服务器老被DDOS攻击，该怎么办？_百度知道
服务器老被DDOS攻击，该怎么办？
我有更好的答案
DDOS攻击的目的有两个：一个是消耗网络带宽资源，二是消耗服务器系统资源。因此在遇到DDOS攻击的典型现象就是，带宽资源被耗尽，或者服务器系统资源被占满。在遇到DDOS攻击，用户需要判断攻击的方式，进而采取相应的措施。但是，此时实际上已经给用户造成了影响了，因此建议用户使用专业的抗DDOS攻击，提前预防。修改注册表防范DDos攻击：Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] '关闭无效网关的检查。当服务器设置了多个网关，这样在网络不通畅的时候系统会尝试连接 '第二个网关，通过关闭它可以优化网络。 &EnableDeadGWDetect&=dword: '禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。 &EnableICMPRedirects&=dword: '不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。 '注意系统必须安装SP2以上 &NoNameReleaseOnDemand&=dword: '发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态， '不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里设置时间为5分钟。 &KeepAliveTime&=dword: '禁止进行最大包长度路径检测。该项值为1时，将自动检测出可以传输的数据包的大小， '可以用来提高传输效率，如出现故障或安全起见，设项值为0，表示使用固定MTU值576bytes。 &EnablePMTUDiscovery&=dword: '启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后 '安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 '设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。 &SynAttackProtect&=dword: '同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态 '的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。 &TcpMaxHalfOpen&=dword: '判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。 &TcpMaxHalfOpenRetried&=dword: '设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。 '项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。 '微软站点安全推荐为2。 &TcpMaxConnectResponseRetransmissions&=dword: '设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。 &TcpMaxDataRetransmissions&=dword: '设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。 &TCPMaxPortsExhausted&=dword: '禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的 '源路由包，微软站点安全推荐为2。 &DisableIPSourceRouting&=dword:0000002 '限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。 &TcpTimedWaitDelay&=dword:0000001e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] '增大NetBT的连接块增加幅度。缺省为3，范围1-20，数值越大在连接越多时提升性能。每个连接块消耗87个字节。 &BacklogIncrement&=dword: '最大NetBT的连接快的数目。范围1-40000，这里设置为1000，数值越大在连接越多时允许更多连接。 &MaxConnBackLog&=dword:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters] '配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为1，表示允许动态Backlog。 &EnableDynamicBacklog&=dword: '配置最小动态Backlog。默认项值为0，表示动态Backlog分配的自由连接的最小数目。当自由连接数目 '低于此数目时，将自动的分配自由连接。默认值为0，对于网络繁忙或者易遭受SYN攻击的系统，建议设置为20。 &MinimumDynamicBacklog&=dword: '最大动态Backlog。表示定义最大&准&连接的数目，主要看内存大小，理论每32M内存最大可以 '增加5000个，这里设为20000。 &MaximumDynamicBacklog&=dword:00002e20 '每次增加的自由连接数据。默认项值为5，表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击 '的系统，建议设置为10。 &DynamicBacklogGrowthDelta&=dword:0000000a ==================================================== 以上存为.reg后即可直接导入. 当然可以在里面相应的添加其他设置进行一次性修改注册表.如: '关闭445端口 &SMBDeviceEnabled&=dword: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters] '禁止C$,D$一类的共享 &AutoShareServer&=dword: '禁止ADMIN$缺省共享 &AutoShareWks&=dword: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] '限制IPC$缺省共享 &restrictanonymous&=dword:
采纳率：82%
来自团队：
分布式拒绝服务攻击(DDoS)是一种特殊形式的拒绝服务攻击。它是利用多台已经被攻击者所控制的机器对某一台单机发起攻击，在带宽相对的情况下，被攻击的主机很容易失去反应能力。作为一种分布、协作的大规模攻击方式，分布式拒绝服务攻击(DDoS)主要瞄准比较大的站点，像商业公司，搜索引擎和政府部门的站点。由于它通过利用一批受控制的机器向一台机器发起攻击，来势迅猛，而且往往令人难以防备，具有极大的破坏性。专家建议采用专业的DDOS防御设备。目前，国内的品牌主要有绿盟、金盾，国外的品牌主要有arbor、radware。国外品牌使用的较少，企业可根据自身的情况选择不同的品牌。
本回答被网友采纳
一、分析一下ddos原因，是你的对手原因，还是你服务器原因，比如以前容易被ddos的服务器一般是私服，赌博站，钓鱼站等非法站也容易被ddos.二、有的说是ddos，有的技术人员没有分析出是cc还是真的ddoscc的一般是可以查到攻击ip的，查到后封掉对应ip就可以了。三、真的ddos，机房没有防御的话，会封掉你的ip,大流量攻击会影响机房的出口。针对ddos一般选择机房的时候注意机房有高防服务器，攻击的时候可以购买高防服务，实现相应流量的防御。
用一些高防的服务器，一般国外的都支持。建议你用raksmart的
购买高防御服务器, 或者采用多前端节点来分流. DDOS采用的是流量攻击,没有特别好的解决方法, 只能以带宽流量来硬抗.
