怎样预防ddos攻击(如何防御DDoS攻击) DDoS一直以来都是难题。防御难

DDoS一直以来都是难题。防御难度大，防御系统建设成本投入大。（内容较长，与君有益）
被DDoS攻击经常会出现以下几种情况：
l 被攻击的主机上有大量等待的TCP连接。
l 网络中充斥着大量的无用的数据包，源地址为假。
l 制造高流量无用数据，造成网络拥塞，使被攻击的主机无法正常通信。
l 利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务请求，使受害主机无法及时处理所有正常请求。
l 严重时会造成系统死机。
在知晓DDoS的防御手段之前，我们需要搞清楚几个问题：
1、什么是DDoS？
2、DDoS的攻击原理是什么？
3、常见的DDoS攻击类型有哪些？
只有先搞清楚这3个问题，谈防御才是有效的。
DDoS攻击又称分布式拒绝服务，是利用大量合理的请求造成资源过载，从而导致服务不可用。就比如一个餐馆总共有100个座位，突然有一天某个商家恶意竞争，雇佣了200个人来到这个餐馆坐着不吃不喝，门口还排着长长的队，导致餐馆无法正常营业，这就是DDos 。DDoS的攻击目标多元化，从web到DNS ，从三层网络到七层应用，从协议栈到应用App ，层出不穷的新产品也给了黑客更多的机会和突破点。
DDoS的攻击来源
1、高性能服务器配合发包软件
2、可联网的设备(如打印机、摄像头、电视等等)
3、移动设备(数量多，增长速度快，其高性能利于组建僵尸网络)
4、个人PC(存在漏洞的PC或一些黑客迷自愿成为DDOS一员)
5、黑客控制的僵尸网络(僵尸网络又分为IRC型、HTTP型、P2P型)
DDoS的攻击原理
DDoS攻击它的原理说白了就是群殴，用好多的机器对目标机器一起发动DoS攻击，但这不是很多黑客一起参与的，这种攻击只是由一名黑客来操作的。这名黑客不是拥有很多机器，他是通过他的机器在网络上占领很多的”肉鸡” ，并且控制这些”肉鸡”来发动DDoS攻击，。
举个例子，你的机器每秒能发送10个攻击数据包，而被攻击的机器每秒能够接受100的数据包，这样你的攻击肯定不会起作用，而你再用10台或更多的机器来对被攻击目标的机器进行攻击的话，那结果就可想而知了。
网络层攻击：比较典型的攻击类型是UDP反射攻击，例如：NTP Flood攻击，这类攻击主要利用大流量拥塞被攻击者的网络带宽，导致被攻击者的业务无法正常响应客户访问。
传输层攻击：比较典型的攻击类型包括SYN Flood攻击、连接数攻击等，这类攻击通过占用服务器的连接池资源从而达到拒绝服务的目的。
会话层攻击：比较典型的攻击类型是SSL连接攻击，这类攻击占用服务器的SSL会话资源从而达到拒绝服务的目的。