你有无想过哪一种类型的DDoS攻击最难禁止?有许多区分类型的散布式谢绝服务攻击，但并不是所有这些攻击都难以禁止，因此我们将DDoS保护困难的前三名放在一起。一般来讲，要有效防御利用程序的合法流量遭受DDoS攻击总是很难，但是有一些攻击特别难以禁止。

　　一、直接僵尸网络攻击

　　僵尸网络是受感染的PC和/或服务器的数字(范围从10到100,000+)，可以由攻击者从所谓的C&C(命令和控制)服务器控制。根据僵尸网络的类型，攻击者可使用它来履行各种区分的攻击。例如，它可用于第7层HTTP攻击，攻击者会使每一个受感染的PC /服务器向受害者的网站发送HTTP GET或POST要求，直到Web服务器的资源耗尽为止。

　　通常，僵尸网络在攻击期间建立完全的TCP连接，这使得它们很难被禁止。它基本上是第7层DDoS，可以修改成尽量多地对任何利用程序造成伤害，不单单是网站，还有游戏服务器和任何其他服务。即便机器人没法模仿目标利用程序的协议，他们依然可以建立这么多TCP连接，使受害者的TCP / IP堆栈没法接受更多连接，因此没法响应。

　　通过分析来自机器人的连接并弄清楚它们发送的有效载荷如何与合法连接区分，可以减轻直接僵尸网络攻击。连接限制也能够提供帮助，但这一切都取决于僵尸网络的行动方式，每次都可能区分。通常是辨认和停止直接僵尸网络DDoS的手动进程。

　　二、第7层 HTTP DDoS

　　基于HTTP的第7层攻击(例如HTTP GET或HTTP POST)是一种DDoS攻击，它通过向Web服务器发送大量HTTP要求来模仿网站访问者以耗尽其资源。虽然其中一些攻击具有可用于辨认和禁止它们的模式，但是没法轻易辨认的HTTP洪水。它们其实不罕见，对网站管理员来讲非常刻薄，由于它们不断发展以绕过常见的检测方法。

　　针对第7层HTTP攻击的减缓方法包括HTTP要求限制，HTTP连接限制，禁止歹意用户代理字符串和使用Web利用程序防火墙(WAF)来辨认已知模式或源IP的歹意要求。

　　三、TCP SYN / ACK反射攻击(DrDoS)

　　TCP反射DDoS攻击是指攻击者向任何类型的TCP服务发送欺骗数据包，使其看起来源自受害者的IP地址，这使得TCP服务向受害者的IP地址发送SYN / ACK数据包。例如，攻击者想要攻击的IP是1.2.3.4。为了定位它，攻击者将数据包发送到端口80上的任何随机Web服务器，其中标头是捏造的，由于Web服务器认为该数据包来自1.2.3.4，实际上它没有。这将使Web服务器将SYN / ACK发送回1.2.3.4以确认它收到了数据包。

　　TCP SYN / ACK反射DDoS很难禁止，由于它需要一个支持连接跟踪的状态防火墙。连接跟踪通常需要防火墙装备上的一些资源，具体取决于它需要跟踪的合法连接数。它会检查一个SYN数据包是否是实际上已发送到IP，它首先接收到SYN / ACK数据包。

　　另外一种减缓方法是禁止攻击期间使用的源端口。在我们的示例案例中，所有SYN / ACK数据包都有源端口80，合法数据包通常没有(除非在受害者的计算机上运行代理)，因此通过禁止所有数据来禁止这类攻击是安全的。源端口为80的TCP数据包。

　　攻击者模仿他所针对的利用程序用户的实际协议和行动越好，防护DDoS攻击就越难。有时很难发现合法和不良流量之间的差异，这使得安全专家很难制定过滤这些DDoS攻击的方法，特别是在不影响任何合法流量的情况下。桂哥网络香港高防服务器，结合的流量监测平台，可以最精准地辨认全类型的DDoS攻击，并自动触发流量清洗过滤，并将正常流量返注回源站。桂哥高防服务器可有效防护高达600Gbps以上范围的大型DDoS攻击，并提供不要钱压力测试，和防御无效退款许诺。

TikTok千粉号购买平台：https://tiktokusername.com/