反攻击回去，百度搜索下终点ddos
买个防火墙,配置好了...就没有问题了
其他5条回答
为您推荐：
其他类似问题
您可能关注的内容
ddos攻击的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。《从入门到精通云服务器》－4 - 赭山东路 - 博客园
随笔 - 68, 文章 - 0, 评论 - 2, 引用 - 0
上周咱们深入分析了云服务器的配置问题，好了，现在手上有了云服务器之后，我们又不得不提它：DDOS攻击。这是所有运维者的心头痛，也是任何公司听闻后都将心惊胆战的强大对手。下面我们将用浅显易懂的方式讲述什么叫DDOS攻击。
　　DDOS攻击形象比喻
　　某饭店可以容纳100人同时就餐，某日有个商家恶意竞争，雇佣了200人来这个饭店坐着不吃不喝，导致饭店满满当当无法正常营业。（DDOS攻击成功）
　　老板当即大怒，派人把不吃不喝影响正常营业的人全都轰了出去，且不再让他们进来捣乱，饭店恢复了正常营业。（添加规则和黑名单进行DDOS防御，防御成功）
　　主动攻击的商家心存不满，这次请了五千人逐批次来捣乱，导致该饭店再次无法正常营业。（增加DDOS流量，改变攻击方式）
　　饭店把那些捣乱的人轰出去后，另一批接踵而来。此时老板将饭店营业规模扩大，该饭店可同时容纳1万人就餐，5000人同时来捣乱饭店营业也不会受到影响。（增加硬防与其抗衡）
　　DDOS是Distributed Denial of Service的缩写，翻译成中文是&分布式拒绝服务&攻击，网络中的DDOS攻击与防御与上面例子所述差不多，DDOS只不过是一个概称，其下有各种攻 击方式，比如&CC攻击、SYN攻击、NTP攻击、TCP攻击、DNS攻击等等&，现在DDOS发展变得越来越可怕，NTP攻击渐渐成为主流了，这意味着 可以将每秒的攻击流量放大几百倍，比如每秒1G的SYN碎片攻击换成NTP放大攻击，就成为了200G或者更多。
　　每秒200G的攻击意味着什么？
　　家庭用户直接掉线或死机。
　　瞬间瘫痪腾讯网、迅雷看看官网等大型网站。
　　可以让QQ或YY大面积掉线且无法登录。
　　可以瞬间瘫痪360内容分发网络（俗称CDN），让大量网站无法访问。
　　重大DDOS攻击案例
　　2000年2月，包括雅虎、CNN、亚马逊、eBay、ZDNet，以及E*Trade和Datek等网站均遭受到了DDOS攻击，并致使部分网站瘫痪。
　　2007年5月，爱沙尼亚三周内遭遇三轮DDOS攻击, 总统府、议会、几乎全部政府部门、主要政党、主要媒体和2家大银行和通讯公司的网站均陷入瘫痪，为此北约顶级反网络恐怖主义专家前往该国救援。
　　断网事件导致南方六省运营商服务器全部崩溃，电信在南方六省的网络基本瘫痪。
　　2009年7月，韩国主要网站三天内遭遇三轮猛烈的DDOS攻击，韩国宣布提前成立网络司令部。
　　最近比较著名的案例有：全球三大游戏平台：暴雪战网、Valve Steam和EA Origin遭到大规模DDoS攻击，致使大批玩家无法登录与进行游戏。随后名为DERP的黑客组织声称对此次大规模的DDoS攻击行动负责。
　　企业对于DDOS攻击的防护
　　1、主机与系统层面上：
　　关闭不必要的服务和端口；
　　限制同一时间内打开的syn半连接数目；
　　缩短syn半连接超时时间；
　　系统设置防火墙iptables，ipsec等策略；
　　不要在服务器上安装破解类程序，所有软件必须来源于官网；
　　及时安装官方系统更新的安全补丁。
　　2、程序层面：
　　安全的架构设计；安全的编码；安全测试；安装服务器相应的防护软件
　　（比如安全狗、云锁、360网站卫士之类的）
　　3、网络设备层面上（路由和防火墙）：
　　禁止对主机非开放服务的访问；
　　限制同时间内打开的syn最大连接数；
　　限定特定ip地址的访问，过滤未使用的保留ip地址段；
　　启用防火墙防DDOS属性或者购买DDOS硬防设备；
　　（小鸟云辽宁高防节点：最低硬防20G，最高可达300Gbps）
