什么是DDOS，高防IP可以解决DDOS问题吗

如今产业互联网时代，安全不仅是发展的底线，也成为企业数字化转型的核心竞争力。在产业互联网不断发展的同时，网络攻击事件层出不穷，攻击手段也逐渐多样化和复杂化，使得各企业网络安全问题日益突出。

目前网络攻击问题主要都是DDOS攻击，DDOS攻击被认为是安全领域最难解决的问题之一，迄今为止也没有一个完美的解决方案。随着互联网发展普及，DDOS攻击确实带来了一个很大的威胁。下面德迅云安全就简单介绍下什么是DDOS，有没什么合适的安全处理方案。

DDOS简介

DDOS又称为分布式拒绝服务攻击，全称是Distributed Denial os Service。DDOS本是利用合理的请求造成资源过载，导致服务不可用。比如一个停车场总共有100个车位，当100个车位都停满车后，再有车想要停进来，就必须等已有的车先出去才行。如果已有的车一直不出去，那么停车场的入口就会排起长队，停车场的负荷过载，不能正常工作了，这种情况就是“拒绝服务”。

我们的系统就好比是停车场，系统中的资源就是车位。资源是有限的，而服务必须一直提供下去。如果资源都已经被占用了，那么服务也将过载，导致系统停止新的响应。

分布式拒绝服务攻击，将正常请求放大了若干倍，通过若干网络节点同时发起攻击，以达成规模响应。这些网络节点往往是黑客们所控制的“肉鸡”，数量达到一定规模后，就形成了一个“僵尸网络”。大型的僵尸网络，甚至达到了数万、数十万台的规模。如此规模的僵尸网络发起的DDOS攻击，几乎是不可阻挡的。

常见的DDOS攻击有SYN flood、UDP flood、ICMP flood等。其中SYN flood是一种最为经典的DDOS攻击，其发现于1996年，但是至今仍然保持着非常强大的生命力。SYN flood如此猖獗是因为它利用了TCP协议设计中的缺陷，而TCP/IP协议是整个互联网的基础，牵一发而动全身，如今想要修复这样的缺陷几乎成为不可能的事情。

在正常情况下，TCP三次握手过程如下：

(1)客户端向服务器发送一个SYN包，包含客户端使用的端口号和初始序列号x

(2)服务器端收到客户端发送来的SYN包后，向客户端发送一个SYN和ACK都置位的TCP报文，包含确认号x+1和服务器端的初始序列号y；

(3)客户端收到服务器端返回的SYN+ACK报文后，向服务器端返回一个确认号为y+1、序号为x+1的ACK报文，一个标准的TCP连接完成。

而SYN flood在攻击时，首先伪造大量的源IP地址，分别向服务器端发送大量的SYN包，此时服务器端会返回SYN/ACK包，因为源地址时伪造的，所以伪造的IP并不会应答，服务器端没有收到伪造IP的回应，会重试3-5次并且等待一个SYN Time(一般为30秒至2分钟)，如果超时则丢弃这个连接。攻击者大量发送这种伪造源地址的SYN请求，服务端将会消耗非常多的资源(CPU和内存)来处理这种半连接，同时还要不断地对这些IP进行SYN+ACK重试，最后的结果是服务器无暇理睬正常的连接请求，导致拒绝服务。

应用层DDOS

应用层DDOS，不同于网络层DDOS，由于发生在应用层，因此TCP三次握手已经完成，连接已经建立，所以发起攻击的IP地址也都是真实的。但应用层DDOS有时甚至比网络层DDOS攻击更为可怕，因为今天几乎所有的商业Anti-DDOS设备，只在对抗网络层DDOS时效果好，而对应用层DDOS攻击却缺乏有效的对抗手段。

那么应用层DDOS到底是怎么一回事呢？这就要从“CC攻击”说起了。

1.CC攻击

“CC攻击”的前身是一个叫fatboy的攻击程序，当时黑客为了挑战绿盟的一款反DDOS设备开发了它。绿盟是中国著名的安全公司之一，它有一款叫“黑洞(Collapasar)”的反DDOS设备，能够有效地清洗SYN Flood等有害流量。而黑客则挑衅地将fatboy所实现的攻击方式命名为：Challenge Collapasar（简称CC），意指在黑洞的防御下，仍然能有效完成拒绝服务攻击。

CC攻击的原理非常简单，就是对一些资源消耗较大的应用页面不断发起正常的请求，以达到消耗服务端资源的目的，在Web应用中，查询数据库、读/写硬盘文件等操作，相对都会消耗比较多的资源。

目前在实际的攻击中，DDOS的流量通常可以达到几十G 、上百G甚至几百G大流量，高并发数的CC攻击也不少。遇到这种情况，只能与网络安全服务商合作，由安全方面专业的技术人员提供可靠的解决方案，共同防护DDOS攻击。

了解了DDOS后，在处理DDOS攻击上，采用比较多的安全解决方案德迅云安全DDOS高防IP

一、什么是DDOS高防IP：

IP就像服务器的门牌号，无论是访问还是管理服务器，都要通过IP进行。同理，如果黑客想要对目标服务器进行DDos攻击，也要知道这个目标服务器的IP，并用大量的无效流量数据对目标IP发起请求，导致服务器的资源被大量占用，从而无法对正确的请求作出响应。同时，这些大量的无效流量数据还会占用该IP所在服务器的带宽资源，造成信息堵塞。

高防IP是针对互联网服务器遭受大流量的DDos攻击后，导致服务不可用的情况下，一个安全解决方案。采用分布式架构，具有高可用性和弹性。它能够自动分担流量，将流量引导到多个节点上进行处理，从而减轻单一节点的压力，提高系统的可用性。用户可以通过配置高防IP，将攻击流量引流到高防IP，从而确保业务的稳定可靠。

二：高防IP怎么使用的

用户购买高防IP，可以通过选择端口转发或是域名接入，（web业务只要把域名添加后台，域名解析都生成的别名IP即可，非web业务，添加转发端口 ，把业务IP换成高防IP）。同时在高防IP上设置转发规则，这样所有公网流量都会走高防IP，将用户的访问通过高防IP转发到源站IP。

在这一过程中，将恶意攻击流量在高防IP上进行清洗过滤后，把正常访问流量返回给源站IP，确保源站IP能正常稳定访问的安全防护。