写在前面：up初研究这个设备的时候以为很容易，毕竟ddos嘛大家都懂，但是实际去找资料和研究的时候发现资料少的可怜，再加上大家知道ddos但大多没见过，万幸up的老东家某普有这类设备，和之前的同事沟通了一下还是了解了，话不多说马上开始，大家的点赞是支持up前进的动力！

DDOS（分布式拒绝服务攻击），臭名昭著的流氓攻击方式，师傅们耳熟能详的防御方式一般是以下三种：加服务器性能、增加网络带宽、黑名单，基于这几点呢up一开始对抗ddos设备有了一些认识偏差，误以为抗ddos就是一个辅助扩充服务器容载量的设备，帮助容纳和暂缓数据流，防止突然暴涨，有点像堤坝的原理，但实际上并不是....且听我娓娓道来。

DDOS攻击原理

分布式拒绝服务攻击DDoS是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的，它利用网络协议和操作系统的一些缺陷，采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较，分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。 [3]

一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。主控端和代理端分别用于控制和实际发起攻击，其中主控端只发布命令而不参与实际的攻击，代理端发出DDoS的实际攻击包。对于主控端和代理端的计算机，攻击者有控制权或者部分控制权．它在攻击过程中会利用各种手段隐藏自己不被别人发现。真正的攻击者一旦将攻击的命令传送到主控端，攻击者就可以关闭或离开网络．而由主控端将命令发布到各个代理主机上。这样攻击者可以逃避追踪。每一个攻击代理主机都会向目标主机发送大量的服务请求数据包，这些数据包经过伪装，无法识别它的来源，而且这些数据包所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。甚至导致系统崩溃。

以上内容by百度百科。

常见DDOS攻击类型

SYN洪水、UDP洪水、HTTP GET/POST攻击是较常见的三种ddos攻击方式分别基于tcp、udp和http三种协议，可以看出ddos攻击在针对协议层上跨度比较大，防御难度大、攻击手段多。

抗DDOS设备结构

基础构成：流量清洗设备+管理服务端

部署方式：直连or旁路

流量清洗

基于以上ddos攻击类型可知，ddos是依靠协议特点，频繁建立连接或发起请求致使服务器瘫痪。

正常来说黑客的恶意ddos可能是基于一个丰富的IP资源池，同一个IP短时间内出现的频率不会很高，如果基于IP访问频率去自动封禁IP就不合适了；同理，在基于一个资源丰富的前提下，攻击者是具有混淆多种攻击方式的能力的，依据协议来封堵或拒绝也是不合理的。在超大流量攻击下阻断型设备已经无法正常发挥作用（IPS、waf等），这里就需要引进流量清洗。

①ioc情报。现在是数据共享时代，ioc共享是安全的一种潮流，攻击者所持有的资源池中的IP绝大部分都有恶意tag，这便是内置流量清洗规则的一部分，关于ioc这部分过后可能也会单独挖一个坑去讲讲，毕竟在这篇文章写下时也快hvv了。

②限速。除此之外限制流量速度也是很重要的方法，因为udp洪水本身单独分析数据包不会有明显特征，仅通过不断发起udp请求进行的，流量清洗设备引流后限制速率再转发也能很有效的防范攻击。

③攻击指纹。DDOS自动攻击工具是黑客的玩具之一，毕竟不是谁都那么玩心大非得手动弄个自动化脚本跑，这类攻击也确实是非大场面见不到的。既然有工具那就能依靠指纹识别去屏蔽和过滤沾染该指纹的数据包，原理简单，和前几篇讲安全设备（态势感知、edr）差不多，感兴趣的师傅们可以自行复习。

④规则验证。这里up小抄一下作业，查了资料，毕竟关于数据可靠性是up的小弱项。这一点包括了请求验证、客户端验证、协议完整性验证等，主要针对发起者提供的信息进行，up点到为止给大家了解一下。

总结

DDOS攻击很少很少能见到，真的是大场面发生的事情，除了很偶尔看到的APT组织发起的之外就没什么可能了，这里是给师傅们了解了解相关的设备特性，防患于未然，并且，学无止境嘛，现在关于ddos的一些防范和设备数据真的不多，搜一搜的确有很多小厂家在做，点进去一看感觉和waf差不多，啧，这就没意思了，师傅们可以看看某lm的产品，还是很有参考价值的。

诚邀您关注一己之见安全团队公众号！我们会不定期发布网络安全技术分享和学习笔记，您的关注就是给予我们最大的动力！