基本漏洞原理及防御（10）-DOS：反射型Dos

反射型dos攻击的目的同样是耗尽目标的资源，但是实现方式不同。

攻击原理：是利用了很多网络协议不对源ip进行认证，来实现ip欺骗，例如udp协议就不会认证源ip。

攻击者不直接发送请求给目标机器，而是伪装成目标的ip地址给某些特殊开放的服务器发送请求，往往选择的是具有放大数据包效果的服务器，而这些中间服务器接受到请求之后，将更多的响应数据按照ip地址发送给攻击目标机器，造成目标机器资源耗尽，停止服务。

相当于一个借刀杀人，经过一个第三方，又达到四两拨千斤的效果，所以被称为反射型ddos攻击

防御：将服务器放在防火墙后，防火墙严格审查传进来的数据包，只需要设置查看发送方的ip是否是本地网络请求过的，如果不是，就拒绝。

但是这种方法可能会造成许多单方面数据包的误杀，所以更好的方法是配置数据包时间检测，由同一个ip返送的响应数据包，短时间内如果频繁发送响应包，那我们就拦截该ip的全部后续数据包。