3明确地址后阅读器和办事器的办事测验测验成立毗连，测验测验成立毗连的数据包通过本地网络，中间路由最终艰辛达到目标网络再达到目标办事器

4网络毗连成立完成之后阅读器按照请求成立不合的数据包并且将数据包发送到办事器某个端口

5端口映射到过程，过程接管到数据包之掉队行内部的解析

6请求办事器内部的各类不合的资源，包含后真个API以及一些数据库或文件等

7在逻辑措置完成之后数据包依照之前成立的通道返回到用户阅读器，阅读器完成解析，请求完成。

上面各个点都可以被用来进行ddos抨击打击，包含：

1某些著名的客户端劫持病毒，还记得拜候百度跳搜狗的事情么？：）

2某个年夜型互联网公司产生的dns劫持事件，或直接年夜量的dns请求直接抨击打击dns办事器，这里可使用一些专业的第三方dns办事来减缓这个问题，如Dnspod。

3操纵成立网络毗连需要的网络资源抨击打击办事器带宽使得正常数据包无法达到如udp的洪水抨击打击，消耗前端设备的cpu资源以使得数据包不克不及有效转发如icmp和一些碎片包的洪水抨击打击，消耗办事器方成立正常毗连需要的资源如syn flood或就是占用年夜量的毗连使得正常的毗连无法倡议，譬如这次的TCP flood。

4操纵webserver的一些特点进行抨击打击，相比nginx来讲，apache措置一个请求的过程就比较粗笨。

5操纵应用法度内部的一些特性抨击打击法度内部的资源如mysql，后端消耗资源年夜的接口等等，这也就是传统意义上的CC抨击打击。

这里涉及到攻防的概念，可是实际上如果体会对方的抨击打击点和抨击打击手法，防御会酿成简单的一个拼资源的过程，不要用你最弱的处所去抗人家最强的处所，应该从最适合的处所入手把问题解决失落，譬如在路由器等设备上解决应用层抨击打击就不是一个好的体例，同理，在应用层测验测验解决网络层的问题也是不成能的，简单来讲，目标是只让正常的数据和请求进入到我们的办事，一个完善的防御体系应该斟酌如下几个层面：

1作为用户请求的入口，必须有杰出的dns防御。

2与你的价值相匹配的带宽资源，并且在核心节点上安插好应用层的防御策略，只允许你的正常应用的网络数据包能够进入，譬如封杀除80以外的所有数据包。

3有支持你的办事价值的机械集群来抵当应用层的压力，有需要的话需要将一个http请求继续分化，将毗连成立的过程压力分化到其他的集群里，这里似乎已经有一般的硬件防火墙能做这个事情，甚至将正常的http请求解析过程都进行分化，包管达到后真个是正常的请求，剔除失落畸形的请求，将正常的请求的请求频度等行为进行记实和监控，一旦产生异常就在这里进行应用层的封杀。

每个公司都有自己对自己价值的评估从而决定平安投入上的年夜小，每一次抨击打击也会涉及到好处的存在，正如防御因为种种原因譬如投入上的不足和实施过程中的不完美，有着天生的弱点一样，抨击打击也是有着天生的弱点的，因为每一次抨击打击涉及到不合的环节，每个环节都可能由不合水平的人完成，他所拥有的资源，他使用的东西和手艺都不会是完美的，所以才有可能进行防御，别的，我相信进行DDOS抨击打击的人是一个固定的行业，会有一些固定的人群，对其中使用的手艺，东西，资源和好处链都是比较固定的，与之相对的是各个企业却缺乏相应的沟通，以小我企业匹敌一个财产自然是比较坚苦，而如果每一个企业都能将自己遭受抨击打击时的经验分享出来，包含僵尸网络的年夜小及IP散布，抨击打击东西的特征，甚至有能力的可以去阐发背后的好处点及操作者，那么每一次抨击打击都能让年夜家的整体防御能力上升，让抨击打击者的抨击打击能力有损失，我们很愿意来做这个事情。

四本源及反击

我猜疑的是一点，抨击打击我们其实不克不及取得实际的益处为什么仍是有人来抨击打击，并且听说其他公司都有被抨击打击的情况，我感觉有一点原因就是抨击打击我们的确得不到什么益处，可是实际上抨击打击者也其实不损失什么，无论是资源上仍是法令风险上，他不会因为一次抨击打击而损失太多，而相比之下，办事提供者损失的东西却太多了，这从经济学角度来讲就是不服衡的，我们处于弱势。

一般而言，的确对作恶者是没有什么赏罚办法，可是这次，我们感觉我们是可以做一些事情的，我们测验测验挖掘背后的抨击打击者，甚至清除这个僵尸网络。