DDoS攻击是强大的，作为一种分布、协作的大规模攻击方式，它往往把受害目标锁定在大型Internet站点，例如商业公司、搜索引擎或政府部门网站。由于DDoS攻击的恶劣性，难以被侦测和控制，来势迅猛又令人难以防备，具有极大破坏力因此也广泛受到网络安全业界的关注。

　　DDoS攻击原理

　　我们先来研究最常见的SYN攻击, SYN攻击属于DOS Denial of Servic攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以TCP协议采用三次握手建立一个连接。

　　第一次握手：建立连接时，客户端发送syn包到服务器，并进入SYN_SEND状态，等待服务器确认;　 第二次握手：服务器收到syn包，确认客户的SYN 同时自己也发送一个SYN包 即SYN+ACK包，此时服务器进入SYN_RECV状态;

　　第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

　　DDoS攻击种类

　　由于肉鸡的木马可以随时更新攻击的数据包和攻击方式，所以新的攻击更新非常快这里我们介绍几种常见的攻击的原理和方法

　　1.SYN变种攻击：发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节,这种攻击会造成一些防火墙处理错误导致锁死，消耗服务器CPU内存的同时还会堵塞带宽。

　　2.TCP混乱数据包攻击：发送伪造源IP的 TCP数据包，TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等，会造成一些防火墙处理错误导致锁死，消耗服务器CPU内存的同时还会堵塞带宽。

　　3.针对UDP协议攻击： 很多聊天室，视频音频软件，都是通过UDP数据包传输的，攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截。

　　4.针对WEB Server的多连接攻击：通过控制大量肉鸡同时连接访问网站，造成网站无法处理瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封。

　　5.针对WEB Server的变种攻击： 通过控制大量肉鸡同时连接访问网站，一点连接将不间断发送一些特殊的GET访问请求，造成网站数据库或者某些页面耗费大量的CPU，这样通过限制每个连接过来的IP连接数进行防护的方法就失效了，因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护。

　　6. 针对WEB Server的变种攻击： 通过控制大量肉鸡同时连接网站端口，但是不发送GET请求而是乱七八糟的字符，大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析，这种攻击，不发送GET请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，带宽不会超过10M ，所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪，这种攻击也非常难防护，因为如果只简单的拦截客户端发送过来没有GET字符的数据包，会错误的封锁很多正常的数据包造成正常用户无法访问。

　　7.针对游戏服务器的攻击：因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏，传奇游戏分为登陆注册端口7000，人物选择端口7100，以及游戏运行端口7200、7300、7400等，因为游戏自己的协议设计的非常复杂，所以攻击的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的攻击种类，这里介绍目前最普遍的假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。

　　DDoS防护

　　以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包，或者有限的分析数据连接建立的状态，防护SYN或者变种的SYNACK攻击效果不错,但是不能从根本上来分析TCP、UDP协议和针对应用层的协议。比如http、游戏协议、软件视频音频协议。现在的新的攻击越来越多的针对应用层协议漏洞攻击，或者分析协议然后发送和正常数据包一样的数据，或者干脆模拟正常的数据流，单从数据包层面，分析每个数据包里面有什么数据，根本无法很好的防护新型的攻击。

　　目前防护网络攻击效果比较好的有傲盾，黑洞，和金盾防火墙.傲盾是基于连接状态检测的防火墙,防护SYN攻击和SYN变种攻击、TCP混乱数据包攻击，效果都差不多。因为傲盾基于连接状态检测的防火墙，3-7类的涉及到网络软件自己的网络协议的效果会好一些。 根据傲盾实验室测试，针对UDP协议的攻击，基于连接状态检测的傲盾防火墙可以记录每个UDP包所属的连接，判断此连接是否登陆，是否通过验证，如果没有通过验证，无论发送的数据包是否合法都会被拦截掉。第4、5、6 种攻击，基于连接状态检测的傲盾防火墙可以彻底分析HTTP协议，分析每个数据包所归属的HTTP连接，此连接是否是正常请求，如果不是正常请求，就进行拦截。也可以在防火墙里设置HTTP验证标记，这样防火墙处理新的HTTP协议的时候会随机生成一个HTTP标记，肉鸡攻击的时候不会处理这个标记，正常的IE打开的时候，会处理这个标记，这样防火墙就可以区分是不是正常IE打开的网页。对于第7种攻击，基于连接状态检测的防火墙可以通过多种策略混合过滤来达到效果，比如可以判断这个登陆进来的连接有没有发送过非法的特殊攻击包，因为肉鸡模拟的攻击假人毕竟是程序控制的，动作很少或者一直重复甚至一直不动，这样就可以判断这个连接在游戏里的动作10秒内是不是一直重复，重复多少次，或者是不是一直不动，来达到封锁假人的效果。

　　小结

　　现在网络发展速度飞快，新攻击每个星期都会有，传统的防火墙只能通过设置传统的规则封IP,端口，封连接数或者按照连接的一些基本特征来封锁，很难对新的攻击做出第一时间的解决方案。防火墙和攻击是矛和盾的关系，防火墙必须做到像杀毒软件一样有迅速处理的机制才能真正把新攻击扼杀到摇篮之中。