qq3250845

近两年来，DDoS攻击事件频发，针对全球各大机构的大规模DDoS攻击事件，使DDoS攻击重新成为业界关注的焦点。虽然金融机构根据要求建立了本地和运营商级别的DDos攻击检测清洗服务，但随着互联网类业务的迅速发展，同时DDos攻击的成本不断下降，新的攻击手段层出不穷，攻击工具的泛滥，使DDos攻击形成了一个地下产业，投入极低的成本便可以发起DDos攻击，互联网类业务所受威胁也在不断增加。
文章主要结合多年网络安全运营的经验以及对DDos的基本认识，对DDos攻击的原理和基本防范思路进行了探讨。

    拒绝服务攻击是指通过各种方式消耗网络带宽和系统CPU、内存、连接数等资源，直接导致网络带宽或系统资源的消耗，使目标系统不能为普通用户提供业务服务，从而产生拒绝服务。DDos分布式拒绝服务攻击由Dos演变而来，黑客使用多台受控制计算机(肉鸡)向一个特定目标发送尽可能多的网络访问请求，从而形成大量的流量流，冲击目标业务系统，攻击源分散，范围广泛，遍及全球。在“机密性”、“完整性”和“可用性”这三个信息安全要素中，传统的拒绝服务攻击以系统“可用性”为目标。

    目前，DDos攻击主要分为两类：流量攻击和应用攻击。业务流攻击的最大特点是业务流量大，快速消耗用户的网络带宽，造成带宽枯竭，有可能出现某一特定目标单位受到攻击，会影响共享运营商资源的其他单位带宽受到影响的情况。流量攻击的DDos又可以分为直接型和反射型，直接型包括SYNACKICMPUDPFLOOD等，反射型包括NTPDNSSSDP直接反射FLOOD等。应用DDos攻击最典型的就是CC攻击和HTTP攻击，CC攻击是DDos攻击的一种，CC攻击是利用代理服务器产生合法的对受侵害主机的请求，实现DDOS和伪装，CC攻击(ChallengeCollapsar)主要是通过大量后台数据库查询操作来攻击页面，消耗目标资源；HTTP慢速攻击是CC攻击的变种，它适用于任何开放HTTP访问的服务器，攻击者首先建立连接，指定较大的content-length，然后以极低的速度将其发包，比如1-10s发送一个字节，然后保持这种连接不间断。假如客户机不断建立这样的连接，那么服务器上可用的连接数量就会一点点地被占用，从而导致拒绝服务。应用型攻击，如CC攻击、慢速攻击和流量DDos的区别在于流量DDos是针对IP的攻击，CC攻击是针对服务器资源的。

    当一般恶意组织发起DDos攻击时，首先被感知并发挥作用的一般是本地数据中心内的DDos保护装置，而金融机构本地保护装置则更多地采用旁路镜像部署方式。当地DDos防护设备一般分为DDos检测设备、清洗设备和管理中心，首先，DDos检测设备每天通过流量基线自我学习，根据不同的维度，如syn消息率、http访问率等，统计出流量基线，从而产生流量阈值。
在学习结束后，继续按照基线学习的维度做流量统计，并将统计结果与防御阈值比较，发现超过阈值的情况，通知管理中心。从管理中心发出引流策略到清洗设备，开始进行引流清洗。异常流清洗通过特征、基线、回复确认等多种方式识别、清洗攻击流。在对异常流量进行清理之后，为了防止流量再次被引到DDos清理设备，可以通过使用出口设备回注接口上强制回注的策略路将流量送到数据中心内部网络来访问目标系统。操作员清理服务在攻击流量超过因特网链路带宽或本地DDos清洗设备性能不足以应付DDos流量攻击时，需要通过运营商清洗服务完成攻击流量的清洗，或者借助运营商临时增加带宽，运营商需要通过各级DDos防护设备以清洗服务帮助用户解决带宽消耗型DDos攻击行为。实际应用表明，运营商清洗服务能够较好地应对DDos流量攻击。