　　严格限制对外开放服务器的对外访问；
　　CEF和UnicastReverse_path设置，减少伪造ip攻击的危害；
　　4.非技术因素上的防护：
　　培养安全意识，警惕社会工程学的攻击；
　　建立安全责任制度。客服热线：400-995-7855
当前位置：&&&
如何防止香港服务器遭受DDoS攻击？亿速云提香港高防服务器方案
& 15:03&&来源：互联网&
　　DDOS攻击(分布式拒绝服务攻击)是目前常见的网络攻击方法。简单来说，多个DoS攻击源一起攻击某台服务器就形成了DDOS攻击。DDoS攻击的危害很大，而且很难防范，可以直接导致网站宕机、服务器瘫痪，数据流失等巨大损失，影响非常大。作为企业级重要业务数据的存放平台，香港服务器一旦被DDoS攻击，企业互联网服务将面临重大打击，包括不可估量的经济损失以及难以消除的负面影响。那么，防止香港服务器遭受DDoS攻击有哪些方法呢?亿速云为广大用户提出以下解决方案。
　　一、隐藏香港服务器真实IP地址。
　　DDoS攻击通常是针对服务器的IP地址发起攻击，因此我们需要通过多种措施保护好香港服务器的IP地址，禁ping、使用CDN方案等都是有效的方法。一般简单的攻击都是通过ping来确定服务器是否存活。当别人无法ping通你的服务器IP时，可能误以为该服务器没有开机，或者该IP地址不存在&存活的服务器&，这样就降低了服务器被攻击的可能性。在香港服务器前端加CDN中转，也可用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不要使用真实IP解析，全部都使用CDN来解析。
　　二、安装防火墙和攻击防护软件。
　　隐藏你的香港服务器IP地址后，还要确保服务器软件没有任何漏洞，防止攻击者入侵，并且安装正规可靠的防火墙和攻击防护软件。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。
　　三、部署香港高防服务器。
　　部署亿速云香港高防服务器也是防止DDoS攻击的有效方法，但价格昂贵，通常是作为遭遇DDoS后的抵御手段。这里讲的香港高防服务器，并非传统的依靠机房硬件防火墙防护的高防服务器，而是像亿速云香港服务器那样，通过接入高防线路，部署流量清洗设备，对异常流量进行监控、识别、清洗等系列流程，最终将正常注回源站，达到DDoS防护的效果。
　　在租用亿速云高防服务器后，亿速云会提供一个高防ip给用户，如果该ip出现异常流量时，高防机房中的硬件防火墙，牵引系统等会对流量进行智能识别，对恶意流量进行过滤，保证正常流量能够对服务器发出请求并得到正常的处理。
　　四、定期备份网站数据至本地。
　　定期日常备份是保护网站数据安全的重要手段，也是防止DDoS攻击的预防方式。通过将网站数据保存在本地，即使遭遇DDoS攻击，也能快速使用本地备份，放置到其他机器上恢复网站访问。总之，防止香港服务器遭受DDoS攻击有哪些方法?希望以上的几种方法对你有所启发。
扫一扫关注A5创业网公众号
责任编辑：陈龙
在海内外虚拟主机产品中，高性价比的美国主机更是受到广大站长的青睐，因为高性价比美国主机不但性能好，而且价格便宜。2018年已过一半，又有哪些高性价比美国主机值得选择呢?这里小编就简单为大家推荐三款高性价比美国主机，无论是从性能、访问速度、稳定性还是租用价格方面来看，它们表现的都非常出色。
毕竟普通ADSL宽带属于运营商家用级别的产品,本身稳定性就较低。个别个人商家贪图利益,购置二手淘汰服务器,然后找运营商拉宽带到自己家中,其稳定性和安全性都缺乏保障。因而,建议购买拨号VPS也是要选择正规公司,并且需要有专业的IDC/ISP运营资质,避免不必要的风险。
各位站长，喜讯来咯!SugarHosts糖果主机香港数据中心虚拟主机、VPS全线升级，价格维持不变。目前SugarHosts糖果主机香港数据中心电信、移动、联通三网直连，拥有全套自营BGP网络，针对中国大陆访问深度优化，且支持IPv6。
