1、DDOS几种常见***方式的原理及解决办法
答:我知道的是
    1)SYN***
       ***者伪造IP发送syn数据包到服务器上尝试建立连接,充满整个半连接队列,迫使系统丢弃那些正常的访问
解决办法:暂时无,只能把半连接队列调大,对连半接数进行监控,若是达到80%就报警,
     2)UDP***
       由于UDP是无连接的,***者发送大量伪造IP的UDP包,服务器正常处理后,返回UDP包给伪造的IP,这样***者用一倍的流量,却占用服务器两倍的流量,若是用肉机的话,十台机器,就可以花费服务器二十倍的流量,超过服务器的服务能力和上限
解决办法:把系统做成分布式,增加带宽,增加硬件资源
3) 控制肉鸡发出数据包
       ***者控制成百上千的肉鸡,向服务器发出数据包,生生把服务器的带宽给占满
解决办法:把系统做成分布式,增加带宽
   4)频繁访问web服务器上某个耗时耗cpu最大耗内存的页面
    ***者选取web服务器上某个耗cpu最大耗内存的页面,或者利用编程语言漏洞或者设计缺陷(hash算法失效),让服务器瘫痪
解决办法:尽量把页面静态化,或者做CDN加速
2、生产环境遇到过的DDOS***及应对措施
我在做智能DNS开发时,做过伪造IP发送DNS测试,单台PC的DNS服务器能够支持3万个请求,当时公司遇到过DDOS,处理的办法是用云计算,在各地的服务器临时启动虚拟机把DNS部署上去,基本上10分钟能够起个5台虚拟机。由于DNS的NS记录是可以支持多个DNS服务器轮询,因此虽然旧服务器不能工作了但是新服务器能够正常工作
3、为应对DDOS***而做出的架构设计
如下图所示,我公司的两台DNS受到DDOS***了,我们发现后,立刻在亚马逊云(举例)上生成5台DNS服务器,然后修改NS记录把这5台机器加上,这样正常的请求可以访问到新的DNS服务器上,用云主机的好处是平时不用准备硬件资源和网络资源,减少投入,应急时,可以快速部署,而且云主机是按照cpu,内存,流量收费。
这种方式是及时利用大公司的资源来增强自己的抗***能力,花最少的资源解决大问题

DDOSvsd.jpg