當前資源耗攻擊主要有二種類型：

1、無連接攻擊：

這種攻擊方法主要利用IP、TCP、ICMP等協議的漏洞，在無連接情況下或者連接建立過程中完成攻擊。主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN、ACK、UDP、 ICMP包等，導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務，由于源都是偽造的,故追蹤起來比較困難。對于SYN Flood攻擊，在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態(tài)。

2、TCP全連接攻擊：

當主機突然收到比平時多得多的“合法”連接請求時，基本可以判定是這種類型。由于攻擊采用的方式幾乎無法與真正的合法流量區(qū)分，使得這種攻擊很難自動防御。但是這種攻擊會暴露傀儡機的IP地址，從而相對容易跟蹤。然而DDoS攻擊的追蹤不僅是要找到傀儡機，還要找到隱藏在傀儡機背后的黑客主機。好的DDoS攻擊工具可以偽造黑客主機的IP地址，使得對黑客主機的追蹤要比對傀儡機的追蹤困難的多。TCP全連接攻擊的另一個缺點是需要控制大量的傀儡機來模擬合法的連接。

拒絕服務攻擊:是指攻擊者通過某種手段，有意地造成計算機或網絡不能正常運轉從而不能向合法用戶提供所需要的服務或者使得服務質量降低。

分布式拒絕服務攻擊:處于不同位置的多個攻擊者同時向一個或者數個目標發(fā)起攻擊，或者一個或多個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊，由于攻擊的發(fā)出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務攻擊。

原理

例如，攻擊者首先偽造地址對服務器發(fā)起SYN請求(我可以建立連接嗎?)，服務器就會回應一個ACK+SYN(可以+請確認)。而真實的IP會認為，我沒有發(fā)送請求，不作回應。服務器沒有收到回應，會重試3-5次并且等待一個SYN Time(一般30秒-2分鐘)后，丟棄這個連接。

1、保證服務器系統的安全

首先要確保服務器軟件沒有任何漏洞，防止攻擊者入侵。確保服務器采用最新系統，并打上安全補丁。在服務器上刪除未使用的服務，關閉未使用的端口。對于服務器上運行的網站，確保其打了最新的補丁，沒有安全漏洞。

2、隱藏服務器的真實IP地址

服務器前端加CDN中轉(免費的有百度云加速、360網站衛(wèi)士、加速樂、安全寶等)，如果資金充裕的話，可以購買高防的盾機，用于隱藏服務器真實IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務器上部署的其他域名也不能使用真實IP解析，全部都使用CDN來解析。

另外，防止服務器對外傳送信息泄漏IP地址，最常見的情況是，服務器不要使用發(fā)送郵件功能，因為郵件頭會泄漏服務器的IP地址。如果非要發(fā)送郵件，可以通過第三方代理(例如sendcloud)發(fā)送，這樣對外顯示的IP是代理的IP地址。

最近這些年，cdn技術發(fā)展的非?？焖?，之前幾年一直在做網頁緩存。到目前網站動態(tài)發(fā)展快速。目的就是能夠更加快速的運轉網站加速系統，讓網站加速系統的功能性發(fā)揮到更加強大。隨著最近兩年，互聯網絡技術不斷改進，cdn已經不再簡單的給網頁提供加速了，而是能夠更好的保護網站不被攻擊，完好的保護好網站，成為了cdn系統運行中的主要責任。那么cdn能防ddos攻擊嗎？關于cdn能防ddos攻擊嗎？目前cdn有哪些技術能夠更好的防御攻擊能力呢，大家可以在軟硬件，這兩個方面綜合對比分析，幫助網站提供更加優(yōu)質的加速效果，全面提升cdn防御能力以及網站的安全性。

cdn能防ddos攻擊嗎？首先是關于cdn的加速，cdn擁有最強大的寬帶，單個的節(jié)點承受的能力是很強大的。還能夠有效的針對網站進行突發(fā)情況流量管理，預防存在流量以及數量增加等相關狀況出現。