DDoS攻击不用怕，新睿云高防IP与高防云服务器帮您解决一切

什么是DDoS

分布式拒绝服务攻击(简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。DDoS 攻击通过降低网站和应用程序的性能和可用性来破坏正常的业务运营，有时甚至完全脱机。

DDOS攻击分类

网络层攻击

SYNFlood

攻击简介

攻击者利用工具或者操纵僵尸主机，向目标服务器发起大量的TCP SYN报文，当服务器回应SYN-ACK报文时，攻击者不再继续回应ACK报文，导致服务器上存在大量的TCP半连接，服务器的资源会被这些半连接耗尽，无法响应正常的请求。

ACK Flood

攻击简介

攻击者利用工具或者操纵僵尸主机，向目标服务器发送大量的ACK报文，服务器忙于回复这些凭空出现的第三次握手报文，导致资源耗尽，无法响应正常的请求。

ICMP Flood

攻击简介

攻击者通过对目标发送大量超大数据包（例如：超过65535字节的数据包），给服务器带来较大的负载，影响服务器的正常服务，进而令目标主机瘫痪

UDP Flood

攻击简介

由于UDP协议都是无连接的协议，不提供可靠性和完整性校验，因此数据传输速率很快，成为攻击者理想的利用对象。UDPFlood的常见情况是攻击者向目标地址发送大量伪造源IP地址的UDP报文，消耗网络带宽资源，造成链路拥堵，进而网站服务器拒绝服务。

反射型DDoS攻击

攻击简介

反射攻击是基于UDP 报文的一种DDoS攻击形式。攻击者不是直接发起对攻击目标的攻击，而是利用互联网的某些服务开放的服务器（如NTP服务器），通过伪造被攻击者的地址、向该服务器发送基于UDP服务的特殊请求报文，数倍于请求报文的回复的数据被发送到被攻击IP，从而对后者间接形成DDoS攻击。

应用层防护

1.CC、HTTP Flood 攻击

（1）攻击简介

CC攻击是指攻击者借助代理服务器模拟真实用户，不断向目标网站发送大量请求，如频繁请求某个动态URL或某个不存在的URL，致使源站大量回源，耗尽网站服务器性能，进而致使目标网站拒绝服务。

HTTP Flood是指攻击者借助代理服务器模拟真实用户，不断向目标网站发送大量请求，如频繁请求某个静态URL，耗尽网站服务器性能，进而致使目标网站拒绝服务。

（2）防护原理

威胁情报库：DMS通过大数据分析平台，实时汇总分析攻击事件的日志，提取攻击特征（如IP、URL、User-Agent、Refer等），并对这些特征进行威胁等级评估，形成威胁情报库，对于高风险性的IP、UA、URL、Refer等会自动下发到全网防护节点中，一旦后续请求命中威胁情报库中的高风险性特征，则直接拦截，最大限度地提高防御效率，避免CC攻击对网站的影响。

个性化策略配置：如请求没有命中威胁情报库中的高风险特征，则通过个性化策略配置（如IP黑白名单、IP访问频率控制）防御攻击；

日志自学习：DMS实时动态学习客户网站的访问特征（如客户每个资源的访问量、行为特征等），建立网站的正常访问基线。

人机校验：当请求与网站正常访问基线不一致时，启动人机校验（如JS验证、META验证等）方式进行验证，避免误杀正常访问，校验通过则放行该请求，如不通过，则拦截并实时将该请求的攻击特征同步至威胁情报库。DMS提供JS验证、META验证、302跳转、验证码等多种人机校验方式，有效拦截攻击的同时，保障正常用户的访问体验。

a.JS验证

通过返回200+JS（内容为原先访问的URL+验证key）验证客户端是否合法，正常用户的客户端能够自动解析JS代码，带上验证key重新请求URL，继续正常访问。而恶意访问无法解析JS，则DMS拦截该请求。

b.META验证跳转

通过在meta标签加入验证参数验证客户端是否合法，正常用户的客户端能够自动解析节点返回的meta标签，并携带上验证参数重新发起请求，继续正常访问。而恶意访问无法解析，则DMS拦截该请求。

2.慢连接攻击

(1)攻击简介

攻击者利用HTTP协议的正常交互机制，先与目标服务器建立一个连接，然后长时间保持该连接不释放。如果攻击者持续与目标服务器建立大量这样的连接，就会使目标服务器上的可用资源耗尽，无法提供正常服务。HTTP慢速攻击主要包括Slow Headers攻击和Slow POST攻击。