    在运营商DDos流量清洗无法达到既定效果的情况下，可以考虑紧急启用运营商云清洗服务进行最后一轮清洗。利用运营商主干网分布部署的异常流量清理中心，实现了运营商主干网络附近近攻击源的分布式近源清理技术，提高了运营商对攻击的对抗能力。有适用场景的可考虑采用CNAME或域名方式，将源站解析到厂商安全提供的云端域名，实现引流、清理、回注，提高抗干扰能力。做这样的清理需要对流道进行较大的改动，牵涉面较大，一般不建议作为日常常规防护手段。归纳起来，上述三种防御方法有共同的缺点：由于本地DDos防护设备和运营商都不具有HTTPS加密的通信解码能力，导致对HTTPS通信流量的防御能力有限；同时由于运营商的清洗服务多是基底。

qq3250845

所谓的CC攻击，就是攻击者借助代理服务器生成指向受害主机的合法请求，从而实现DDOS和伪装，即ChallengeCollapsar。

我们很多人会有这种体会，当一个网页同时访问的人数特别多的时候，打开的速度就很慢，CC攻击正式通过模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，让CPU长时间保持在接近100%的工作状态，永远处理不完请求，导致网络拥塞，阻碍正常的访问。

如何判断网站是否处于被CC攻击的状态下呢？这里提一下三种常见的方法

1、如果网站是动态网站，比如asp/asp.net/php等，在被CC攻击的情况下，IIS站点会出错提示SERVERISTOOBUSY，如果不是使用IIS来提供网站服务，会发现提供网站服务的程序无缘无故自动崩溃，出错。如果网站程序没有问题，基本上可以断定是网站被CC攻击了。

2、如果网站是静态站点，比如html页面，在被CC攻击的情况下，打开任务管理器，看网络流量，会发现网络应用里数据的发送出现严重偏高的现象，在大量的CC攻击下，甚至会达到99%的网络占用，当然，在被CC攻击的情况下网站是没办法正常访问的，但是通过3389连接服务器还是可以正常连接。

3、如果是被小量CC攻击，则站点还是可以间歇性访问得到，但是一些比较大的文件，比如图片会出现显示不出来的现象。如果是动态网站被小量CC攻击，还会发现服务器的CPU占用率出现飙升的现象。这是最基本的CC攻击症状。

网站被攻击是一件十分让人恼火的事情，不仅仅是让网站速度变慢、访问异常，往往还会导致网站关键词排名下降甚至被降权，极大干扰了网站的正常稳定运行。

防御CC攻击可以通过多种方法，禁止网站代理访问，尽量将网站做成静态页面，限制连接数量，修改最大超时时间等。

qq3250845

2016年5月，不法黑客针对全球范围内的多家银行网站发动了一系列的DDoS攻击。导致约旦、韩国以及摩纳哥等央行网络系统陷入了半小时的瘫痪状态，无法进行正常工作。

2016年11月，俄罗斯五家主流银行遭遇长达两天的DDoS攻击。来自30个国家2.4万台计算机构成的僵尸网络持续不断发动强大的DDOS攻击。

2017年4月初，江苏省某网络公司服务器频繁遭到DDoS流量攻击，导致挂载在服务器上的多个网站无法正常运营，损失严重。

2018年3月，Github遭受了迄今为止记录的最大的DDoS攻击。攻击者通过公共互联网发送小字节的基于UDP的数据包请求到配置错误的memcached服务器，作为回应，memcached服务器通过向Github发送大量不成比例的响应，形成巨大规模的DDoS攻击。

2019年9月初，北京市公安局网络安全保卫总队（以下简称“网安总队”）发起了针对“分布式拒绝服务攻击”类违法犯罪的全国性专项打击行动。三个月内，网安总队在全国范围内共抓获违法犯罪嫌疑人379名，清理在京被控主机7268台。
......

