正在阅读：科普：DDoS攻击的3个发展阶段和应对防护科普：DDoS攻击的3个发展阶段和应对防护

　　应对和防护

　　对于DDoS攻击，普遍采用的防护手段包括：

　　1、源验证／反向探测，对源进行探测和人机识别，段包括cookie、识别码等；
　　2、限源，即对源IP或协议进行限制，blacklist是一个常见手段；
　　3、特征丢弃，依据数据包的特征或访问行为进行丢弃，如基于Payload特征、发包行为特征、QPS特征等；
　　4、限速，对流量／访问的速率进行限流。

　　特别对于大流量DDoS攻击的防护，与电信运营商配合也是必不可少的。其中包括与运营商配合实施就源清洗，以及在运营商侧路由器上对特定协议或特定来源的IP进行限制都是降低防护开销的办法。

典型的在线部署方案

　　当然，针对于网络层DDoS（Layer-4 DDoS）和应用层DDoS（Layer-7 DDoS）攻击不同的攻击策略，在具体防护时，采取的手段也不尽相同。这里不再赘述。

　　此外，对于网站来说，通过CDN进行DDoS防护也是一个不错的手段，CDN多节点彼此互备，以及对协议的限制，具有与生俱来的抗DDoS能力和高可用性。同时，CDN往往与云WAF系统配合工作，两者协同成为防护HTTP Flood的利器。

　　上面的方法是否就是防御DDoS攻击的全部了呢？当然不是。

　　随着大数据的兴起，依托用户访问数据、包括QPS，IP－cookie，IP－Request分布、页面点击等行为数据结合信誉机制建立起完整的可视化防御系统。结合威胁情报，建立起运营商／ISP／DC／区域信息库、IP地址黑名单、代理库、黑暗网络库等丰富的情报库，线上、线下进行关联分析，一方面将防御时间点提前，甚至在攻击发起之前就可以预知；另一方面溯源追踪到攻击者，有效打击攻击者的嚣张气焰。

推荐阅读

　　「视频」用轻轻松松的方式把DDoS看懂 //security.pconline.com.cn/631/6317176.html
　　揭秘DDoS黑市：50块钱就能击瘫一家网站！//security.pconline.com.cn/594/5944840.html