遇見DDoS攻擊的時，目前的防護技術中避免不了的會出現流量清洗過濾等詞，客户都會很疑惑流量清洗，是怎麼清洗的，會不會把正常的訪問請求一起過濾清洗掉呢？這是站在客户角度最關心的一個問題，這種想法很正常，因為誰都不想損失客户嘛。那接下來分享下DDoS防禦中流量清洗的技術方法吧。

流量清洗的意思是全部的網絡流量中區分出正常的流量和惡意的流量，將惡意流量阻斷和丟棄，而只將正常的流量回源給源服務器。墨者安全一般建議選擇優秀的流量清洗設備。有些漏報率太高的，對大量的正常請求過程中會造成中斷，有可能會影響到業務的正常運行，相當於優秀的清洗設備，可以降低漏報率以及誤報率，在不影響業務正常運行的情況下可以將惡意攻擊流量最大化的從網絡流量中去除。但是做到這一步需要用到準確而高效的清洗技術。如：

1、攻擊特徵的匹配：在發動DDoS攻擊過程中是需要藉助一些攻擊工具的，比如殭屍網絡等。同時網絡犯罪分子為了提高發送請求的效率，攻擊工具發出的數據包通常是編寫者偽造並固化到工具當中的。因此每種攻擊工具所發出的數據包都有一些特徵存在。那麼流量清洗技術將會利用這些數據包中的特徵作為指紋依據，通過靜態指紋技術或者是動態指紋技術識別攻擊流量。靜態指紋識別的原理是預先將多種攻擊工具的指紋特徵保存在流量清洗設備中的數據庫，因此所有的訪問數據都會先進行內部數據庫比對，如果是符合的會選擇直接丟棄。動態指紋識別清洗設備對流過的網絡數據包進行若干個數據包學習，然後將攻擊特徵記錄下來，後續有訪問數據命中這些特徵的直接丟棄。

2、IP信譽檢查：IP信譽機制是互聯網上的IP地址賦予一定的信譽值.有一些經常用來當作殭屍主機的，會發送垃圾郵件或被用來做DDOS攻擊的IP地址。會被賦予較低的信譽值.説明這些IP地址可能成為網絡攻擊的來源。所以當發生DDOS攻擊的時候會對網絡流量中的IP信譽檢查，所以在清洗的時候會優先丟棄信譽低的IP，一般IP信譽檢查的極端情況是IP黑名單機制。

3.協議完整性驗證：為提高發送攻擊請求的效率，大多數的都是隻發送攻擊請求，而不接收服務器響應的數據。因此.如果採取對請求來源進行交替嚴重，就可以檢測到請求來源協議的完整性，然後在對其不完整的請求來源丟棄處理。在DNS解析的過程中，攻擊方的工具不接收解析請求的響應數據，所以不會用TCP端口進行連接。所有流量清洗設備會利用這種方式區分合法用户與攻擊方，攔截惡意的DNS攻擊請求。這種驗證方式也適用於HTTP協議的Web服務器。主要是利用HTTP協議中的302重定向來驗證請求，確認來源是否接收了響應數據並完整實現了HTTP協議的功能。正常的合法用户在接收到302 重定向後會順着跳轉地址尋找對應的資源。而攻擊者的攻擊工具不接收響應數據，則不會進行跳轉，直接會被清洗攔截，WEB服務器也不會受到任何影響。

針對精準的流量清洗還需要很多種的精確技術，比如速度檢查與限制、協議代理和驗證、客户端真實性驗證等技術方法。因為時間原因，剩下的三種方法後續分享給大家。