安全设备之常见的攻击类型及防护原理

DDoS攻击介绍

拒绝服务（Denial of Service，简称DoS）攻击也称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动DoS攻击时，称为分布式拒绝服务攻击（Distributed Denial ofService Attack，简称DDoS）。

常见的攻击类型

防护原理

未部署抗DDoS系统时，源站直接对互联网暴露，一旦发生DDoS攻击，很容易导致源站瘫痪，如下图：

业务把域名解析指向抗DDoS系统的高防IP或者把业务IP替换成抗DDoS系统的高防IP，抗DDoS系统将所有的公网流量都引流至抗DDoS系统的高防IP，进而隐藏源站，避免源站（用户业务）遭受大流量DDoS攻击，如下图：

通过抗DDoS系统的高防IP代理源站IP对外提供服务，将所有的公网流量都引流至抗DDoS系统的高防IP，进而隐藏源站，避免源站（用户业务）遭受大流量DDoS攻击。

● 源站IP是源站服务器所使用的公网IP，也是被防护的IP地址，应避免对外暴露（泄露）。

● 高防IP与源站IP相对应，用于代替源站IP来面向客户提供服务，使源站IP不直接暴露出去。

● 回源IP是高防机房代替客户去和源站服务器通信的若干个IP地址（高防机房会将客户的IP随机转换成某个回源IP，并由这个回源IP代替客户IP去和源站服务器通信）。

网络拓扑示意

抗DDoS系统采用分层防御、分布式清洗，通过精细化多层过滤防御技术，可以有效检测和过滤攻击流量。

应用场景

通过对互联网访问公网IP的业务流量进行实时监测，及时发现异常DDoS攻击流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉攻击流量。

编辑：黄飞