拒绝服务攻击

DDOS攻击，迄今为止没有一个特别完美的解决方案

DDOS 分布式拒绝服务，全称distributed denial of service .

简单来讲就是一种耗尽资源的攻击，系统中只要是“有限”的资源，都可能被无限的滥用，导致正常用户无法使用.

网络层：

TCP的三次握手，伪造的请求不进行最后一次ack确认时，服务器就会进行重试，并等待一个syn time时间，超时后丢掉这个请求.

大量的此类请求，就会耗尽服务器资源，导致正常的请求无法得到响应.

对抗syn flood方法，1syn cookies  2syn proxy 3可以将syn time时间设置短点儿

1、syn cookies，为每个ip分配一个cookies，并统计每个ip地址的访问频率，如果短时间内收到大量的来自同一个Ip地址的数据包，则认为收到攻击，对此ip的包进行丢弃

但会被有众多“肉鸡” 或者“傀儡机”，上面的方法被攻破

3、将syn time的超时时间设置短一些，可能会影响 正常用户的一些操作

 

应用层：

cc攻击，对一些消耗资源大的应用页面不断发起正常的请求，以达到消耗服务器资源的母的。

对于查询数据库，读/写硬盘文件等操作，相对比较消耗资源.或者利用某种黑客技术将大部分流量引向某个网站，可能会导致目标网站拒绝服务

解决方案，频率高的数据放在memcache中；

或者对apache的一些配置的修改，也可以缓减应用层的DDOS攻击，比如mod_qos的配置，mod_evasive配置