什么是DDOS？

本文开始之前，小编把小编的经验告诉大家

如果是公司或者托管到其他机房的网站，不需要自己假设。，只需要租用或者托管有防火墙的机房即可，如果没有怎么办？

那么就利用市场上领先的CDN吧，用了CDN，几十个IP，不可能各个打死吧，在说一般CDN商都会把节点放在抗攻击的机房里面。

这个是目前最省钱的方式。

而且市场上有免费的CDN防火墙。

1：上海云盾。

2：百度云加速。

3:360网站安全卫士

DDOS全名是Distributed Denial of service (分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS 最早可追溯到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。^[1]

DDoS攻击通过大量合法的请求占用大量网络资源，以达到服务器瘫痪网络的目的，通过使网络过载来干扰甚至阻断正常的网络通讯；令瓦还可以向服务器提交大量请求，使服务器超负荷；或阻断某一用户访问服务器；甚至阻断某服务与特定系统或个人的通讯，达到破坏的作用。

通俗的说，DDoS攻击就指向一台性能与网络宽带有限的服务器短期发动大量的访问请求，直到服务器或者宽带承受极限，从而导致后期服务器无法正常运行的目的。

硬件防火墙品牌排名：
Juniper
华为赛门铁克
思科
H3C
天融信
山石网科
飞塔
联想网御
NETGEAR
启明星辰

热门防火墙排名：
Juniper SSG-140-SH
华为赛门铁克USG2210
CISCO ASA5510-K8
H3C SecPath U200-CS-AC
天融信NGFW4000-UF(TG-5130)
Hillstone SG-6000-M2105
FORTINET FortiGate-110C
NETGEAR FVS318
联想网御Power V-220UTM
启明星辰USG-FW-810C

　Dosnipe防火墙：

Dosnipe防火墙硬件架构部分主体采取工业计算机(工控机)，可以承受恶劣的运行环境，保障设备稳定运行;软件平台是FreeBSD，核心部分算法是自主研发的单向一次性非法数据包识别方法，所有的Filter机制都是在挂在驱动级。可以彻底解决所有dos/DDoS攻击(synflood、ackflood、udpflood、icmpflood、igmpflood、arpflood、全连接等)，针对CC攻击，已推出DosNipe V8.0版本，此核心极其高效安全，在以往抵御一切拒绝服务攻击的基础上，新增加了抵挡CC攻击，新算法可以高效的抵御所有CC攻击及其变种，识别准确率为100%，没有任何误判的可能性。

Dosnipe防火墙去年升级之后，具备更多的新特性：

·彻底解决最新的M2攻击。

·支持多线路，多路由接入功能。

·支持流量控制功能。

·更强大的过滤功能。

·最新升级，彻底高效的解决所有DDoS攻击，cc攻击的识别率为100%

　黑洞抗DDOS防火墙

黑洞抗DDOS防火墙是国内IDC中应用比较广泛的一款抗DoS、DDoS攻击产品，其技术比较成熟，而且防护效果显著，已经得到各大IDC机构的共同认可。黑洞目前分百兆、千兆两款产品，分别可以在相应网络环境下实现对高强度攻击的有效防护，性能远远超过同类防护产品。千兆黑洞主要用于保护骨干线路上的网络设备如防火墙、路由器，百兆黑洞主要用于保护子网和服务器，使用多种算法识别攻击和正常流量，能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率，核心算法由汇编实现，针对Intel IA32体系结构进行了指令集优化。对标准TCP状态进行了精简和优化，效率远高于目前流行的SYN Cookie和Random Drop等算法。

　　黑洞所带来的防护：

·自身安全:无IP地址，网络隐身。

·能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DoS攻击进行防护。

·可以有效防止连接耗尽，主动清除服务器上的残余连接，提高网络服务的品质、抑制网络蠕虫扩散。

·可以防护DNS Query Flood，保护DNS服务器正常运行。

·可以给各种端口扫描软件反馈迷惑性信息，因此也可以对其它类型的攻击起到防护作用。

金盾抗DDOS防火墙

金盾抗DDOS防火墙由合肥中新软件有限公司开发，是一款针对ISP接入商、IDC服务商开发的专业性比较强的专业防火墙。适用于Internet平台所有企业与个人用户，尤其对一些大型的娱乐站点和重要企业站点的网络流畅起到了重要的安全保护作用。

