防御DDoS攻击现在是越来越重要了，DDoS攻击可使任何网站脱机。即使拥有巨大的资源，在一次大规模攻击中也很难保持在线状态。更糟糕的是，DDoS攻击的成本远低于其防御成本。

技术的发展为人们带来了诸多便利，无论是个人社交行为，还是商业活动都离不开网络。但是网络发展带来机遇的同时，也带来了威胁。使用正确的工具可以避免DDoS攻击的影响，降低因遭受DDoS攻击而带来的巨大损失。接下来本文将说明什么是拒绝服务攻击，其工作方式以及如何做好防御DDoS措施，比别人更好地避免损失。

在了解分布式拒绝服务攻击之前，让我们看一下普通的老式拒绝服务攻击的工作方式。拒绝服务攻击是一种使带有恶意请求和连接的服务器不堪重负的尝试。服务器的主要目的是接受和处理网络连接，每个连接器都消耗大量的带宽、内存和处理能力，并且太多的连接器会耗尽所有可用资源，从而阻止新的连接。发生这种情况时，将无法访问网站。实际上，它们是从互联网上删除的。攻击者通过创建大量连接并发送大量数据以致服务器或网络接口无法应对，从而利用了此漏洞。

可能想知道为什么管理员不只是阻止恶意连接？那就是DDoS攻击的秘密所在，因为它们看起来都一样时。我们如何区分不良连接和良好连接？一种方法是源IP地址。如果IP地址威胁到服务器不堪重负，我们可以将其阻止并继续前进。

在DDoS攻击中，攻击者使用受感染机器的僵尸网络，该僵尸网络可以是其他服务器，家用笔记本电脑或网络连接的安全摄像机之类的东西。一个僵尸网络包含数千个节点，攻击者可以远程指示它们淹没目标。因为有很多机器人，所以很难将它们全部阻止。

随着网络技术的发展，DDoS攻击变得更加迂回，导致防御DDoS也变得更困难。攻击者努力构建可生成足够数据的僵尸网络，以击垮准备充分的托管服务提供商。他们不是直接攻击目标，而是寻找在线服务来放大他们的请求。当请求网页时，发送少量数据，而服务器则发送回更大的响应。某些DNS服务器，网络时间协议（NTP）服务器，数据库和缓存以及其他服务器也是如此。

例如，攻击者可以使用其僵尸网络将请求发送到打开的NTP服务器。最初的请求很小，只有几个字节。但是，响应可能会高达200倍。发送一兆字节的攻击者可以生成200兆字节的响应。如果他们欺骗了初始请求的IP地址，则数据将不会到达僵尸网络，而会到达目标。

那DDoS都有哪些攻击类型呢？对DDoS攻击进行分类的最流行方法是根据它们针对的网络连接部分。可以将连接视为协议和数据格式的层，流行的开放系统互连模型（OSI）将连接分为七个层，每一层取决于其下一层。例如，网络的HTTP取决于较低级别的TCP协议。

用于防御DDoS攻击的技术取决于它们针对的网络层。DDoS攻击通常归因于这些层之一。第7层攻击针对的是应用程序层，其中包括Web应用程序，Web服务器和我们之前介绍的NTP放大攻击。第6层攻击通常集中在SSL连接上。流行的SYN Flood攻击利用TCP协议中的一个弱点，将攻击目标对准了第4层，即传输层。

如何防御DDoS来保护自己免受攻击呢？虽然没有办法阻止攻击者发送有害的网络请求。但是，可以选择将服务器的防火墙和Web服务器都配置为丢弃来自行为不正确的IP地址的请求，这样做以后可以有效抵御许多DDoS的攻击。