流量攻击为什么难防御

随着网络技术的不断发展，网络攻击的方式也不断增多，其中流量攻击是最为常见的一种攻击方式之一。相较于其它形式的攻击，流量攻击具有发起门槛低、攻击成本低等特点，加之它往往是由大量正当请求（例如搜索引擎蜘蛛）与恶意请求混合而成，因此防御起来更加困难。本文将从技术原理、防御方案两个方面进行阐述。

技术原理

流量攻击，就是以大量数据流的方式对目标服务器进行攻击，其目的是让网络服务变得不可用。一般来说，攻击者会使用Botnet僵尸网络发起攻击，将大量的恶意流量向目标服务器发起请求，导致服务中断。

一般来说，流量攻击包括以下几种类型：

UDP Flood: 发送大量无意义的UDP数据包。

TCP SYN Flood: 发送大量的TCP SYN数据包。

HTTP Flood: 发送大量的GET/POST请求。

Slowloris: 发送大量慢速请求，让服务器资源耗尽。

ICMP Flood: 发送大量ping请求。

恶意流量的特点是要大量占用服务器的带宽和处理能力，以达到让服务器变得不可用的目的。针对流量攻击的攻防对抗是一种资源竞赛，并且做出妥善处理的难度更高。

防御方案

防御流量攻击的方案有很多，但都是在弱化或抑制恶意请求的同时，也会弱化原本的正当请求，因此寻找一种平衡是很有必要的。以下是一些常用的防御方案。

CDN（内容分发网络）

CDN可以通过减少网络链路中的攻击流量来避免流量攻击。许多大型CDN提供商的分布式负载均衡系统可以分散流量，将流量请求跳转到属于CDN集群的各个节点上而不是直接访问目标服务器。这样，CDN可以理解如何处理恶意请求且可以使用其大量分布式服务器防御大量分布式攻击。同时CDN还提供了缓存策略，在缓存中处理相同的请求，避免服务器负担太大。

DDoS清洗（Scrubbing）中心

DDoS清洗中心是第三方公司提供的特殊服务，这些公司专门为目标客户提供DDoS攻击防御服务。DDoS清洗中心通常配备了大量防护技术，包括流量分析和攻击识别、双重验证技术以及大规模过滤防御技术等等。这些技术有助于清洗掉流量攻击中的恶意请求，并将正当请求传递给服务器。

黑白名单过滤

黑白名单过滤是一个相对简单的解决方案，这种方法的基本思想是：在某些情况下，服务器只处理一些指定的IP地址。攻击者的流量请求将被简单地丢弃，服务器资源不会处理它们。白名单通常只包括可信任的IP地址，而黑名单则是包括攻击者可能使用的地址列表。

流量攻击难以防御的主要原因在于攻击者可以通过使用大量IP地址和多个Botnet僵尸网络来发起流量攻击，而且攻击流量往往混杂着正常流量，以至于难以用传统的IP地址或者数据签名技术来抵御。网络安全专家们需要以攻防对抗的形式不断提升防御能力，比如使用CDN、DDoS清洗中心和黑白名单过滤等多种遏制技术来减少攻击流量对服务器的影响。