亿速云高防服务器可针对多种类型的DDoS攻击，提供精准防御、硬核防御，并有效降低用户的防御成本！

DDoS(英文全称： Distributed Denial of Service，缩写：DDoS )，翻译成中文，意思是“分布式拒绝服务”。DDoS攻击，是一种耗尽攻击目标的系统资源或网络带宽，导致攻击目标无法响应正常服务请求的网络攻击方式。这种攻击手法通过借助于“客户/服务器”技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动攻击。

DDoS攻击，是基于DoS的特殊形式的拒绝服务攻击，是一种分布式、协作的大规模攻击方式，主要瞄准一些企业或政府部门的网站发起攻击。

一、DDoS攻击的原理：

DDoS攻击分为3层：攻击者、主控端、代理端，这三者在攻击中扮演着不同的角色。

1、攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。

2、主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制着大量的代理主机。主控端主机上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。

3、代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和执行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。 　　

攻击者发起DDoS攻击的第一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序。攻击者入侵的主机越多，他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，另一部分主机充当攻击的代理端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，隐蔽性较强，身份不容易被发现。

以上就是DDoS攻击的原理，它能在短时间内对攻击目标发起大量的访问请求，试图耗尽攻击目标的网络资源或服务器资源，让攻击目标的网络堵塞、陷入瘫痪或者服务器无法响应正常的访问请求，并最终造成攻击目标网站的实质性无法访问。

二、DDoS攻击具体有哪些类型？

从技术角度来讲，DDoS攻击不是一种单纯的网络流量攻击，而是一大类网络流量攻击的总称，它有多种类型，包括：TCP—SYN Flood流量攻击、UDP Flood流量攻击、ICMP Flood流量攻击、ACK Flood流量攻击等，以及其他变种类型的攻击。

TCP—SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一。TCP—SYN Flood是一种针对TCP/IP协议的缺陷发起的攻击，其明显特征是被攻击者的主机上存在大量的TCP连接。TCP—SYN Flood属于DDoS的一种，其威力比其他DDoS种类要强很多，因为它是基于连接的攻击，而不是单纯的数据包攻击，所以被攻击者的主机很快瘫痪。如果黑客“肉鸡”（被操控的傀儡机）够多的话，可以攻下一个网站。

UDP Flood是属于UDP协议中的一种流量型DoS攻击，其攻击特征是，伪造大量的真实IP，并用大量的UDP小包冲击DNS服务器或流媒体视频服务器等。由于UDP协议是一种无连接的服务，在UDP Flood攻击中，攻击者可发送大量伪造源IP地址的小UDP包,只要服务器开启了UDP的端口，就会受到流量攻击。防御方法是，可对UDP包的数据大小进行设置，严格把控发送的数据包大小，超过一定值的数据包进行丢弃；另外，只有建立了TCP连接的IP，才能发送UDP包，否则直接屏蔽该IP。

ICMP Flood是利用ICMP协议对服务器进行Ping的攻击，当出现ICMP Flood攻击的时候，只要禁止ping就行了。ICMP Flood只对那些没有禁止ping的计算机有效，不管黑客有多少“肉鸡”（被操控的傀儡机），只要禁止ping，他都无可奈何。

ACK Flood攻击跟TCP—SYN Flood攻击的原理差不多，同样都是采用发送数据包到服务器端的方式。攻击者利用ACK数据包进行攻击，当每秒钟发送ACK数据包的速率达到一定的程度，就会造成ACK连接过多导致服务器的资源被耗尽，服务器无法再正常处理ACK数据包，出现网页反应很慢，丢包率很高的现象。