一、什么是DDOS攻击？
举个例子，我开了一家饭店，这家饭店可以容纳100人同时就餐，我的一个竞争对手在对门也开了一家饭店，竞争对手雇佣了300人来这个饭店坐着不吃不喝，导致饭店满满当当无法正常营业，这在计算机中的表现就是分布式拒绝服务。在计算机系统中它利用网络协议和操作系统的一些缺陷，采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。

分布式拒绝服务攻击(英文意思是Distributed Denial of Service，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。

在进行攻击的时候，可以对源IP地址进行伪造，通常攻击者会在发起DDOS 攻击之前就控制着成千上万个存在漏洞的计算机，这些计算机我们称之为“肉鸡”，入侵者通过这些“肉鸡”向目标机器在相同时间内发起并发请求，导致目标机器的系统资源瞬间被打满，无法正常对外提供服务。

与DoS攻击由单台主机发起攻击相比较，分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。

二、攻击方式

SYN Flood攻击
SYN Flood 攻击是当前网络上最为常见的DDoS攻击，它利用了TCP协议实现上的一个缺陷。通过向网络服务所在端口发送大量的伪造源地址的攻击报文，就可能造成目标服务器中的半开连接队列被占满，从而阻止其他合法用户进行访问。

UDP Flood攻击
UDP Flood 是日渐猖厥的流量型DDoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。由于UDP协议是一种无连接的服务，在UDP Flood攻击中，攻击者可发送大量伪造源IP地址的小UDP包。

ICMP Flood攻击
ICMP Flood攻击属于流量型的攻击方式，是利用大的流量给服务器带来较大的负载，影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文。因此ICMP Flood出现的频度较低。

Connection Flood攻击
Connection Flood是典型的利用小流量冲击大带宽网络服务的攻击方式，这种攻击的原理是利用真实的IP地址向服务器发起大量的连接。并且建立连接之后很长时间不释放，占用服务器的资源，造成服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应其他客户所发起的链接。

HTTP Get攻击
这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用。这种攻击的特点是可以绕过普通的防火墙防护，可通过Proxy代理实施攻击，缺点是攻击静态页面的网站效果不佳，会暴露攻击者的lP地址。

UDP DNS Query Flood攻击
UDP DNS Query Flood攻击采用的方法是向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数星就会造成DNS服务器解析域名超时。

三、DDOS 的防范

通过 Linux 自带防火墙防范攻击
以 DDOS SYN Flood 攻击为例，我们可以通过系统自带的iptables 防火墙来进行防护。
第一种方式是禁止攻击来源IP，但是通常攻击源都不只一个IP，这种方式防护比较弱。
第二钟方式是 限制syn并发的次数以及同一个IP 新建连接数的数量。

通过专业的流量清洗系统来防范DDOS攻击
流量清洗服务是一种针对对其发起的DOS/DDOS攻击的监控、告警和防护的一种网络安全服务。在不影响正常业务的前提下，清洗掉异常流量。它会分析和过滤异常流量，将异常的攻击流量阻挡在门外，从而为正常的请求提供服务。

qq3250845

我们经常会听到TCP协议、UDP协议，但对于它们的优势、区别并不清楚。今天我们告诉大家：攻城狮是怎么看待TCP/IP协议与UDP协议的？

先说说TCP/IP协议，即Transmission Control Protocol/Internet Protocol的简写，中译名为传输控制协议/因特网互联协议，又名网络通讯协议，这是因特网最基本的协议也是国际互联网的基础，此协议由网络层的IP协议和传输层的TCP协议组成。TCP/IP 主要使电子设备连入因特网，以及对数据相互产生传输的起着规范作用。这些协议主要分为4层的层级结构，分别为：链路层、网络层、传输层和应用层。

