寫在前面：up初研究這個設備的時候以為很容易，畢竟ddos嘛大家都懂，但是實際去找資料和研究的時候發現資料少的可憐，再加上大家知道ddos但大多沒見過，萬幸up的老東家某普有這類設備，和之前的同事溝通了一下還是了解了，話不多說馬上開始，大家的點贊是支持up前進的動力！

DDOS（分布式拒絕服務攻擊），臭名昭著的流氓攻擊方式，師傅們耳熟能詳的防御方式一般是以下三種：加服務器性能、增加網絡帶寬、黑名單，基于這幾點呢up一開始對抗ddos設備有了一些認識偏差，誤以為抗ddos就是一個輔助擴充服務器容載量的設備，幫助容納和暫緩數據流，防止突然暴漲，有點像堤壩的原理，但實際上并不是....且聽我娓娓道來。

DDOS攻擊原理

分布式拒絕服務攻擊DDoS是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布的、協同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的，它利用網絡協議和操作系統的一些缺陷，采用欺騙和偽裝的策略來進行網絡攻擊，使網站服務器充斥大量要求回復的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。與DoS攻擊由單臺主機發起攻擊相比較，分布式拒絕服務攻擊DDoS是借助數百、甚至數千臺被入侵后安裝了攻擊進程的主機同時發起的集團行為。 [3]

一個完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標四部分組成。主控端和代理端分別用于控制和實際發起攻擊，其中主控端只發布命令而不參與實際的攻擊，代理端發出DDoS的實際攻擊包。對于主控端和代理端的計算機，攻擊者有控制權或者部分控制權．它在攻擊過程中會利用各種手段隱藏自己不被別人發現。真正的攻擊者一旦將攻擊的命令傳送到主控端，攻擊者就可以關閉或離開網絡．而由主控端將命令發布到各個代理主機上。這樣攻擊者可以逃避追蹤。每一個攻擊代理主機都會向目標主機發送大量的服務請求數據包，這些數據包經過偽裝，無法識別它的來源，而且這些數據包所請求的服務往往要消耗大量的系統資源，造成目標主機無法為用戶提供正常服務。甚至導致系統崩潰。

以上內容by百度百科。

常見DDOS攻擊類型

SYN洪水、UDP洪水、HTTP GET/POST攻擊是較常見的三種ddos攻擊方式分別基于tcp、udp和http三種協議，可以看出ddos攻擊在針對協議層上跨度比較大，防御難度大、攻擊手段多。

抗DDOS設備結構

基礎構成：流量清洗設備+管理服務端

部署方式：直連or旁路

流量清洗

基于以上ddos攻擊類型可知，ddos是依靠協議特點，頻繁建立連接或發起請求致使服務器癱瘓。

正常來說黑客的惡意ddos可能是基于一個豐富的IP資源池，同一個IP短時間內出現的頻率不會很高，如果基于IP訪問頻率去自動封禁IP就不合適了；同理，在基于一個資源豐富的前提下，攻擊者是具有混淆多種攻擊方式的能力的，依據協議來封堵或拒絕也是不合理的。在超大流量攻擊下阻斷型設備已經無法正常發揮作用（IPS、waf等），這里就需要引進流量清洗。

①ioc情報。現在是數據共享時代，ioc共享是安全的一種潮流，攻擊者所持有的資源池中的IP絕大部分都有惡意tag，這便是內置流量清洗規則的一部分，關于ioc這部分過后可能也會單獨挖一個坑去講講，畢竟在這篇文章寫下時也快hvv了。

②限速。除此之外限制流量速度也是很重要的方法，因為udp洪水本身單獨分析數據包不會有明顯特征，僅通過不斷發起udp請求進行的，流量清洗設備引流后限制速率再轉發也能很有效的防范攻擊。

③攻擊指紋。DDOS自動攻擊工具是黑客的玩具之一，畢竟不是誰都那么玩心大非得手動弄個自動化腳本跑，這類攻擊也確實是非大場面見不到的。既然有工具那就能依靠指紋識別去屏蔽和過濾沾染該指紋的數據包，原理簡單，和前幾篇講安全設備（態勢感知、edr）差不多，感興趣的師傅們可以自行復習。

④規則驗證。這里up小抄一下作業，查了資料，畢竟關于數據可靠性是up的小弱項。這一點包括了請求驗證、客戶端驗證、協議完整性驗證等，主要針對發起者提供的信息進行，up點到為止給大家了解一下。

總結

DDOS攻擊很少很少能見到，真的是大場面發生的事情，除了很偶爾看到的APT組織發起的之外就沒什么可能了，這里是給師傅們了解了解相關的設備特性，防患于未然，并且，學無止境嘛，現在關于ddos的一些防范和設備數據真的不多，搜一搜的確有很多小廠家在做，點進去一看感覺和waf差不多，嘖，這就沒意思了，師傅們可以看看某lm的產品，還是很有參考價值的。

誠邀您關注一己之見安全團隊公眾號！我們會不定期發布網絡安全技術分享和學習筆記，您的關注就是給予我們最大的動力！