另外一方面，前面提到，为了加年夜清洗设备的压力不命中缓存而需要随机化请求的域名，但需要注意的是，待解析域名必须在伪造中带有一定的规律性，比如说只伪造域名的某一部分而固化一部分，用来突破清洗设备设置的白名单。事理很简单，腾讯的办事器可以只解析腾讯的域名，完全随机的域名可能会直接被抛弃，需要固化。但如果完全固定，也很容易直接被抛弃，因此又需要伪造一部分。

其次，对DNS的抨击打击不该该只着重于UDP端口，按照DNS协议，TCP端口也是标准办事。在抨击打击时，可以UDP和TCP抨击打击同时进行。

HTTP Flood的着重点，在于突破前真个cache，通过HTTP头中的字段设置直接达到Web Server自己。别的，HTTP Flood对目标的选取也很是关头，一般的抨击打击者会选择搜索之类需要做年夜量数据查询的页面作为抨击打击目标，这是很是正确的，可以消耗办事器尽可能多的资源。但这种抨击打击容易被清洗设备通过人机识别的体例识别出来，那么如何解决这个问题？很简单，尽可能选择正常常使用户也通过APP拜候的页面，一般来讲就是各类Web API。正常常使用户和歹意流量都是来历于APP，人机不同很小，根基融为一体难以区分。

之类的慢速抨击打击，是通过巧妙的手段占住毗连不释放达到抨击打击的目的，但这也是双刃剑，每一个TCP毗连既存在于办事端也存在于自身，自身也需要消耗资源维持TCP状态，因此毗连不克不及保持太多。如果可以解决这一点，抨击打击性会取得极年夜增强，也就是说Slowloris可以通过stateless的体例策动抨击打击，在客户端通过嗅探捕获TCP的序列号和确认维护TCP毗连，系统内核无需存眷TCP的各类状态变迁，一台笔记本便可产生多达65535个TCP毗连。

前面描述的，都是手艺层面的抨击打击增强。在人的方面，还可以有一些别的手段。如果SYN Flood发出年夜量数据包正面强攻，再辅之以Slowloris慢速毗连，多少人能够发现其中的秘密？即便办事器宕机了也许还只发现了SYN抨击打击想去增强TCP层清洗而轻忽了应用层的行为。种种抨击打击都可以相互配合，达到最年夜的效果。抨击打击时间的选择，也是一年夜关头，比如说选择维护人员吃午饭时、维护人员下班堵在路上或在地铁里无线上网卡都没有信号时、目标企业在进行年夜范围勾当流量飙升时等。

这里描述的只是纯粹的抨击打击行为，因此不提供代码，也不做深入介绍。

来自P2P网络的抨击打击

前面的抨击打击体例，多几几何都需要一些傀儡机，即便是HTTP Flood也需要搜索年夜量的匿名代办署理。如果有一种抨击打击，只需要发出一些指令，就有机械自动上来执行，才是完美的方案。这种抨击打击已经呈现了，那就是来自P2P网络的抨击打击。

年夜家都知道，互联网上的P2P用户和流量都是一个极其庞年夜的数字。如果他们都去一个指定的处所下载数据，使不计其数的真实IP地址毗连过来，没有哪个设备能够支撑住。拿BT下载来讲，伪造一些热门视频的种子，发布到搜索引擎，就足以骗到许多用户和流量了，但这只是根本抨击打击。

应对篇 ——DDoS防御方案

防御根本

抨击打击流量到底多年夜

谈到DDoS防御，首先就是要知道到底遭受了多年夜的抨击打击。这个问题看似简单，实际上却有很多不为人知的细节在里面。

以SYN Flood为例，为了提多发送效率在办事端产生更多的SYN期待队列，抨击打击法度在填充包头时，IP首部和TCP首部都不填充可选的字段，因此IP首部长度恰好是20字节，TCP首部也是20字节，共40字节。

对以太网来讲，最小的包长度数据段必须达到46字节，而抨击打击报文只有40字节，因此，网卡在发送时，会做一些措置，在TCP首部的末尾，填充6个0来满足最小包的长度要求。这个时候，整个数据包的长度为14字节的以太网头，20字节的IP头，20字节的TCP头，再加上因为最小包长度要求而填充的6个字节的0，一共是60字节。

但这还没有结束。以太网在传输数据时，还有CRC查验的要求。网卡会在发送数据之前对数据包进行CRC查验，将4字节的CRC值附加到包头的最后面。这个时候，数据包长度已不再是40字节，而是酿成64字节了，这就是常说的SYN小包抨击打击，数据包布局如下：