链路层：负责封装和解封装IP报文，发送和接受ARP/RARP报文等；

网络层：负责路由以及把分组报文发送给目标网络或主机；

传输层：负责对报文进行分组和重组，并以TCP或UDP协议格式封装报文；

应用层：负责向用户提供应用程序，比如HTTP、FTP、Telnet、DNS、SMTP等。

而这每一层都是运用它的下一层所提供的协议来完成自己本层的需求。在数据链路层，数据传输在经过各层都要对其进行协议封装，用来标明对应层的通信协议。需要注意的是在网络体系结构中要建立网络通信只能在双方对等层进行，不可以调级或者交错。简单来讲就是：TCP负责发现传输数据，传输过程中有问题就发出错误信号，要求重新进行数据传输，直到所有数据安全及正确地传输到目的地。TCP主要是面向连接的可靠服务，通过三次握手建立的连接过程；仅支持单项传输；允许双方的通信应用程序随时都可以发送数据。传输层协议除了TCP协议，还有一个具有代表性的是UDP协议。

现在说说UDP协议，全称是用户数据报协议，在网络中也是用于处理传输的数据包，属于无连接的协议。处于IP协议的上一层。UDP的不可靠性在于不会对其数据包分组、组装、排序，换言之，当报文发送完成之后，是无法获悉此数据包是否是安全完整到达的也不会备份数据。不过优势也是不可忽视的。

UDP主要是面向报文的，也属于无连接型的，当应用层的数据到达传输层UDP协议时，数据只会被增加标识是UDP协议，发送给网络层，网络层再将数据传输到传输层后去除UDP协议发给应用层，这期间不会对数据报文做任何拆分和拼接的操作；UDP是有多功能的，不仅支持一对一，一对多，多对多，多对一；UDP不会被拥塞控制，一般会议稳定的速度发送数据，如果网络不好时，会自动调整发送率，不会有丢包出现。因此一般电话会议要求高的场景就会使用UDP。

TCP协议与IP协议各有各的优势如补助，我们建议大家根据实际操作应用环境选择适合的协议。如果想要数据传输的准确性，可以接收时间的延迟，就选择TCP协议；如果是需要实效性比较高就只能选择UDP协议。

qq3250845

为什么一些网站，APP等用户在接入高防后，会出现延迟，打开速度慢等问题。其实，在接入高防之后，短时间内出现延迟，打开速度慢是正常的。主要是因为以下原因导致的，解决就好了。

1、先说有时候会打不开网站的原因吧，使用高防后，公司内部人员使用后台或者频繁打开网站，由于请求过于频繁，触发了防护，对公司的 IP进行了拦截导致的，建议配置源host，绕过高防使用后台或者调试程序；

2、有些网站，APP打开速度慢，这个是因为网站、APP在设计的时候，没有考虑到负载均衡问题，没有考虑到网络安全的问题，所以导致接入高防后打开速度慢；

3、有些正常访客和我们自己有时候无法访问网站，是因为CC防护策略过于严格，访客或客户通过公司网络访问，同一个IP请求过多的时候，还有就是客户后台访问数据过于频繁，就会被进入防护黑名单，此时只需联系技术支持解封IP及调整防护策略即可解决；

4、网页打开速度慢，是因为页面要做div+css,将图片和程序完全分离。大部分是因为图片打开较慢所导致，由于图片加载时间较长，从而使高防服务到业务服务的访问时间变长；

5、有时候微信内偶尔无法打开加高防后的页面，是因为源在阿里的服务器上，加了高防后，微信内打开，偶尔出现我无法打开的情况，是因为阿里服务器和微信代理互相取源通过高防护不稳定导致，此时将微信代理单独做防护策略可解决。

还有就是接入高防后，打开页面有延迟是因为后台正在清洗，过滤流量，所以会有一点时间的延迟，所以这种情况都是正常的，一般在服务器源站，网站设置正确的情况下，稍微耐心等待两三分钟左右，就可以正常进入了。

qq3250845

如今，很多互联网企业的网络安全意识已大大提升，选择接入高防服务来防御网络攻击，但接入高防后，并非就万事大吉，还需要对网站做一些基本排查。
接入高防之后，为了保证业务最大程度的稳定，确认问题所在，恒欣建议在切换本地的测试。本地测试步骤为：

