DDos防御需要根據不同的攻擊類(lèi)型和不同的攻擊方式指定對應的策略才能達到最有效的防御。常見(jiàn)的DDos包括：Flood、CC和反射等。

1、flood攻擊

Flood類(lèi)的攻擊最常見(jiàn)并簡(jiǎn)單有效，黑客通過(guò)控制大量的肉雞同時(shí)向服務(wù)器發(fā)起請求，進(jìn)而達到阻塞服務(wù)端處理入口或網(wǎng)卡隊列。

針對消耗性Flood攻擊，如：SYN

Flood、ACK

Flood、UDP

Flood，最有效并可靠的防御方法是做源認證和資源隔離，即：在客戶(hù)端和服務(wù)端建立回話(huà)時(shí)對請求的源進(jìn)行必要的認證，并將認證結果形成可靠的白名單或黑名單，進(jìn)而保證服務(wù)端處理業(yè)務(wù)的有效性。

若黑客肉雞足夠多并偽造數據包的真實(shí)性較高時(shí)，只能通過(guò)提升服務(wù)端的處理速度和流量吞吐量來(lái)達到較好的對抗效果。

2、CC攻擊

CC攻擊是一種針對Http業(yè)務(wù)的攻擊手段，該攻擊模式不需要太大的攻擊流量，它是對服務(wù)端業(yè)務(wù) 處理瓶頸的精確打擊，攻擊目標包括：大量數據運算、數據庫訪(fǎng)問(wèn)、大內存文件等，攻擊特征包括：

a、只構造請求，不關(guān)心請求結果，即發(fā)送完請求后立即關(guān)閉會(huì )話(huà)；

b、持續請求同一操作；

c、故意請求小字節的數據包（如下載文件）；

d、qps高；

針對CC的攻擊的防御需要結合具體業(yè)務(wù)的特征，針對具體的業(yè)務(wù)建立一系列防御模型，如：連接特征模型，客戶(hù)端行為模型，業(yè)務(wù)訪(fǎng)問(wèn)特征模型等，接收請求端統計客戶(hù)信息并根據模型特征進(jìn)行一系列處理，包括：列入黑名單，限制訪(fǎng)問(wèn)速率，隨機丟棄請求等。

3、反射類(lèi)攻擊

反射攻擊是一種模擬攻擊客戶(hù)端請求指定服務(wù)器，并利用請求和應答之間的流量差值進(jìn)行流量放大，進(jìn)而達到攻擊效果的攻擊方式，常見(jiàn)的攻擊類(lèi)型包括：NTP，DNS等。

針對反射攻擊比較有效的防御手段有：訪(fǎng)問(wèn)請求限速、反射流限速、請求行為分析等，這些防御手段沒(méi)法完全過(guò)濾攻擊流，只能達到抑制攻擊的效果。