第一种防御方式
获得了反射服务器的地址列表后,迅速进行排列,让排名靠前的一半也DDOS攻击靠后的一半,原因是按照数量排列靠前的说明发包多,也间接说明这个服务器带宽大,让他来攻击后面带宽小的比较容易起作用,这样消耗前一半的带宽,也阻塞后一半的入口带宽,如果效果好,理论上能减少攻击流量的一半以上。
但是这种方法对于NTP和ssdp的攻击不适用,因为NTP服务器和SSDP所在的网络大部分是在家庭网络(比如家用路由器),家庭网络上行带宽小下行带宽大,所以无法达到想要的效果。
第二种防御方法
是一种反射DDOS攻击的特殊形式,攻击自己的DDOS,因为防御者没有业务,所以把攻击流量都引到自己身上也不会有什么关系,如果防御者的带宽跟攻击者一样,那么理论上能是攻击流量减少50%。如果防御者比较多,减少的会更多。这种方式最好实现,不需要伪造地址,家庭宽带也可以。
第三种防御方式
跟第二种很像,只不过发出的报文的源地址是随机的,也就是说在攻击全球的IP地址,不过这些流量被分散开了,对谁都不会有什么影响,对于NTP反射的流量大概能减小70-80%,也就是说攻击流量能到原来的五分之一,但是在实验时用的地址比较少,也不敢说效果能多好。
传统的设备对DDOS攻击是毫无办法的,目前,广泛使用的方法是通过DNS切换域名对应IP来躲避攻击影响。但是也存在一些不足,就是权威DNS解析记录的TTL会被靠近用户端的DNS服务器篡改,这导致不管把ttl改到多低,等到了用户那还是要有十分钟左右,在这段时间企业的业务会受到很大影响。
当然,还可以从运营商或云服务商那购买高防抗DDOS服务,这种方法很有效。
西部数码网站提供ddos高防服务,超高带宽,立体防护,清晰直观的流量实时监控系统,当攻击发生时,清洗中心秒级响应,提供实时具备应用层抗DDoS攻击的能力,ddos服务 https://www.west.cn/cloudhost/ddos.asp