A.首先修改本地hosts文件，使本地对于被防护站点的请求经过高防，以Windows操作系统为例：找到Hosts文件，一般Hosts文件在C：\Windows\System32\drivers\etc\文件夹中。用记事本或者Notepad++等文本编辑器，打开hosts文件。最后添加如下内容：<源服务器IP地址><源网站的域名>以www.test.com为例，在hosts文件最后一行添加如下内容：host绑定

host绑定

注意：前面的IP地址为源服务器IP地址，修改hosts文件后保存。

B.在本地计算机对被防护的域名运行Ping命令。预期解析到的IP地址是在hosts文件中绑定的源服务器IP地址。如果依然是高防IP地址，可尝试刷新本地的DNS缓存（在Windows的命令提示附中运行ipconfig/flushdns命令）。

C.确认hosts绑定已经生效（域名在本地解析为源服务器IP）后，打开浏览器，输入域名访问被防护网站。如果网站预期能正常访问，则是高防这边出现问题。如果网站无法正常访问，请确认网站源服务器配置是否正确。

DDoS攻击高防接入
对于配置负载均衡之后，访问网站出现了500Internal Server Error，502 Bad Gateway，504 Gateway Timeout等错误提示，最常见的是502的错误，即表示高防IP转发请求到源站，但源站却没有响应，由于回源IP可能被源站的防火墙拦截，导致源站没有响应。500的错误表示（服务器内部错误） 服务器遇到错误，无法完成请求。504的错误表示网关超时 ，服务器作为网关或代理，但是没有及时从上游服务器收到请求。这种可能由于多种原因导致的。例如运营商拦截，客户端异常行为导致高防封堵，负载均衡配置错误或者健康检查失败，后端ECS Web应用访问问题等。

负载均衡源程序要做动静分离，静态文件做缓存加速，页面结构要用div+css；服务器的负载也要做响应的处理，比如增加并发量，数据库加速。分布式部署等等。配置完转发规则好后，我们强烈建议关闭源站上的防火墙和其他任何安全类软件，确保高防的回源IP不受源站安全策略的影响。

qq3250845

DDoS攻击是最常见的网络攻击类型，尽管技术含量低，但攻击力强，难防御，让很多互联网企业非常头疼。根据不同的协议类型和攻击模式，我们可以将DDOS分为SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC等攻击类型。

每种类型的攻击都有其自身的特点，反射式DDoS攻击是一种新的变体。攻击者不是直接攻击目标服务IP，而是使用Internet的一些特例来打开服务器。通过伪造Attackee的IP地址，将构造好的请求消息以开放服务方式发送给服务器，服务器将比请求消息多几倍的回复数据发送给被攻击的IP，以便攻击者将回复数据发送给被攻击的IP。DDOS攻击是间接形成的。实际上，攻击者使用更多的木偶机器进行攻击。他们不直接将攻击包发送给受害者，而是假装是受害者，然后将包发送给放大器，放大器随后通过放大器反射回受害者。在反射攻击中，攻击者利用网络协议的缺陷或漏洞来欺骗IP，主要是因为许多协议（如ICMP、UDP等）没有对源IP进行身份验证。同时，为了达到更好的攻击效果，黑客通常选择具有放大效果的协议服务进行攻击。综上所述，IP欺骗用于反射和放大，从而达到4到2组千克的效果。

DNS反射攻击

DNS服务是整个互联网的基础服务。当我们连接到互联网时，我们需要通过DNS解析将域名转换成相应的IP地址。理论上，ISP的DNS服务器只响应来自其自身客户端IP的DNS查询响应，但实际上，互联网上大量DNS服务的默认配置丢失，导致响应所有IP的DNS查询请求。同时，大多数DNS使用没有握手过程的UDP协议来验证请求的源IP。攻击者（实际上是由攻击者控制的傀儡机）将大量伪造的请求从受害者IP发送到DNS服务器，该服务器充当一个放大器来回复受害者的DNS响应。