BlueHost是美国知名的主机商之一，其主机凭借优质性能、速度快而备受用户喜爱。为了给国内站长提供更好服务以及多元化建站需求，2014年BlueHost开通中国站并推出美国、香港、印度和伦敦四个数据机房的主机产品。
好消息好消息，SugarHosts糖果主机夏季大促销啦!中美极速专线VPS主机促销—限时六折首年优惠!SugarHostsVPS主机凭借高速访问，稳定安全，售后完备等优势，深受国内站长们的青睐，得到了用户们的广泛认可。
如今中国与世界各国之间的贸易合作越来越紧密，这为国内很多外贸企业的发展提供新契机。而外贸企业也纷纷探索多种方法来拓展销售渠道，其中跨境电商平台建设就是其中之一。
有没有一个合适的解决方案，能让用户直接选中性价比最高的产品？答案是肯定的。而且解决时间就在这个6月份，解决办法就在西部数码的年中大促活动中。
年中已经到来，打折促销的商家越来越多，想买的东西也很多。怎么办？该在哪里买买买，才不会让大家后悔剁手。答案是西部数码！西部数码年中大促活动，超优惠超合适，不在这里剁手才会后悔一年！
年中狂欢已经到来，不管你是囊中羞涩还是腰缠万贯，都邀请你加入到这一年一度的大party！消费是种生活态度，我们不做低价的奴隶，只寻有品质的折扣。不因廉价而损美，西部数码就是这样有态度的商家。
如今在网站建站当中，网站访问速度是大家比较看重的一个因素，而香港主机免备案、国内访问速度快、性能优越等优势无疑成为广大站长的首选。访问速度快的香港主机比比皆是，但稳定性高的香港主机却不多。
创业好项目
云计算十年：从战略回归战术
扫描二维码关注A5创业网了解最新创业资讯服务
&徐州八方网络科技有限公司&版权所有&
举报投诉邮箱：
扫一扫关注最新创业资讯web服务器如何有效防止被ddos？_百度知道
web服务器如何有效防止被ddos？
我有更好的答案
web服务器如何有效防止被ddos方法详见：
网络推广优化经理
ddos攻击现阶段已经无法阻止它来了
因为ddos攻击实在是太受黑客喜欢了，所以网站想不受损失，就得能抗住，那么最好选择无限防云服务器来防，不然凭自己肯定是被动挨打，损失惨重。
本回答被提问者采纳
一种是安装阿里云Web应用防火墙，对网站或者APP的业务流量进行恶意特征识别及防护，将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵，保障业务的核心数据安全，解决因恶意攻击导致的服务器性能异常问题。一种是选择安全服务，相对便宜。
为您推荐：
其他类似问题
您可能关注的内容
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。【阿里云服务器怎么样】深入浅出DDoS攻击防御——攻击篇
DDoS攻击基础
DDoS（Distributed Denial of
Service，分布式拒绝服务）攻击的主要目的是让指定目标无法提供正常服务，甚至从互联网上消失，是目前最强大、最难防御的攻击之一。
按照发起的方式，DDoS可以简单分为三类。
第一类以力取胜，海量数据包从互联网的各个角落蜂拥而来，堵塞IDC入口，让各种强大的硬件防御系统、快速高效的应急流程无用武之地。这种类型的攻击典型代表是ICMP
Flood和UDP Flood，现在已不常见。
第二类以巧取胜，灵动而难以察觉，每隔几分钟发一个包甚至只需要一个包，就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起，例如Slowloris攻击、Hash冲突攻击等，需要特定环境机缘巧合下才能出现。
第三类是上述两种的混合，轻灵浑厚兼而有之，既利用了协议、系统的缺陷，又具备了海量的流量，例如SYN Flood攻击、DNS
Query Flood攻击，是当前的主流攻击方式。
本文将一一描述这些最常见、最具代表性攻击方式，并介绍它们的防御方案。
1.1. SYN Flood
SYN Flood是互联网上最经典的DDoS攻击方式之一，最早出现于1999年左右，雅虎是当时最著名的受害者。SYN
