有没有想过哪种类型的DDoS攻击最难禁止?有许多不同类型的散布式拒绝服务攻击，但并非所有这些攻击都难以禁止，因此我们将DDoS掩护难题的前三名放在一起。一般来说，要有效防御利用程序的合法流量遭遇DDoS攻击总是很难，但是有一些攻击特别难以禁止。

一、直接僵尸网络攻击

僵尸网络是受沾染的PC和/或服务器的数字(领域从10到100,000+)，可以由攻击者从所谓的C&C(命令和把持)服务器把持。根据僵尸网络的类型，攻击者可以应用它来履行各种不同的攻击。例如，它可用于第7层HTTP攻击，攻击者会使每个受沾染的PC /服务器向受害者的网站发送HTTP GET或POST恳求，直到Web服务器的资源耗尽为止。

通常，僵尸网络在攻击期间建立完整的TCP连接，这使得它们很难被禁止。它基础上是第7层DDoS，可以修正为尽可能多地对任何利用程序造成伤害，不仅仅是网站，还有游戏服务器和任何其他服务。即使机器人无法模仿目标利用程序的协议，他们仍然可以建立这么多TCP连接，使受害者的TCP / IP堆栈无法吸收更多连接，因此无法响应。

通过火析来自机器人的连接并弄明确它们发送的有效载荷如何与合法连接不同，可以减轻直接僵尸网络攻击。连接限制也可以供给赞助，但这一切都取决于僵尸网络的行动方法，每次都可能不同。通常是辨认和结束直接僵尸网络DDoS的手动过程。

二、第7层 HTTP DDoS

基于HTTP的第7层攻击(例如HTTP GET或HTTP POST)是一种DDoS攻击，它通过向Web服务器发送大批HTTP恳求来模仿网站访问者以耗尽其资源。虽然其中一些攻击具有可用于辨认和禁止它们的模式，但是无法轻易辨认的HTTP洪水。它们并不罕见，对网站管理员来说非常苛刻，因为它们不断发展以绕过常见的检测方法。

针对第7层HTTP攻击的缓解方法包含HTTP恳求限制，HTTP连接限制，禁止恶意用户代理字符串以及应用Web利用程序防火墙(WAF)来辨认已知模式或源IP的恶意恳求。

三、TCP SYN / ACK反射攻击(DrDoS)

TCP反射DDoS攻击是指攻击者向任何类型的TCP服务发送诱骗数据包，使其看起起源自受害者的IP地址，这使得TCP服务向受害者的IP地址发送SYN / ACK数据包。例如，攻击者想要攻击的IP是1.2.3.4。为了定位它，攻击者将数据包发送到端口80上的任何随机Web服务器，其中标头是捏造的，因为Web服务器认为该数据包来自1.2.3.4，实际上它没有。这将使Web服务器将SYN / ACK发送回1.2.3.4以确认它收到了数据包。

TCP SYN / ACK反射DDoS很难禁止，因为它需要一个支撑连接跟踪的状态防火墙。连接跟踪通常需要防火墙设备上的一些资源，具体取决于它一定要跟踪的合法连接数。它会检查一个SYN数据包是不是实际上已经发送到IP，它首先吸收到SYN / ACK数据包。

另一种缓解方法是禁止攻击期间应用的源端口。在我们的示例案例中，所有SYN / ACK数据包都有源端口80，合法数据包通常没有(除非在受害者的盘算机上运行代理)，因此通过禁止所有数据来禁止这种攻击是安全的。源端口为80的TCP数据包。

攻击者模仿他所针对的利用程序用户的实际协议和行动越好，防护DDoS攻击就越难。有时很难创造合法和不良流量之间的差别，这使得安全专家很难制定过滤这些DDoS攻击的方法，尤其是在不影响任何合法流量的情况下。

桂哥网络美国高防服务器，联合最先进的流量监测平台，可以最精准地辨认全类型的DDoS攻击，并主动触发流量清洗过滤，并将正常流量返注回源站。桂哥高防服务器可有效防护高达600Gbps以上规模的大型DDoS攻击，并供给不要钱压力测试，以及防御无效退款承诺。

TikTok千粉号购买平台：https://tiktokusername.com/