NTP反射攻击

NTP是网络时间协议的缩写，是用于同步计算机时间的网络协议。ntp包含一个monlist函数，也称为mon-getlist，主要用于监视ntp服务器。当ntp服务器响应monlist时，它们返回与ntp服务器同步的最后600个客户机的IP。响应包分为六个IP包，最多100个响应包。我们可以通过ntpdc命令向ntp服务器发送monlist，并结合抓包查看实际效果。在上面的命令行中，我们可以看到一个包含monlist的请求收到了602行数据，除了前两行是无效数据之外，它碰巧是600个客户机IP列表。从上图中的Wireshare，我们还可以看到有101个NTP协议包，除了一个请求包，恰好是100个响应包。反射 DDoS 攻击由于难以追踪、且不需要大量的肉鸡等特点，越来越流行，势必会对业务造成很大的威胁。除了需要各方通力合作对互联网上的设备和服务进行安全管理和安全配置消除反射站点之外，还需要在服务端做好防御准备，比如增加 ACL 过滤规则和 DDoS 清洗服务。建议接入恒欣高防，利用DDoS 流量的清洗技术，过滤恶意流量，保证企业服务器的正常运行。

qq3250845

CC全称为 Challenge Collapsar，意为“挑战黑洞”，是利用不断对网站发送连接请求致使形成拒绝服务的目的。CC攻击是DDOS（分布式拒绝服务）的一种，相比其它的DDoS攻击CC似乎更有技术含量一些。这种攻击你见不到真实源IP，见不到特别大的异常流量，但造成服务器无法进行正常连接。CC攻击这么可怕，那么怎样可以判断服务器被CC攻击了呢？

CC攻击主要工作原理是耗资源，这就需要看是那种攻击方式，看抓包分析是否是通过多IP，刷新页面，如果是这是最典型的Cc攻击。如果cc攻击你网站打不开，指定会有一种资源耗尽，才会引发网站打不开或者加载缓慢。可自行判断一下，是下列四种情况中的那一种。

1、耗Cpu资源
黑客用1万台肉鸡，刷新你网站动态页面，如果你程序不够健壮，cpu直接100%

2、耗内存资源
黑客只要刷新你动态页面中搜索数据库的内容，只要搜索量一大，内存占满。网站直接打不开或者是非常卡。

3、耗I/o资源
黑客找到上传文件，或者是下载文件的页面，在不停的上传与下载，磁盘资源点满

4、耗带宽资源
下面这个带宽接100G，攻击上来20G，能看流量占用多少，如果流量占满了，服务器直接掉包，掉线。网站一点都打不开。如果自己主机上不去，你可以问运营商要流量图，机房都有流量图的。

CC攻击防火墙可以通过一些防护策略或接入CDN或者是集群防护来抵御CC攻击。但如果遇到大流量CC攻击，还是需要选择专业的高防服务，利用流量清洗功能来防御CC攻击，避免不必要的网络风险。

qq3250845

这几年，网络攻击越来越频繁，常见的网络攻击类型包括：蠕虫病毒、恶意软件、暴力破解、DDoS攻击等。DDoS是最常见的一种网络攻击方式，如果说DDoS攻击最令互联网企业头疼的攻击类型，那UDP反射放大型DDOS攻击应该是堪称灾难级噩梦了。虽然现在UDP反射放大型DDOS攻击还不是DDoS的主流，但其成本较低，且具有放大效果显著、追溯困难的特点，已经越来越常见了。

普通的DDoS攻击主要通过控制大量僵尸网络伪装成合法请求，在短时间内对目标服务器发起攻击，占用目标服务器大量的网络资源和CPU性能，导致网络拥堵或服务器处理不过来而陷入瘫痪。而UDP反射放大型DDOS攻击只需攻击者向Memcache服务器发送小字节请求，就可以引发服务器将数万倍的响应数据包发送给攻击者，形成灾难级的DDoS攻击。