Flood攻击利用了TCP三次握手的缺陷，能够以较小代价使目标服务器无法响应，且难以追查。
标准的TCP三次握手过程如下：
客户端发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；
服务器在收到客户端的SYN报文后，将返回一个SYN+ACK（即确认Acknowledgement）的报文，表示客户端的请求被接受，同时TCP初始序号自动加1；
l& 客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加1。
经过这三步，TCP连接就建立完成。TCP协议为了实现可靠传输，在三次握手的过程中设置了一些异常处理机制。第三步中如果服务器没有收到客户端的最终ACK确认报文，会一直处于SYN_RECV状态，将客户端IP加入等待列表，并重发第二步的SYN+ACK报文。重发一般进行3-5次，大约间隔30秒左右轮询一次等待列表重试所有客户端。另一方面，服务器在自己发出了SYN+ACK报文后，会预分配资源为即将建立的TCP连接储存信息做准备，这个资源在等待重试期间一直保留。更为重要的是，服务器资源有限，可以维护的SYN_RECV状态超过极限后就不再接受新的SYN报文，也就是拒绝新的TCP连接建立。
Flood正是利用了上文中TCP协议的设定，达到攻击的目的。攻击者伪装大量的IP地址给服务器发送SYN报文，由于伪造的IP地址几乎不可能存在，也就几乎没有设备会给服务器返回任何应答了。因此，服务器将会维持一个庞大的等待列表，不停地重试发送SYN+ACK报文，同时占用着大量的资源无法释放。更为关键的是，被攻击服务器的SYN_RECV队列被恶意的数据包占满，不再接受新的SYN请求，合法用户无法完成三次握手建立起TCP连接。也就是说，这个服务器被SYN
Flood拒绝服务了。
Flood有兴趣的可以看看http://www.icylife.net/yunshu/show.php?id=367，这是我2006年写的代码，后来做过几次修改，修改了Bug，并降低了攻击性，纯做测试使用。
1.2. DNS Query Flood
作为互联网最基础、最核心的服务，DNS自然也是DDoS攻击的重要目标之一。打垮DNS服务能够间接打垮一家公司的全部业务，或者打垮一个地区的网络服务。前些时候风头正盛的黑客组织anonymous也曾经宣布要攻击全球互联网的13台根DNS服务器，不过最终没有得手。
UDP攻击是最容易发起海量流量的攻击手段，而且源IP随机伪造难以追查。但过滤比较容易，因为大多数IP并不提供UDP服务，直接丢弃UDP流量即可。所以现在纯粹的UDP流量攻击比较少见了，取而代之的是UDP协议承载的DNS
Flood攻击。简单地说，越上层协议上发动的DDoS攻击越难以防御，因为协议越上层，与业务关联越大，防御系统面临的情况越复杂。
Flood就是攻击者操纵大量傀儡机器，对目标发起海量的域名查询请求。为了防止基于ACL的过滤，必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。在DNS协议层，随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外，还可以降低命中DNS缓存的可能性，尽可能多地消耗DNS服务器的CPU资源。
关于DNS Query
Flood的代码，我在2011年7月为了测试服务器性能曾经写过一份代码，链接是http://www.icylife.net/yunshu/show.php?id=832。同样的，这份代码人为降低了攻击性，只做测试用途。
1.3. HTTP Flood
上文描述的SYN Flood、DNS Query
Flood在现阶段已经能做到有效防御了，真正令各大厂商以及互联网企业头疼的是HTTP Flood攻击。HTTP
Flood是针对Web服务在第七层协议发起的攻击。它的巨大危害性主要表现在三个方面：发起方便、过滤困难、影响深远。
