DDoS攻击能防御吗？遇到DDoS攻击时的防御手段有哪些？

由鑫链财经小编分享（xinchaincaijing.com），能不能防御DDoS攻击？有时候DDoS攻击很难避免，因为检测是一项挑战。这是因为攻击的症状可能与日常的服务问题（例如网页加载缓慢）相差不大，而且DDoS技术的复杂程度和复杂性还在持续增长。那么，DDoS攻击是可以抵御的吗？发生DDoS攻击该怎么做？

一、能不能防御DDoS攻击？

若要防御DDoS攻击，关键在于区分攻击流量与正常流量。例如，如果因发布某款产品导致公司网站涌现大批热情客户，那么全面切断流量是错误之举。如果公司从已知恶意用户处收到的流量突然激增，或许需要努力防御攻击。

难点在于区分真实客户流量与攻击流量。在现代互联网中，DDoS流量以多种形式出现。流量设计可能有所不同，从非欺骗性单源攻击到复杂的自适应多方位攻击无所不有。

多方位DDoS攻击采用多种攻击手段，以期通过不同的方式击垮目标，很可能分散各个层级的防御工作注意力。同时针对协议堆栈的多个层级（如DNS放大（针对第3/4层）外加HTTP洪水（针对第7层））发动攻击就是多方位DDoS攻击的一个典型例子。为防护多方位DDoS攻击，需要部署多项不同策略，从而防御不同层级的攻击。

一般来说，攻击越复杂，越难以区分攻击流量与正常流量。攻击者的目标是尽可能混入正常流量，从而尽量减弱防御成效。如果防御措施不加选择地丢弃或限制流量，很可能将正常流量与攻击流量一起丢弃，同时攻击还可能进行修改调整以规避防御措施。为克服复杂的破坏手段，采用分层解决方案效果最理想。

二、防御DDoS攻击的方法有哪些？

1、黑洞路由

有一种解决方案几乎适用于所有网络管理员，就是创建黑洞路由，并将流量汇入该路由。在最简单的形式下，当在没有特定限制条件的情况下实施黑洞过滤时，合法网络流量和恶意网络流量都将路由到空路由或黑洞，并从网络中丢弃。

如果互联网设备遭受DDoS攻击，则该设备的互联网服务提供商（ISP）可能会将站点的所有流量发送到黑洞中作为防御。这不是理想的解决方案，因为它相当于让攻击者达成预期的目的，使网络无法访问。

2、速率限制

限制服务器在某个时间段接收的请求数量也是防护拒绝服务攻击的一种方法。虽然速率限制对于减缓Web爬虫窃取内容及防护暴力破解攻击很有帮助，但仅靠速率限制可能不足以有效应对复杂的DDoS攻击。然而，在高效DDoS防护策略中，速率限制不失为一种有效手段。

3、Web应用程序防火墙

Web应用程序防火墙（WAF）是一种有效工具，有助于防御第7层DDoS攻击。在互联网和源站之间部署WAF后，WAF可以充当反向代理，保护目标服务器，防止其遭受特定类型的恶意流量入侵。

通过基于一系列用于识别DDoS工具的规则过滤请求，可以阻止第7层攻击。有效的WAF的一个关键价值是能够快速实施自定义规则以应对攻击。

4、Anycast网络扩散

此类防御方法使用Anycast网络，将攻击流量分散至分布式服务器网络，直到网络吸收流量为止。这种方法就好比将湍急的河流引入若干独立的小水渠，将分布式攻击流量的影响分散到可以管理的程度，从而分散破坏力。

Anycast网络在防御DDoS攻击方面的可靠性取决于攻击规模及网络规模和效率。采用Anycast分布式网络是Cloudflare实施DDoS防护策略的一个重要组成部分。

总结

以上内容就是对面对DDoS攻击能不能进行防御？以及DDoS攻击发生时可以应用的手段有哪些？这两个问题的解答。DDoS攻击呈上升趋势，甚至一些全球最大的公司也不能幸免于被“DDoS攻击”。随着物联网(IoT)的不断普及，连接到网络的设备数量也将增加。每个物联网设备的安全性可能不一定跟得上，使其连接的网络容易受到攻击。因此，了解DDoS保护和防御至关重要。