目前Memcache服务器数量较多，在2018年底，全球Memcache服务器大概有十万台可以被利用，这些服务器一般都拥有很高的带宽资源，而该类型的DDoS攻击放大倍数可达到五六万倍，放大倍数超高，影响范围非常广。恒欣通过观测数据分析，最近一个月利用Memcache放大的DDoS攻击事件爆发式增长，攻击次数从以前的每天不足50件增加到现在每天300至400件，而且还有很多更大的攻击案例没有被公开报道。

针对这种UDP反射放大型DDOS攻击，恒欣对使用Memcache服务器的企业给出了以下三点建议：

1.Memcache的用户建议将服务放置于可信域内，有外网时不要监听 0.0.0.0，有特殊需求可以设置acl或者添加安全组。

2.为预防机器扫描和ssrf等攻击，修改memcache默认监听端口。

3.升级到最新版本的memcache，并且使用SASL设置密码来进行权限控制。

通过上述方式可以缓解部分UDP反射放大型DDOS攻击，但如果面对大流量洪水攻击时，效果就微乎其微了。互联网企业对于网络安全要求非常高，因为一旦遭受攻击会造成非常严重的后果，所以，恒欣建议大家通过接入专业的高防来保障服务器的稳定运行，如通过恒欣盾高防，第一时间防御UDP反射放大型DDoS攻击，缓解网络风险，减少财务损失。

qq3250845

什么是XSS攻击？

XSS攻击全称跨站脚本攻击，是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

XSS攻击有哪几种类型？

常见的 XSS 攻击有三种：反射型XSS攻击、DOM-based 型XXS攻击以及存储型XSS攻击。

1.反射型XSS攻击

反射型 XSS 一般是攻击者通过特定手法（如电子邮件），诱使用户去访问一个包含恶意代码的 URL，当受害者点击这些专门设计的链接的时候，恶意代码会直接在受害者主机上的浏览器执行。反射型XSS通常出现在网站的搜索栏、用户登录口等地方，常用来窃取客户端 Cookies 或进行钓鱼欺骗。

2.存储型XSS攻击

也叫持久型XSS，主要将XSS代码提交存储在服务器端（数据库，内存，文件系统等），下次请求目标页面时不用再提交XSS代码。当目标用户访问该页面获取数据时，XSS代码会从服务器解析之后加载出来，返回到浏览器做正常的HTML和JS解析执行，XSS攻击就发生了。存储型 XSS 一般出现在网站留言、评论、博客日志等交互处，恶意脚本存储到客户端或者服务端的数据库中。

3.DOM-based 型XSS攻击

基于 DOM 的 XSS 攻击是指通过恶意脚本修改页面的 DOM 结构，是纯粹发生在客户端的攻击。DOM 型 XSS 攻击中，取出和执行恶意代码由浏览器端完成，属于前端 JavaScript 自身的安全漏洞。

如何防御XSS攻击？

1. 对输入内容的特定字符进行编码，例如表示 html标记的 < > 等符号。

2. 对重要的 cookie设置 httpOnly, 防止客户端通过document.cookie读取 cookie，此 HTTP头由服务端设置。

3. 将不可信的值输出 URL参数之前，进行 URLEncode操作，而对于从 URL参数中获取值一定要进行格式检测（比如你需要的时URL，就判读是否满足URL格式）。

4. 不要使用 e val来解析并运行不确定的数据或代码，对于 JSON解析请使用 JSON.parse() 方法。

5. 后端接口也应该要做到关键字符过滤的问题。

以上，是给大家分享的关于XSS攻击的全部内容，大家记得收藏方便以后查看哦。如今，各种类型网络攻击日益频繁，除了XSS攻击之外，比较常见的网络攻击类型还包括DDoS攻击、CC攻击等，它们非常难以防御，除了需要做好日常网络安全防护之外，还需要接入高防服务，可以接入恒欣高防，通过恒欣高防隐藏源IP，对攻击流量进行清洗，保障企业网络及业务的正常运行。