SYN Flood和DNS Query
Flood都需要攻击者以root权限控制大批量的傀儡机。收集大量root权限的傀儡机很花费时间和精力，而且在攻击过程中傀儡机会由于流量异常被管理员发现，攻击者的资源快速损耗而补充缓慢，导致攻击强度明显降低而且不可长期持续。HTTP
Flood攻击则不同，攻击者并不需要控制大批的傀儡机，取而代之的是通过端口扫描程序在互联网上寻找匿名的HTTP代理或者SOCKS代理，攻击者通过匿名代理对攻击目标发起HTTP请求。匿名代理是一种比较丰富的资源，花几天时间获取代理并不是难事，因此攻击容易发起而且可以长期高强度的持续。
另一方面，HTTP
Flood攻击在HTTP层发起，极力模仿正常用户的网页请求行为，与网站业务紧密相关，安全厂商很难提供一套通用的且不影响用户体验的方案。在一个地方工作得很好的规则，换一个场景可能带来大量的误杀。
最后，HTTP
Flood攻击会引起严重的连锁反应，不仅仅是直接导致被攻击的Web前端响应缓慢，还间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务，增大它们的压力，甚至对日志存储服务器都带来影响。
有意思的是，HTTP Flood还有个颇有历史渊源的昵称叫坠セ鳌是Challenge
Collapsar的缩写，而Collapsar是国内一家著名安全公司的DDoS防御设备。从目前的情况来看，不仅仅是Collapsar，所有的硬件防御设备都还在被挑战着，风险并未解除。
1.4. 慢速连接攻击
提起攻击，第一反应就是海量的流量、海量的报文。但有一种攻击却反其道而行之，以慢著称，以至于有些攻击目标被打死了都不知道是怎么死的，这就是慢速连接攻击，最具代表性的是rsnake发明的Slowloris。
HTTP协议规定，HTTP
Request以\r\n\r\n结尾表示客户端发送结束，服务端开始处理。那么，如果永远不发送\r\n\r\n会如何？Slowloris就是利用这一点来做DDoS攻击的。攻击者在HTTP请求头中将Connection设置为Keep-Alive，要求Web
Server保持TCP连接不要断开，随后缓慢地每隔几分钟发送一个key-value格式的数据到服务端，如a:b\r\n，导致服务端认为HTTP头部没有接收完成而一直等待。如果攻击者使用多线程或者傀儡机来做同样的操作，服务器的Web容器很快就被攻击者占满了TCP连接而不再接受新的请求。
很快的，Slowloris开始出现各种变种。比如POST方法向Web
Server提交数据、填充一大大Content-Length但缓慢的一个字节一个字节的POST真正数据内容等等。关于Slowloris攻击，rsnake也给出了一个测试代码，参见http://ha.ckers.org/slowloris/slowloris.pl。
DDoS攻击进阶
2.1. 混合攻击
以上介绍了几种基础的攻击手段，其中任意一种都可以用来攻击网络，甚至击垮阿里、百度、腾讯这种巨型网站。但这些并不是全部，不同层次的攻击者能够发起完全不同的DDoS攻击，运用之妙，存乎一心。
高级攻击者从来不会使用单一的手段进行攻击，而是根据目标环境灵活组合。普通的SYN
Flood容易被流量清洗设备通过反向探测、SYN Cookie等技术手段过滤掉，但如果在SYN
Flood中混入SYN+ACK数据包，使每一个伪造的SYN数据包都有一个与之对应的伪造的客户端确认报文，这里的对应是指源IP地址、源端口、目的IP、目的端口、TCP窗口大小、TTL等都符合同一个主机同一个TCP
Flow的特征，流量清洗设备的反向探测和SYN
Cookie性能压力将会显著增大。其实SYN数据报文配合其他各种标志位，都有特殊的攻击效果，这里不一一介绍。对DNS Query
Flood而言，也有独特的技巧。
