ddos 攻擊原理是什么

DDoS攻擊的工作原理是通過控制發送大量的惡意流量，讓目標網站癱瘓或服務器宕機，從而無法正常響應合法流量的訪問請求。具體過程：

• 當你要訪問某一主機或網站時，首先，將數據包發送到目標主機，并發出連接請求。這將啟動TCP連接（兩個主機用于通信的進程）。目標主機一旦接收到一個請求的數據包（SYNchronize數據包），就會相應地返回一個響應的數據包（SYN-ACKnowledge數據包）。

防御DDOS攻擊：

• 采用高性能的網絡設備

  首先要保證網絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。
  

• 盡量避免NAT的使用

  無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用，因為采用此技術會較大降低網絡通信能力，其實原因很簡單，因為NAT需要對地址來回轉換，轉換過程中需要對網絡包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。

• 充足的網絡帶寬保證

  網絡帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主干上了。

• 升級主機服務器硬件

  在有網絡帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務器的配置至少應該為：P42.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存。

• 把網站做成靜態頁面或者偽靜態

  大量事實證明，把網站盡可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩。

• 安裝專業抗DDOS防火墻

• HTTP 請求的攔截

  如果惡意請求有特征，對付起來很簡單：直接攔截它就行了。

• 備份網站

  備份網站不一定是全功能的，如果能做到全靜態瀏覽，就能滿足需求。最低限度應該可以顯示公告，告訴用戶，網站出了問題，正在全力搶修。

• 部署CDN

  CDN 指的是網站的靜態內容分發到多個服務器，用戶就近訪問，提高速度。因此，CDN 也是帶寬擴容的一種方法，可以用來防御 DDOS 攻擊。

回答所涉及的環境：聯想天逸510S、Windows 10。