产品目前采用了最底层驱动技术，提供完善的面向连接操作。公司在长期ISP运营和致力于网络安全的研究过程中，研究和发明了一种防御和抵抗拒绝服务攻击的解决办法。测试的效果表明，目前的防御算法对所有已知的拒绝服务攻击是免疫的，也就是说，是完全可以抵抗已知DoS/DDoS攻击的。

金盾抗DDOS防火墙可以抵御多种拒绝服务攻击及其变种，可防各类 DoS/DDoS攻击，如 SYN Flood、TCP Flood，UDP Flood，ICMP Flood及其各种变种如Land，Teardrop，Smurf，Ping of Death等。

据说全国有近半的电信和网通机房都有其产品，金盾防火墙是专门针对DDoS攻击和黑客入侵而设计的专业级防火墙，该设备采用自主研发的新一代抗拒绝攻击算法，可达到10万-100万个并发攻击的防御能力，同时对正常用户的连接和使用没有影响。专用得体系结构可改变TCP/IP的内核，在系统核心实现防御拒绝攻击的算法，并创造性的将算法实现在网络驱动层，效率没有受到限制。同时可防御多种拒绝服务攻击及其变种，如：SYN Flood。TCP Flood、UDP Flood、ICMP Flood及其变种Land、Teardrop、Smurf、Ping of Death等等。

　　分析：

当然也有一些技术人员提出观点，认为从原则上说，上面类似产品不能说是防火墙，应该说一种异常流量清洗系统;现在的DDOS防御技术在防火墙也有，但防火墙的能力有限，不能很深入的针对每一个阀值参数进行分析和执行，而只有一个执行，而且执行的度量是定死了;没有一个学习后再细化，这就是防火墙的弱点，但这种产品一般是在高带宽流量的环境应用，说白一点，是放到运营商上面应用，所以产品的性能要求十分严苛，要经得起考验，这不是闹着玩;因为这套东西，运营商拿去也是给增值服务客户应用的，要收钱的，如果不能抵御一定流量的攻击客户肯定会翻脸。

那么，大家最关心的问题：这些硬件防火墙到底能不能防DDOS呢?

　　这些硬件防火墙到底能不能防DDOS：

大体上说是可以的，根据我们的了解，国内大部分机房都是表示金盾效果还过得去，黑洞效果则更好一些，而Dosnipe由于合作的机房相对要少一些，所以收到的反馈意见不多，不过西南地区的一个电信机房代理商告诉我机房加装Dosnipe防火墙之后确实杜绝了不少普通流量的攻击。

但是，如果DDoS攻击者加大攻击的流量，大量消耗机房的出口总带宽时，任何一款防火墙都相当于摆设，因为不管防火墙处理能力有多强，出去的带宽已经被耗尽了，整个机房在外面看来就都是处于掉线状态，就像一个大门已经挤满了人，不管你在门里安排多少个警卫检查都没用，外面的人还是进不来，而现在的攻击者的行为大部分是出于商业目的，动辄G级别的攻击，一些机房本来带宽就不是很足够，一遭到大流量的攻击肯定是整个机房大面积掉线，防火墙虽然检测到攻击，也只能是过滤掉那些非法数据包，保护内部的网络设备和服务器不受重创，但掉线是机房总带宽不足所导致，用再好的防火墙都无济于事。

因此，即使很多机房都号称采用多好的硬件防火墙，可以防御多大流量的攻击，但如果你的服务器真的遭到大流量攻击，机房还是不敢放你进去，因为会影响到其他服务器的正常访问，而且托管一台服务器收取的费用本来就不多，为了做成这么一笔小生意而招惹大麻烦，运营商肯定觉得不划算，最可怜的还是那些机房的网管人员，得手忙脚乱的封IP。