Slow Headers攻击：攻击者使用GET或POST请求方法与目标服务器建立连接，然后持续发送不包含结束符的HTTP头部报文，目标服务器会一直等待请求头部中的结束符而导致连接始终被占用。当攻击者大量发起这类请求，将会导致服务器资源耗尽，无法正常提供服务。

Slow POST攻击：攻击者向目标服务器发送POST请求报文提交数据，数据的长度设置为一个很大的数值，但是在随后的数据发送中，每次只发送很小的报文，导致目标服务器一直等待攻击者发送数据。当攻击者大量发起这类请求，将会导致服务器资源耗尽，无法正常提供服务。

(2)防护原理

对Slow Headers攻击，DMS通过检测请求头超时时间、最大包数量阈值（即请求报文的报文头中一段时间内没有结束符“/r/n”）进行防护。

对Slow Post攻击，DMS通过检测请求小包数量阈值（即POST请求报文的长度设置的很大，但是实际报文的数据部分长度都很小）进行防护。

3.POST Flood

(1)攻击简介

攻击者利用攻击工具或者操纵僵尸主机，向目标服务器发起大量的HTTP POST报文，消耗服务器资源，使服务器无法响应正常请求。

(2)防护原理

DMS通过访问控制策略（如IP黑白名单、IP访问速率等）、Cookie校验等方式检测并拦截POST Flood攻击。

容易受到攻击的主要群体

1.游戏行业

游戏行业作为高产值、高利润、竞争激烈的行业，一直是黑客发起DDoS攻击的高发地，同时也是动辄数百G大流量攻击的多发行业。对于游戏行业来说，保证业务的可用性和连续性是留住玩家的前提，而DDoS攻击恰恰是对可用性和连续性的最大威胁。

2.金融行业

金融行业（证券、基金、股票等）向来是黑客觊觎的“钱袋子”，且同行竞争也非常激烈。该类业务系统对业务可用性要求非常高，而一旦发生业务中断，如系统无法正常登录——哪怕是短暂的，也可能会引发投资人恐慌，造成金融界最恐惧的挤兑事件。

3.直播行业

随着直播行业的大火，鉴于黑客向来是哪里热闹往哪凑，因此直播行业成为黑客发动DDoS攻击的新目标。直播行业竞争激烈，其对业务的连续性要求非常高，如果发生DDoS攻击导致业务中断，将会导致大量用户流失，损失巨大。

如何选择高防IP和高防主机

若用户以在新睿云或其他平台部署完成业务，暂无完成迁移，而需要DDoS服务的情况下，建议用户选择DDOS高防IP产品，DDOS高防IP可应用与任何网站和应用之上，无论用户设备环境是什么，服务器部署在哪里。

若用户业务还未完成搭建，或可以进行业务迁移，并且用户业务客户在长三角地带，在华东区域，那么建议用户购买高防云服务器产品，高防云服务器产品交个上相较于高防IP具有很大优势，并且高防云服务器产品计算资源和防护资源只合并为一个账单，在同一平台进行运维管理，能够降低用户维护成本和使用成本。

高防云服务器与高防IP的使用差别

DDOS高防IP购买之后，用户需要进行网站业务或非网站业务的配置，将自身业务通过CNAME的方式解析到高防IP的记录指上，才能生效。而高防云服务器购买成功之后，用户所购买的高防IP即带有防护能力，无需进行额外的解析操作即可具备防护能力。

想了解更多DDoS方面的知识可以阅读《ddos预防？这一文道尽防御办法》

平台优势

安全性

1.中立性：聚焦于基础服务，“上不碰应用、下不碰数据”做中立的服务商。

2.安全合规：新睿云已经通过ISO27001认证、ITSS云服务能力等级评估3级、取得IDC与CDN运营牌照。

3.机房标准：新睿云的数据中心标准已大多以达到国家T3+级或电信5星级安全标准，可有效应对断电等突发情况，保证客户业务不中断运行。

4.安全类产品：提供高防服务器、DDOS高防IP等安全产品，采用虚拟私有云，提供100%网络安全隔离

性价比

1.同类产品最高的性价比

2.按需付费，资源弹性伸缩

3.网络下载不限速

服务优势

1.以客户为中心

2.一对一客户经理全程服务跟踪

3.VIP大客户热线通道，快速处理问题

4.7*24小时售后服务热线（运维+客服）

5.全人工售后服务处理，多渠道售后服务保障