DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般是採用一對一方式的,當被攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項性能指標不高時,它的效果是明顯的。在典型的DDoS攻擊裡,攻擊者通常會鎖定一個特定的目標IP地址,而點塊式DDoS和典型的DDoS攻擊不同,攻擊分佈在同一前綴的多個IP地址上。
DDoS防護困難
一方面,在過去十幾年中,網絡基礎設施核心部件從未改變,這使得一些已經發現和被利用的漏洞以及一些成成熟的攻擊工具生命週期很長,即使放到今天也依然有效。另一方面,互聯網七層模型應用的迅猛發展,使得DDoS的攻擊目標多元化,從web到DNS,從三層網絡到七層應用,從協議棧到應用App,層出不窮的新產品也給了黑客更多的機會和突破點。再者DDoS的防護是一個技術和成本不對等的工程,往往一個業務的DDoS防禦系統建設成本要比業務本身的成本或收益更加龐大,這使得很多創業公司或小型互聯網公司不願意做更多的投入。
DDoS防護手段
1、資源隔離可以看作是用戶服務的一堵防護盾,這套防護系統擁有無比強大的數據和流量處理能力,為用戶過濾異常的流量和請求。
2、面對火鍋店裡面的流氓,小諾一怒之下將他們拍照入檔,並禁止他們踏入店鋪,但是有的時候遇到長得像的人也會禁止他進入店鋪。這個就是設置黑名單,此方法秉承的就是“錯殺一千,也不放一百”的原則,會封鎖正常流量,影響到企業正常業務。
3、從服務的角度來說DDoS防護本質上是一場以用戶為主體依賴抗D防護系統與黑客進行較量的戰爭,在整個數據對抗的過程中服務提供者往往具有絕對的主動權,用戶可以基於抗D系統特定的規則,如:流量類型、請求頻率、數據包特徵、正常業務之間的延時間隔等。
4、死扛,即通過大量服務器和帶寬資源的堆砌達到從容應對DDoS流量的效果。
