不同于其他恶意篡改数据或劫持类攻击，DDoS简单粗暴，可以达到直接摧毁目标的目的。另外，相对其他攻击手段DDoS的技术要求和发动攻击的成本很低，只需要购买部分服务器权限或控制一批肉鸡即可，而且攻击相应速度很快，攻击效果可观。另一方面，DDoS具有攻击易防守难的特征，高防ip提供商为了保证正常客户的需求需要耗费大量的资源才能和攻击发起方进行对抗。

　　尽管几乎所有的DDoS攻击都涉及到目标设备或网络的流量，但攻击一般可以分为下面三类。

　　应用层攻击

　　应用层攻击利用了网络协议栈第6、7层中的弱点，针对特定的应用而不是整个高防ip进行攻击，他们常见的目标端口和服务是DNS和HTTP服务。有时也称为第7层DDoS攻击(相对于OSI模型的第7层)，这些攻击的目标是耗尽目标的资源。攻击针对的是服务器上生成网页并响应HTTP请求而进行传递的应用层。单个HTTP请求在客户端执行的成本很低，而目标服务器响应的成本可能很高，因为服务器通常必须加载多个文件并运行数据库查询才能创建网页。第7层攻击很难防御，因为流量很难标记为恶意流量。

　　协议攻击

　　协议攻击是利用网络协议工作机制的弱点进行攻击的一种方式，协议攻击(也称为状态耗尽攻击)通过消耗Web应用程序服务器或防火墙和负载平衡器之类的中间资源的所有可用状态表容量，导致服务中断。协议攻击利用协议栈的第3层和第4层中的弱点使目标无法访问。

　　大流量攻击Volumetric Attacks

　　攻击者试图耗尽目标网络/服务内部的带宽、目标网络/服务与互联网之间的带宽。也叫反射攻击或者放大攻击，该类攻击以UDP协议为主，一般请求回应的流量远远大于请求本身流量的大小。攻击者通过流量被放大的特点以较小的流量带宽就可以制造出大规模的流量源，从而对目标发起攻击。耗尽可用带宽来造成拥塞。

　　缓解DDoS攻击的方法

　　缓解DDoS攻击的关键问题是区分攻击和正常流量。例如，如果某个公司新产品发布的网站充斥着热切的客户，那么切断所有流量就是一个错误。如果该公司的突然流量来自已知的不良行为者，则可能有必要采取高防ip缓解攻击。困难在于它难以区分真正的客户和攻击流量。常见的缓解DDoS攻击的方法有下面几种：

　　1.黑洞路由

　　几乎所有网络管理员都可以使用的解决方案是创建黑洞路由，并将流量汇入该路由。以最简单的形式，当在没有特定限制条件的情况下实施黑洞过滤时，合法和恶意网络流量都会路由到空路由或黑洞，并从网络中丢弃。

　　黑洞路由最大的好处是充分利用了路由器的包转发能力，对系统负载影响非常小。

　　2.限速

　　高防ip在特定时间范围内接受的请求数量也是减轻DDoS攻击的一种方法。虽然速率限制有助于减缓Web爬虫窃取内容的速度并减轻暴力登录尝试，但仅靠速率限制可能不足以有效地处理复杂的DDoS攻击。但是，速率限制是有效的DDoS缓解策略中有用的组成部分。

　　3.Web应用防火墙

　　高防IP所使用的Web应用程序防火墙(WAF)是一种工具，可以帮助缓解第7层DDoS攻击。通过将WAF放在Internet和原始服务器之间，WAF可以充当反向代理，从而保护目标服务器免受某些类型的恶意流量的侵害。通过基于用于识别DDoS工具的一系列规则过滤请求，可以阻止第7层攻击。有效的WAF的一个关键价值是能够快速实施自定义规则以应对攻击。

　　4.Anycast网络扩散

　　Anycast技术是一种网络寻址和路由方法。在Anycast寻址过程中. 流量会被导向网络扑结构上最近的节点, 在这个过程中, 攻击者并不能对攻击流量进行操控,因此攻击流量将会被分散并稀释到最近的节点上，每一个节点上的资源消耗都会减少。这种缓解方法使用Anycast网络将攻击流量分散到分布式服务器网络中，直至网络吸收流量。就像将一条湍急的河流沿着单独的较小河道引导一样，这种方法将分布式攻击流量的影响分散到可以控制的程度，从而分散了任何破坏性能力。