ddos防护

DDoS检测策略：

策略+阈值

多维度联合判定攻击：

维度1(D1)：流量阈值（一期）

维度2(D2)：流量速率突增

维度3(D3)：源站异常响应占比突增

维度4(D4)：手工开关（保底、一期

CC检测：

XFF字段：

通过设置xff字段，用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。如若不然，所有通过代理服务器的连接只会显示代理服务器的IP地址，而非连接发起的原始IP地址，这样的代理服务器实际上充当了匿名服务提供者的角色，如果连接的原始IP地址不可得，恶意访问的检测与预防的难度将大大增加

user-agent字段：

标识请求的浏览器身份

referer字段：

这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时，通常来说，Referer字段应和请求的地址位于同一域名下。以上文银行操作为例，Referer字段地址通常应该是转账按钮所在的网页地址，应该也位于www.examplebank.com之下。而如果是CSRF攻击传来的请求，Referer字段会是包含恶意网址的地址，不会位于www.examplebank.com之下，这时候服务器就能识别出恶意的访问。

CC攻击，可能存在伪造xff字段的情况，因此不能见了xff就拿来用，需要有一个可信源列表，只有列表中的地址发来的xff才可信

3层攻击检测：

IP分片攻击：ip分片增多，设置ip分片报文阈值

ICMP Flood：ICMP报文数增多，设置ICMP报文数阈值（禁用ICMP服务,仅在测试时开放？）

4层攻击检测：

4层攻击

SYN FLood：pps突增

判定方法：syn的数量远远大于完成3次握手的ack的数量

SYN+ACK Flood：

空连接/并发连接攻击：连接数突增（CPS）|| 连接数极高

判定方法：1.Session增多 2.CPS增多

UDP Flood： UDP报文突增

判定方法：UDP BPS超出阈值(100M)

UDP 反射放大攻击： 源端口一致的UDP报文突增

判定方法：源端口的UDP BPS 超出阈值(100M)

7层攻击检测：

CC攻击：

检测方法：统计源ip的QPS、状态码（4XX、5XX）、URL、UA、Referer字段

三层检测：

三层检测

session是一种很好的防御手段，通过session可以辨识用户，避免误封。