首先，DNS可以分为普通DNS和授权域DNS，攻击普通DNS，IP地址需要随机伪造，并且指明服务器要求做递归解析；但攻击授权域DNS，伪造的源IP地址则不应该是纯随机的，而应该是事先收集的全球各地ISP的DNS地址，这样才能达到最大攻击效果，使流量清洗设备处于添加IP黑名单还是不添加IP黑名单的尴尬处境。添加会导致大量误杀，不添加黑名单则每个报文都需要反向探测从而加大性能压力。
另一方面，前面提到，为了加大清洗设备的压力不命中缓存而需要随机化请求的域名，但需要注意的是，待解析域名必须在伪造中带有一定的规律性，比如说只伪造域名的某一部分而固化一部分，用来突破清洗设备设置的白名单。道理很简单，腾讯的服务器可以只解析腾讯的域名，完全随机的域名可能会直接被丢弃，需要固化。但如果完全固定，也很容易直接被丢弃，因此又需要伪造一部分。
其次，对DNS的攻击不应该只着重于UDP端口，根据DNS协议，TCP端口也是标准服务。在攻击时，可以UDP和TCP攻击同时进行。
HTTP Flood的着重点，在于突破前端的cache，通过HTTP头中的字段设置直接到达Web
Server本身。另外，HTTP
Flood对目标的选取也非常关键，一般的攻击者会选择搜索之类需要做大量数据查询的页面作为攻击目标，这是非常正确的，可以消耗服务器尽可能多的资源。但这种攻击容易被清洗设备通过人机识别的方式识别出来，那么如何解决这个问题？很简单，尽量选择正常用户也通过APP访问的页面，一般来说就是各种Web
API。正常用户和恶意流量都是来源于APP，人机差别很小，基本融为一体难以区分。
之类的慢速攻击，是通过巧妙的手段占住连接不释放达到攻击的目的，但这也是双刃剑，每一个TCP连接既存在于服务端也存在于自身，自身也需要消耗资源维持TCP状态，因此连接不能保持太多。如果可以解决这一点，攻击性会得到极大增强，也就是说Slowloris可以通过stateless的方式发动攻击，在客户端通过嗅探捕获TCP的序列号和确认维护TCP连接，系统内核无需关注TCP的各种状态变迁，一台笔记本即可产生多达65535个TCP连接。
前面描述的，都是技术层面的攻击增强。在人的方面，还可以有一些别的手段。如果SYN
Flood发出大量数据包正面强攻，再辅之以Slowloris慢速连接，多少人能够发现其中的秘密？即使服务器宕机了也许还只发现了SYN攻击想去加强TCP层清洗而忽视了应用层的行为。种种攻击都可以互相配合，达到最大的效果。攻击时间的选择，也是一大关键，比如说选择维护人员吃午饭时、维护人员下班堵在路上或者在地铁里无线上网卡都没有信号时、目标企业在举行大规模活动流量飙升时等。
这里描述的只是纯粹的攻击行为，因此不提供代码，也不做深入介绍。
2.2. 来自P2P网络的攻击
前面的攻击方式，多多少少都需要一些傀儡机，即使是HTTP
Flood也需要搜索大量的匿名代理。如果有一种攻击，只需要发出一些指令，就有机器自动上来执行，才是完美的方案。这种攻击已经出现了，那就是来自P2P网络的攻击。
大家都知道，互联网上的P2P用户和流量都是一个极为庞大的数字。如果他们都去一个指定的地方下载数据，使成千上万的真实IP地址连接过来，没有哪个设备能够支撑住。拿BT下载来说，伪造一些热门视频的种子，发布到搜索引擎，就足以骗到许多用户和流量了，但这只是基础攻击。
高级P2P攻击，是直接欺骗资源管理服务器。如迅雷客户端会把自己发现的资源上传到资源管理服务器，然后推送给其他需要下载相同资源的用户，这样，一个链接就发布出去。通过协议逆向，攻击者伪造出大批量的热门资源信息通过资源管理中心分发出去，瞬间就可以传遍整个P2P网络。更为恐怖的是，这种攻击是无法停止的，即使是攻击者自身也无法停止，攻击一直持续到P2P官方发现问题更新服务器且下载用户重启下载软件时为止。
限于篇幅，DDoS攻击的介绍就写这么多，而且我也不愿意对这个做更进一步的阐述了——理解防御这么多已经够用了。
总的来说，DDoS攻击可以很灵巧，可以很优美。运用之妙，存乎一心。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。