DDOS的防护原理_ddos防护原理

总听说DDOS攻击，DDOS防御，硬防，防御值，这些词是什么意思？DDOS的防护又是怎么个原理？今天就来讲一讲关于DDOS防御那些事。
首先，DDOS攻击又叫分布式拒绝服务攻击就是黑客利用肉鸡（用电脑病毒控制的傀儡机）在同一时间向目标服务器发送大量的要求回复的信息数据包与交互请求，主要目的是占用目标服务器带宽，让服务器无法响应正常的交互请求，致使网络瘫痪。DDOS之所以难防，归根结底在于它的简单粗暴，不包含什么技术含量，就是以量堆人。在你的cpu还在不堪重负的处理无用请求时，你的网络首先罢工了。
防护手段：
1你的服务器要有足够的带宽，让线路在被DDOS攻击时不至于陷入拥堵，把所有的交互请求送入CPU。在芯片中植入硬件防火墙，目的在于辨别无用交互信息，记录并拒绝该IP发送请求，筛选正常的交互请求送入CPU处理。这种方法称之为硬防，是防御DDOS最有效的手段。
2设置很多个网络中转站，并隐藏主服务器IP，让所有交互请求进入中转站，经过筛选后送入主服务器。这样主服务器就无须准备充足带宽以应付攻击，节省成本。但是如果主服务器IP泄露，那么攻击就会绕过中转站直达主服务器，这时候没有防御的主服务器就可以宣告GG了。这种方法我们称之为CDN网络节点防御。
第一种方法成本高，但有效，第二种方法成本较低，但有风险。
我们着重说一说主流的硬防，硬防主要看两点1线路带宽（这里的带宽指的是防御带宽而非流量带宽）

2防火墙性能
很多商家在跟客户介绍时会说：防御内打死退款。这是什么意思？
比如你租了100G硬防的服务器，有人用90G的DDOS攻击你的服务器。此时带宽足够，网络不会受到影响，防火墙在面对90G的DDOS攻击时没能有效的筛选过滤信息，导致cpu处理过多无用信息后瘫痪。也就是说“防御内打死退款”说的是防火墙的质量。那么如果你的敌人伤心病狂到把攻击提升到100G以上，甚至是1T呢？这种时候你唯一能做的就是联系商家加钱增加线路带宽或者等死。那么问题来了，如果商家的总带宽也就500G，而DDOS攻击高达600G时怎么办？答案是没有办法，这种情况出现时，代表商家被打死了。
所以，我们租服务器时要询问一下商家的单点最高防御是多少！因为线路带宽的成本很高，拥有很高防御能力的商家怎么可能不去精心的搭建防火墙呢！这就好比一间很贵的房子，房主怎么可能不去精心装修呢！（杠精走开）
最后一句，老生常谈了，别相信防御内打死退款的屁话，退款是不可能的，这辈子都不可能的，能在你被打死的第一时间帮你想办法的就是良心商家了，而出现问题后找不到负责人的均属正常操作。毕竟商家能做的也就是挨骂而已，你让他瞬间完善防火墙？不现实！所以谨慎选择IDC商家！