0x01 DDOS分类

在讲防御之前简单介绍一下各类攻击，因为DDOS是一类攻击而并不是一种攻击，并且DDOS的防御是一个可以做到相对自动化但做不到绝对自动化的过程，很多演进的攻击方式自动化不一定能识别，还是需要进一步的专家肉眼判断。

网络层攻击

Syn-flood

利用TCP建立连接时3次握手的“漏洞”，通过原始套接字发送源地址虚假的SYN报文，使目标主机永远无法完成3次握手，占满了系统的协议栈队列，资源得不到释放，进而拒绝服务，是互联网中最主要的DDOS攻击形式之一。网上有一些加固的方法，例如调整内核参数的方法，可以减少等待及重试，加速资源释放，在小流量syn-flood的情况下可以缓解，但流量稍大时完全不抵用。防御syn-flood的常见方法有：syn proxy、syn cookies、首包(第一次请求的syn包)丢弃等。

本文对比了有状态和无状态防火墙：有状态防火墙通过跟踪连接状态提供更安全、高效的网络保护，适合复杂网络环境；无状态防火墙处理简单、资源占用低，适合小型网络。现代防火墙常结合两者优点，以适应不同网络需求。选择防火墙应基于组织的安全策略和网络架构。

可编程网元的过去

在过去的很长一段时间里，网元之间通过OSPF（开放式最短路径优先协议）、BGP（边界网关协议）等运行在设备控制面的

在科技的发展下，时钟设备也在不断进步，传统的机械钟在一些场所已经被网络电子时钟所代替，网络电子时钟系统是以卫星时间信号为基准授时精度高，网络电子时钟系统以其性能稳定、时间精准、统一时间、无机械传动等特点，也已成为各领域经常使用的时钟产品。

网络电子时钟是以NTP网络时间信号进行授时的，NTP网络时间协议可以使各计算机和网络电子时钟时间同步，保证时间统一性。网络电子时钟是用数码管形式显示的，网络电子时钟配置专用的时钟芯片，芯片内部采用石英振荡器，芯片精度不大于10ms/年，芯片可以用于显示、设置、软件编程，芯片可以用软件实现数字时钟，网络电子时钟可以显示年、月、日、时、分、秒、星期、温湿度等，可以满足不同用户的需求。

ACK Flood攻击原理

ACK Flood攻击是在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位的，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作系统协议栈会回应RST包告诉对方此端口不存在。

SYN洪水攻击原理

SYN Flood 或称 SYN洪水、SYN洪泛是一种阻断服务攻击，起因于攻击者传送一系列的SYN请求到目标系统。 SYN洪水攻击是DDOS攻击中最常见的攻击类型之一，是一种利用TCP 协议缺陷，攻击者向被攻击的主机发送大量伪造的TCP连接请求，从而使得被攻击方主机服务器的资源耗尽(CPU 满负荷或内存不足) 的攻击方式。

SYN Flood攻击原理

利用TCP协议三次握手的缺陷，首先，攻击者被攻击者发送伪造源地址的TCP[SYN]报文(第一次握手)，其次，被攻击者向源地址主机返回TCP[SYN,ACK]报文（第二次握手），最后，等待源地址主机返回TCP[ACK]报文（第三次握手）并将此半连接存入半连接队列中。

鉴于源地址是伪造的，因此被攻击者将无法收到源地址主机发送的TCP[ACK]报文（第三次握手），然而，TCP协议的重传机制又要求被攻击者重新发送TCP[SYN,ACK]报文，一旦达到TCP协议规定的重传次数，被攻击者将向源地址主机发送TCP[RST]报文用于从半连接队列中释放该半连接。

SYN Flood攻击

它呢是DDOS中最古老的一种攻击手法，也是比较让人头疼的攻击手法。它是依赖TCP/IP协议，保证高可靠性的传输层协议。

什么是高可靠性，就数据没丢失，数据不重复，数据不会出现错误等等。也就是说我们在和一个网站进行交互的时候，你访问它服务器的同时，服务器也要向你回传数据。

所以TCP协议需要进行三次握手，比如我是客户端，我要去访问一个网站，就相当于是访问这个网站的服务器，首先我会发起访问请求建立连接，然后服务端收到我的请求后就会跟我回复一个ACK报文，这个报文里头有一个随机的序列号。所以我必须还得回复一个准确的序列号，当然这个是由系统处理，当回复确认无误后我才算于服务端正式建立连接，现在我就可以去访问网站下的页面了。