在網絡層和傳輸層發生的DOS/DDOS攻擊，天融信入侵防御系統TopIDP將其劃分為統計型攻擊，例如傳統的SYNFlood拒絕服 務攻擊。該攻擊以多個隨機的源主機地址向目的主機發送SYN包，而在收到目的主機的SYN ACK後並不回應，這樣造成目的主機就為這些源主機建立了大量的連接隊列，而且由於沒有收到ACK一直維護著這些隊列，造成了資源的大量消耗而不能向正常 請求提供服務。後續正常的TCP 連接請求也會因等待隊列填滿而被丟棄，造成服務器拒絕服務的現象。對於這種DOS/DDOS，天融信IDP有完善的統計代理機制，UDPFlood、 ICMPFlood、 PingSweep、PortScan都可以歸類為統計型攻擊范疇。天融信的入侵防御系統，提供了詳細的解決防護。