DDoS攻擊可以使企業完全宕機數小時以上，造成的后果是比較嚴重的。ddos防御原理是什么？我們需要及時了解ddos攻擊形成的原理，才能更好地運用防御手段，保障信息的安全。

　　ddos防御原理是什么？

　　一個比較完善的DDos攻擊體系分成四大部分，分別是攻擊者( attacker也可以稱為master)、控制傀儡機( handler)、攻擊傀儡機( demon，又可稱agent)和受害著( victim)。第2和第3部分，分別用做控制和實際發起攻擊。第2部分的控制機只發布令而不參與實際的攻擊，第3部分攻擊傀儡機上發出DDoS的實際攻擊包。對第2和第3部分計算機，攻擊者有控制權或者是部分的控制權，并把相應的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運行并等待來自攻擊者的指令，通常它還會利用各種手段隱藏自己不被別人發現。在平時，這些傀儡機器并沒有什么異常，只是一旦攻擊者連接到它們進行控制，并發出指令的時候，攻擊愧儡機就成為攻擊者去發起攻擊了。

　　之所以采用這樣的結構，一個重要目的是隔離網絡聯系，保護攻擊者，使其不會在攻擊進行時受到監控系統的跟蹤。同時也能夠更好地協調進攻，因為攻擊執行器的數目太多，同時由一個系統來發布命令會造成控制系統的網絡阻塞，影響攻擊的突然性和協同性。而且，流量的突然增大也容易暴露攻擊者的位置和意圖。

　　當受控制的攻擊代理機達到攻擊者滿意的數量時，攻擊者就可以通過攻擊主控機隨時發出擊指令。由于攻擊主控機的位置非常靈活，而且發布命令的時間很短，所以非常隱蔽以定位。一旦攻擊的命令傳送到攻擊操縱機，主控機就可以關閉或脫離網絡，以逃避追蹤要著，攻擊操縱機將命令發布到各個攻擊代理機。

　　在攻擊代理機接到攻擊命令后，就開始向目標主機發出大量的服務請求數據包。這些數據包經過偽裝，使被攻擊者無法識別它的來源面且，這些包所請求的服務往往要消耗較大的系統資源，如CP或網絡帶寬。如果數百臺甚至上千臺攻擊代理機同時攻擊一個目標，就會導致目標主機網絡和系統資源的耗盡，從而停止服務。有時，甚至會導致系統崩潰。

　　另外，這樣還可以阻塞目標網絡的防火墻和路由器等網絡設備，進一步加重網絡擁塞狀況。于是，目標主機根本無法為用戶提供任何服務。攻擊者所用的協議都是一些非常常見的協議和服務。這樣，系統管理員就難于區分惡意請求和正連接請求，從而無法有效分離出攻擊數據包。

　　怎么防御ddos攻擊？

　　1、黑洞或沉洞:這種方法會阻止所有流量并將其轉移到黑洞，并在那里被丟棄。缺點是所有流量都將被丟棄，無論是好的還是壞的并且目標業務會離線。同樣，數據包過濾和速率限制措施只是簡單地關閉一切，拒絕合法用戶訪問。

　　2、路由器和防火墻:路由器可以配置為通過過非必要協議來陽止簡單的ing攻擊，也可以明止無效的p地址，但是，路由器通常無法有效御更復雜的欺騙攻擊和使用有效p地址的應用程序級攻擊。防火墻可以關閉與攻擊相關的特定流量，但與路由器一樣，它們不能執行反欺騙。

　　3、入侵檢測系統:IDS解決方案將供一些異常檢測功能，因此它們將識別有效協議何時被用作攻擊工具。它們可以與防火墻結合使用以自動阻止流量。不利的一面是，它們不是自動化的，因此需要安全專家手動調整，而且它們經常會產生誤報

　　4、服務器:正確雷置服務器應用程序對于最大限度地減少DDOS攻擊的影響至關重要。管理員可以明確定義應用程序可以使用哪些資源以及它將如何響應來自客戶端的請求。結合DDoS緩解設備，優化的服務器有機會通過DDoS攻擊繼續運行。

　　5、DDoS緩解設備:一些公司要么制造專門用于凈化流量的設備，要么將DDOS緩解功能構建到主要用于負載平衡或防火墻等其他功能的設備中，這些設備具有不同程度的有效性，沒有一個是完美的。一些合法流量將被丟棄，一些非法流量將到達服務器。服務器基礎設施必須足夠強大以處理此流量并繼續為合法客戶端提供服務。

　　6、過度即置:或購買額外帶寬或幾余網絡設備來處理需求高峰可能是處理DDOS攻擊的有效方法。使用外包服務提供商的優勢之一是我們可以按需購買服務，例如可在我們需要時為自己提供更多帶寬的突發電路，而不是在幾余網絡接口和設備上進行昂貴的資本投資

　　大多教情況下，公司事先并不知道DDoS攻擊即將來臨。攻擊的性質通常會在中途發生變化，要求公司在幾個小時或幾天內快速、連續地做出反應。由于大多數攻擊的主要影響是消耗我們的Internet帶寬，因此服務提供商需要擁有帶寬和設備來減輕攻擊的影響。

　　ddos防御原理是什么？以上就是詳細的解答，在面對ddos攻擊的時候一個全面的、多模塊的、多層次的DDoS防護方案來規避各種攻擊是很重要的。對于企業來說，及時做好網絡攻擊的防御很重要。