三、服务器应对DDoS攻击的方法和策略

在这里给大家分享一些服务器应对和缓解DDoS攻击的方法与策略，以供大家参考、借鉴。

1、确保服务器系统安全

①确保服务器的系统文件是最新的版本，并及时更新系统补丁。

②管理员需对所有主机进行检查，知道访问者的来源。

③关闭不必要的服务：在服务器上删除未使用的服务，关闭未使用的端口。

④限制同时打开的SYN半连接数目，缩短SYN半连接的等待时间，限制SYN/ICMP流量。

⑤正确设置防火墙，在防火墙上运行端口映射程序或端口扫描程序。

⑥认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更，那么这台机器就很有可能遭受到了攻击。

⑦限制在防火墙外与网络文件共享，这样会给黑客截取系统文件的机会，若黑客以特洛伊木马替换它，文件传输功能无疑会陷入瘫痪。

2、其他的一些防御方法和措施

①隐藏服务器真实IP

服务器防御DDoS攻击，最根本的措施就是隐藏服务器的真实IP地址。当服务器对外传送信息时，就可能会泄露IP地址，例如，我们常见的使用服务器发送邮件功能，就会泄露服务器的IP地址。

因而，我们在发送邮件时，需要通过第三方代理进行发送，这样显示出来的IP是代理IP，因而不会泄露真实的IP地址。在资金充足的情况下，可以选择高防服务器，且在服务器前端加CDN（内容分发网络）中转，所有的域名和子域都使用CDN（内容分发网络）来解析。

②关掉服务器不必要的服务和端口

关掉服务器不必要的服务和端口，这也是服务器运维人员最常用的做法。在服务器防火墙中，只开启使用的端口，比如：网站web服务的80端口、数据库的3306端口、SSH服务的22端口等。关掉、屏蔽不必要的服务和端口，在路由器上过滤假的IP地址。

③限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量，来限制SYN/ICMP封包所能占有的最高频宽。通过这样的限制，当出现大量超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵和攻击。早期通过限制SYN/ICMP流量，是防御DoS攻击最好的方法，虽然目前该方法对于防御DDoS攻击的效果不太明显了，不过仍然还是能够起到一定的作用。

④提供余量带宽

通过服务器性能测试，评估正常业务环境下所能承受的带宽和请求数目。在购买带宽时，确保有一定的余量带宽，这样可以避免遭受攻击时，带宽大于正常使用量而影响正常用户的情况。

⑤高防CDN

CDN（内容分发网络），通过部署在网络上不同地方的边缘节点服务器，能够让用户以最短的距离和时间获得所需要的内容，从而避免单节点带来的网络拥堵和信息延迟。正是因为CDN（内容分发网络）在全网都能部署中转节点，并且具有可以隐藏原服务器IP地址的功能，因此CDN（内容分发网络）除了可以用来加速网络服务之外，还能用来充当“高防服务器”使用。相比临时租用的高防带宽，高防CDN的价格相对比较便宜。

目前而言，DDoS攻击并没有一劳永逸的根治方法，做不到彻底杜绝和消灭，只能采取各种手段在一定程度上减缓攻击带来的伤害和损失。所以服务器的日常运维工作，还是要做好基本的保障。

亿速云，是一家拥有丰富行业积淀的专业云计算服务提供商、云安全服务提供商，致力于为广大用户提供的“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器”等云主机租用服务，具有安全稳定、简单易用、高可用性、高性价比的特点与优势，专为中小企业上云打造定制，能够满足用户丰富、多元化的应用场景需求。

亿速云为用户提供专业抗DDoS攻击、DoS攻击、CC攻击的高防云服务器、高防香港服务器、高防裸金属服务器，具有“超大防护带宽、超强清洗能力、全业务场景支持”的特点与优势，能够更加精准有效地防御DDoS攻击、DoS攻击和CC攻击，真正做到了降低用户的防御成本。

采用“智能硬件防火墙 +流量牵引技术”，并为用户配置相对应的高防IP，在用户面临DDoS攻击、DoS攻击时，可精准识别出恶意流量，并将恶意流量引流到高防IP。恶意流量在高防IP上进行清洗、过滤后，高防IP会将正常流量返回给源站IP，从而达到“防御DDoS攻击、DoS攻击，保证用户网站正常稳定运行”的目的。