DDoS檢測策略：

策略+閾值

多維度聯(lián)合判定攻擊：

維度1(D1)：流量閾值（一期）

維度2(D2)：流量速率突增

維度3(D3)：源站異常響應(yīng)占比突增

維度4(D4)：手工開關(guān)（保底、一期

CC檢測：

XFF字段：

通過設(shè)置xff字段，用來識(shí)別通過HTTP代理或負(fù)載均衡方式連接到Web服務(wù)器的客戶端最原始的IP地址。如若不然，所有通過代理服務(wù)器的連接只會(huì)顯示代理服務(wù)器的IP地址，而非連接發(fā)起的原始IP地址，這樣的代理服務(wù)器實(shí)際上充當(dāng)了匿名服務(wù)提供者的角色，如果連接的原始IP地址不可得，惡意訪問的檢測與預(yù)防的難度將大大增加

user-agent字段：

標(biāo)識(shí)請(qǐng)求的瀏覽器身份

referer字段：

這個(gè)字段用以標(biāo)明請(qǐng)求來源于哪個(gè)地址。在處理敏感數(shù)據(jù)請(qǐng)求時(shí)，通常來說，Referer字段應(yīng)和請(qǐng)求的地址位于同一域名下。以上文銀行操作為例，Referer字段地址通常應(yīng)該是轉(zhuǎn)賬按鈕所在的網(wǎng)頁地址，應(yīng)該也位于www.examplebank.com之下。而如果是CSRF攻擊傳來的請(qǐng)求，Referer字段會(huì)是包含惡意網(wǎng)址的地址，不會(huì)位于www.examplebank.com之下，這時(shí)候服務(wù)器就能識(shí)別出惡意的訪問。

CC攻擊，可能存在偽造xff字段的情況，因此不能見了xff就拿來用，需要有一個(gè)可信源列表，只有列表中的地址發(fā)來的xff才可信

3層攻擊檢測：

IP分片攻擊：ip分片增多，設(shè)置ip分片報(bào)文閾值

ICMP Flood：ICMP報(bào)文數(shù)增多，設(shè)置ICMP報(bào)文數(shù)閾值（禁用ICMP服務(wù),僅在測試時(shí)開放？）

4層攻擊檢測：

4層攻擊

SYN FLood：pps突增

判定方法：syn的數(shù)量遠(yuǎn)遠(yuǎn)大于完成3次握手的ack的數(shù)量

SYN+ACK Flood：

空連接/并發(fā)連接攻擊：連接數(shù)突增（CPS）|| 連接數(shù)極高

判定方法：1.Session增多 2.CPS增多

UDP Flood： UDP報(bào)文突增

判定方法：UDP BPS超出閾值(100M)

UDP 反射放大攻擊： 源端口一致的UDP報(bào)文突增

判定方法：源端口的UDP BPS 超出閾值(100M)

7層攻擊檢測：

CC攻擊：

檢測方法：統(tǒng)計(jì)源ip的QPS、狀態(tài)碼（4XX、5XX）、URL、UA、Referer字段

三層檢測：

三層檢測

session是一種很好的防御手段，通過session可以辨識(shí)用戶，避免誤封。