DDos概念及应对方案

TCP/IP概念：

TCP/IP（Transmission Control Protocol/Internet Protocol，传输控制协议/网际协议）是指能够在多个不同网络间实现信息传输的协议簇。TCP/IP协议不仅仅指的是TCP 和IP两个协议，而是指一个由FTP、SMTP、TCP、UDP、IP等协议构成的协议簇， 只是因为在TCP/IP协议中TCP协议和IP协议最具代表性，所以被称为TCP/IP协议。

TCP/IP协议在一定程度上参考了OSI的体系结构。OSI模型共有七层，从下到上分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。在TCP/IP协议中，它们被简化为了四个层次：数据链路层、网络层、传输层、应用层。

三次握手四次挥手

第一次握手：建立连接。客户端发送连接请求报文段，将SYN位置为1，Sequence Number为x；然后，客户端进入SYN_SEND状态，等待服务器的确认；

第二次握手：服务器收到SYN报文段。服务器收到客户端的SYN报文段，需要对这个SYN报文段进行确认，设置Acknowledgment Number为x+1(Sequence Number+1)；同时，自己自己还要发送SYN请求信息，将SYN位置为1，Sequence Number为y；服务器端将上述所有信息放到一个报文段（即SYN+ACK报文段）中，一并发送给客户端，此时服务器进入SYN_RECV状态；

第三次握手：客户端收到服务器的SYN+ACK报文段。然后将Acknowledgment Number设置为y+1，向服务器发送ACK报文段，这个报文段发送完毕以后，客户端和服务器端都进入ESTABLISHED状态，完成TCP三次握手。

完成了三次握手，客户端和服务器端就可以开始传送数据，为什么要三次握手：主要是防止服务器端的一直等待而浪费资源，防止已失效的请求报文误传等

第一次挥手：主机1（可以使客户端，也可以是服务器端），设置Sequence Number和Acknowledgment Number，向主机2发送一个FIN报文段；此时，主机1进入FIN_WAIT_1状态；这表示主机1没有数据要发送给主机2了；

第二次挥手：主机2收到了主机1发送的FIN报文段，向主机1回一个ACK报文段，Acknowledgment Number为Sequence Number加1；主机1进入FIN_WAIT_2状态；主机2告诉主机1，我“同意”你的关闭请求；

第三次挥手：主机2向主机1发送FIN报文段，请求关闭连接，同时主机2进入LAST_ACK状态；

第四次挥手：主机1收到主机2发送的FIN报文段，向主机2发送ACK报文段，然后主机1进入TIME_WAIT状态；主机2收到主机1的ACK报文段以后，就关闭连接；此时，主机1等待2MSL后依然没有收到回复，则证明Server端已正常关闭，那好，主机1也可以关闭连接了。

状态说明

FIN_WAIT_1: FIN_WAIT_1状态是当SOCKET在ESTABLISHED状态时，它想主动关闭连接，向对方发送了FIN报文，此时该SOCKET即进入到FIN_WAIT_1状态。当对方回应ACK报文后，则进入到FIN_WAIT_2状态。

FIN_WAIT_2：FIN_WAIT_2状态下的SOCKET，表示半连接，也即有一方要求close连接，但另外还告诉对方，暂时还有点数据需要传送给你(ACK信息)，稍后再关闭连接。

CLOSE_WAIT：表示在等待关闭。当对方close一个SOCKET后发送FIN报文给自己，将会回应一个ACK报文给对方，此时则进入到CLOSE_WAIT状态。在CLOSE_WAIT状态下，需要完成的事情是等待去关闭连接。

LAST_ACK: 是被动关闭一方在发送FIN报文后，最后等待对方的ACK报文。当收到ACK报文后将进入到CLOSED状态。

TIME_WAIT: 表示收到了对方的FIN报文，并发送出了ACK报文，就等2MSL后即可回到CLOSED可用状态了。如果FIN_WAIT1状态下，收到了对方同时带FIN标志和ACK标志的报文时，可以直接进入到TIME_WAIT状态，而无须经过FIN_WAIT_2状态。

CLOSED: 表示连接中断。

一、DDos概念

1.1、什么是DDos攻击

分布式拒绝服务（Distributed Denial of Service，简称DDoS）指借助于客户端/服务器模式，将部署的DDos客户端作为攻击平台，向一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的能力。攻击者将DDoS主控程序安装在一台计算机上，并在网络上的计算机上安装了代理程序，在所设定的时间，主控程序将与大量代理程序进行通讯，代理程序收到指令时就发动攻击，使用分布式部署，主控端能快速激活成百上千次代理程序的运行。

1.2、DDos攻击类型及说明

常见的DDoS攻击类型包括畸形报文/分片攻击、网络层DDoS攻击、反射/放大 DDoS攻击、慢速攻击及应用层攻击；

畸形报文/分片攻击指通过向目标系统发送有缺陷的IP报文，使得目标系统在处理这样的报文时出现崩溃，从而达到拒绝服务的攻击目的。主要包括以下类型：Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文；

网络层DDoS攻击主要是指SYN Flood、ACK Flood、UDP Flood、ICMP Flood、RstFlood等攻击；

反射/放大DDos主要为DNS、NTP、SNMP、SSDP Floods，其中DNS DDoS攻击主要是指DNS Request Flood、DNS Response Flood、虚假源+真实源DNS Query Flood和Local服务器攻击；

慢速攻击主要是指TCP慢速连接攻击、连接资源耗尽等；

Web应用层攻击主要是指HTTP Get Flood、HTTP Post Flood、CC等攻击，攻击者对Web服务中一些资源消耗较大的事务和页面进行攻击，包括web页面大小及响应时间、数据库交互等；

二、DDos防护措施

2.1、ADS硬件防护

在网络带宽所承受范围内使用流量检测设备（NTA）与防护设备ADS联动进行本地防护，将攻击流量牵引至ADS进行清洗，清洗后再将流量回源，从而达到DDos防护效果，主要对目的IP地址或IP段作为防护目标，防护对象将会对畸形报文、TCP、DNS、UDP及HTTP等攻击类型进行检测，具体参数可根据实际情况进行调整，避免影响正常业务。

2.2、第三方DDos防护能力

为补齐超过自身带宽不足的抗D能力，选择第三方DDos防护能力，目前市面上主要购买云厂商或电信运营商的DDos防护能力，云厂商如阿里云、腾讯云等，电信运营商如云堤产品等。

2.2.1、云厂商DDos防护

云厂商DDos防护主要提供基础防护、防护包及高防IP，其中DDos基础防护与防护包主要是为业务部署在云上的用户（不适用自建IDC业务），提升DDos防护能力的付费服务，无需变更IP，购买后只需绑定防护IP即可；高防IP主要用于解决非云用户的业务遭受大流量 DDoS 攻击的防护服务。

基础版：默认为云厂商公网IP免费开启，阿里云提供不超过5Gbps的DDoS基础防护能力，腾讯云为普通用户提供2Gbps的DDoS基础防护能力；

防护包：是针对使用云厂商ECS、SLB、EIP、WAF等产品直接提升的DDos防御能力产品；

高防IP：是云厂商提供的DDos攻击代理防护服务，DDoS高防将业务的DNS域名解析或业务IP指向DDoS高防实例IP或CNAME地址进行引流。

2.2.2、电信运营商DDos防护

云堤高防是基于中国电信强大的带宽资源和灵活的流量调度能力，主要采用分布式部署、bgp牵引、近源清洗等技术进行防护；从运营商链路即可对攻击流量进行清洗，提供高防IP，采用反向代理的方式提供网络层与应用层清洗服务。