DDOS攻击

一、DoS和DDoS的区别

1、DoS攻击，利用程序漏洞或一对一资源耗尽的拒绝服务(一对一的攻击完全拼各自的资源，效果差)

2、DDoS分布式拒绝攻击，多对一的攻击汇聚资源能力，重点在于量大，属于资源耗尽型

二、DDoS分类

三、协议层攻击

1、Syn-Flood

三次握手，用户请求服务器(SYN),服务器向用户发送确认包(ACK),用户向服务器发送确认包(ACK)，Syn-Flood攻击就是利用第二步，服务器向用户发送确认包后，用户不回应，并且在此期间继续请求服务器(不回应)，比如发送10000个请求，此时一个正常用户访问服务器，但在服务器眼里前面有10000个用户，此时你只能等待，访问不了资源

2、sockstress

• 消耗被攻击目标系统资源-与攻击目标建立大量socket链接，完成三次握手，最后的ACK包windows大小为0-攻击者资源消耗小

• 防御措施：封杀每30秒与某个端口(80，3389)建立连接超过10个的ip地址

3、DNS放大攻击

DNS查询请求流量小，但是响应流量可能非常大(约是请求流量的8倍)，伪造源地址为被攻击目标地址，向递归域名查询服务器发起查询

四、CC攻击

正常网站，需要连接数据库，你请求一个页面就需要查询一次数据库，如果你短时间请求次数过多，数据库查询不过来，就会导致数据库崩溃，连接不上数据库，页面资源请求不出来

五、Slowhttptest攻击

http协议默认在服务器全部接收请求之后才开始处理，若客户端发送速度缓慢或不完整，服务器始终为其保留连接资源池占用，此类大量并发将导致DoS，完整http请求结尾是\r\n\r\n,攻击发\r\n,如发送http的POST请求，其中content-length声明长度，但body部分缓慢发送，针对apache未作优化，一打一个准

六、攻击工具

hping3或者goldeneye

七、防御手段

1、空连接阈值(连接服务器多少秒啥都不干，就将用户踢出去)

2、一个IP最多能允许同时维持的连接数，超过就屏蔽

3、设置连接时间，最多连接数，超过就屏蔽

4、上传下载宽带设置，

5、设置报文接收时间，最大报文数目，超过就屏蔽

6、禁止代理访问