DDOS真是无可防范吗？

DDOS是目前应用最为广泛的一种攻击手段，也是令人最为头疼的一种攻击方式。攻击者会在瞬间耗尽机器的资源，使得正常的业务无法运行，网络处于瘫痪状态。有人做了一个形象的比喻，如果酒店有300间客房，恶意的消费者通过电话预定300间，仅仅是预定，但是不执行，这就使正常的客人无法入住，严重影响酒店正常运营。针对该种攻击方式，业内推出了很多的相关产品，但是一直无法很好的解决，莫非DDOS真的无可防范吗?哪里有攻击哪里就会有防御，IDP给出了一个很好的解决方案。

一 DDOS的攻击原理

DOS攻击目前主要有两种方式：带宽攻击和连通性攻击。针对带宽攻击，就是发送大量的流量耗尽网络带宽资源，由于网络管理者可以主动根据具体的网络应用，具体的用户限制带宽，所以带宽攻击的影响已经越来越小。连通性攻击就是通过建立连接来冲击计算机，使得机器的资源被耗尽，达到攻击的目的。针对该种攻击，由于网络管理者不能手动干涉连接的建立，在攻击中就显得很被动，很难控制该攻击的发生，本文主要是针对连通性攻击给出的具体的防范案例。

在连通性攻击中应用最广泛的就是SYN Flood的攻击，SYN Flood的攻击者主要是利用TCP连接中的漏洞，达到其攻击目的。如下图所示：

本来，正常的TCP连接是需要三次握手协议完成的，攻击者先向目的主机发出一个SYN请求，由于目的主机不能判断对方是否恶意，所以会回复一个SYN/ACK，这样在目的主机就需要维护一个这样的半连接，等待对方回复ACK后，完成整个连接的建立。攻击者正是利用了这一点，他只发送大量的SYN报文，并不回复ACK，这样在目的主机中就维护了大量的半连接队列，由于主机的资源是有限的，攻击者通过持续不断的发送SYN报文，耗尽了目的主机的资源，使得正常的服务连接得不到建立，网络处于瘫痪状态。

二 IDP的解决方案

通过IDP的部署，可以保证TCP连接的正常建立，以此来防范那些恶意的半连接。回到开篇咱们举的那个例子，如果在酒店和客户之间有一个中间机构，该机构限定客户的响应时间，如果超过一定时间没有响应，则通知酒店取消预定，或者该机构作为酒店代理，只有收到款后才跟酒店建立业务关系，这样酒店就可以避免恶意的预定，正常运营。IDP设备就是在攻击者和服务器之间充当这样的一个中间机构。针对上述中间机构的两种处理方式，IDP设备也有两种工作模式：被动模式和主动模式。

1.被动模式

IDP的被动工作模式，是指其并不参与到客户机目标服务器之间连接的建立，但是其会维护一个连接建立的时间表，它监控整个连接建立过程，如果客户机超过一定时间没有回复ACK报文，那么IDP就向目标服务器发送一个RESET报文，取消该连接。如图所示：

IDP维护的时间表会低于目标服务器连接队列老化时间，以此来减少目标服务器的资源利用率。IDP可以根据每秒SYN报文的个数来决定是否应用此策略，因为如果每秒SYN报文个个数比较少根本对目的主机构不成威胁，也没必要采取措施。默认值为1000，既如果每秒SYN报文超过1000，则启动该功能。

2.主动模式

主动模式中IDP实际参与到了连接建立的过程中，其作为主机和目标服务器之间的一个中转机构，以此来确保目标服务器只会给处于连接建立状态的连接分配资源，阻止了非法攻击的资源消耗。对于主机和目标服务器来说，IDP设备是透明的，如下图所示：

IDP作为中转设备，其每收到一个SYN报文，其都会回复一个SYN/ACK，对主机来说就像是目标服务器回复的一样，如果规定时间内主机能够回复ACK，那么连接就能正常建立，IDP就允许连接转移到目标服务器上，对目标服务器来说，此时的IDP设备就是请求服务的主机。如果规定时间内IDP没有收到主机回复的ACK报文，那么IDP就会关闭该连接，目标服务器根本不会感知到这一过程，在无声无息中就将危险阻止于门外。

根据自己的网络状况，合理选择IDP的应用模式，相信DDOS不会再成为困扰你的问题。