本人从事网络安适行业20年。有15年防ddos打击防护经验。受骗了很多回（都说能防300G，500G，买完就防不住了），本文固然重点给大家说明，ddos打击是什么，中小企业如何防护，用到本钱等。

2004年记得是，晚上我带着螺丝刀，晚上2点去机房维护，有ddos打击，被差人当贼了，汗，那时华夏黑客同盟天天有打击，长途连接不上得去机房，机房也不知道ddos是什么只知道流量大，一句话，你中病毒了。电信通机房惠普大厦机房。

言归正传

首先我们说说ddos打击方法，记住一句话，这是一个世界级的难题并没有解决步伐只能缓解

DDoS（Distributed Denial of Service，漫衍式拒绝处事）打击的主要目的是让指定方针无法供给正常处事，甚至从互联网上消掉，是目前最强大、最难防御的打击之一。这是一个世界级的难题并没有解决步伐只能缓解.

凭据倡议的方法，DDoS可以简单分为三类。

第一类以力取胜，海量数据包从互联网的各个角落蜂拥而来，堵塞IDC入口，让各类强大的硬件防御系统、快速高效的应急流程无用武之地。这种类型的打击范例代表是ICMP Flood和UDP Flood，此刻已不常见。

第二类以巧取胜，灵动而难以察觉，每隔几分钟发一个包甚至只需要一个包，就可以让豪华配置的处事器不再响应。这类打击主要是操作协议或者软件的缝隙倡议，例如Slowloris打击、Hash斗嘴打击等，需要特定环境机缘巧合下才华呈现。

第三类是上述两种的混合，轻灵浑厚兼而有之，既操作了协议、系统的缺陷，又具备了海量的流量，例如SYN Flood打击、DNS Query Flood打击，是当前的主流打击方法。

本文将一一描述这些最常见、最具代表性打击方法，并介绍它们的防御方案。

SYN Flood

SYN Flood是互联网上最经典的DDoS打击方法之一，最早呈现于1999年摆布，雅虎是其时最著名的受害者。SYN Flood打击操作了TCP三次握手的缺陷，能够以较小价钱使方针处事器无法响应，且难以追查。

标准的TCP三次握手过程如下：

1、客户端发送一个包罗SYN标识表记标帜的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；

2、处事器在收到客户真个SYN报文后，将返回一个SYN+ACK（即确认Acknowledgement）的报文，暗示客户真个请求被接受，同时TCP初始序号自动加1；

3、客户端也返回一个确认报文ACK给处事器端，同样TCP序列号被加1。

颠末这三步，TCP连接就成立完成。TCP协议为了实现可靠传输，在三次握手的过程中设置了一些异常措置惩罚惩罚机制。第三步中如果处事器没有收到客户真个最终ACK确认报文，会一直处于SYN_RECV状态，将客户端IP插手期待列表，并重发第二步的SYN+ACK报文。重发一般进行3-5次，约莫间隔30秒摆布轮询一次期待列表重试所有客户端。另一方面，处事器在本身发出了SYN+ACK报文后，会预分配资源为即将成立的TCP连接储存信息做筹备，这个资源在期待重试期间一直保存。更为重要的是，处事器资源有限，可以维护的SYN_RECV状态赶过极限后就不再接受新的SYN报文，也就是拒绝新的TCP连接成立。

SYN Flood正是操作了上文中TCP协议的设定，到达打击的目的。打击者伪装大量的IP地点给处事器发送SYN报文，由于伪造的IP地点几乎不成能存在，也就几乎没有设备会给处事器返回任何应答了。因此，处事器将会维持一个复杂的期待列表，不竭地重试发送SYN+ACK报文，同时占用着大量的资源无法释放。更为关键的是，被打击处事器的SYN_RECV行列队伍被恶意的数据包占满，不再接受新的SYN请求，合法用户无法完成三次握手成立起TCP连接。也就是说，这个处事器被SYN Flood拒绝处事了。

对SYN Flood ddos打击软件,有兴趣的可以看看

  我写的。

DNS Query Flood

作为互联网最根本、最核心的处事，DNS自然也是DDoS打击的重要方针之一。打垮DNS处事能够间接打垮一家公司的全部业务，或者打垮一个地区的网络处事。前些时候风头正盛的黑客组织anonymous也曾经公布发表要打击全球互联网的13台根DNS处事器，不过最终没有到手。

UDP打击是最容易倡议海量流量的打击手段，而且源IP随机伪造难以追查。但过滤对照容易，因为大大都IP并不供给UDP处事，直接抛弃UDP流量即可。所以此刻纯粹的UDP流量打击对照少见了，取而代之的是UDP协议承载的DNS Query Flood打击。简单地说，越上层协议上策动的DDoS打击越难以防御，因为协议越上层，与业务关联越大，防御系统面临的情况越庞大。