ddos防護原理是什么？了解ddos的防護就得知道它的攻擊原理，介紹幾種常見的ddos攻擊原理及其防護措施。

SYN Flood

原理：SYN-Flood攻擊利用TCP協議實現上的缺陷，通過向網絡服務所在端口發送大量偽造源地址的攻擊報文，造成目標服務器中的半開連接隊列被占滿，從而阻止其他合法用戶進行訪問。

防護：市面上有些防火墻具有SYN Proxy功能，一般是定每秒通過指定對象的SYN片段數的閥值，當來自相同源地址或發往相同目標地址的SYN片段數，達到這些閥值，防火墻就開始截取連接請求和代理回復，并將不完全的連接請求存儲到連接隊列中，直到連接完成或請求超時。

HTTP Get

原理：主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調用數據庫的網站系統而設計，和服務器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用，以小博大的攻擊方法。

防護：統計到達每個服務器每秒鐘的GET請求數，如果遠遠超過正常值，就要對HTTP協議解碼，找出HTTP Get及其參數。然后，判斷某個GET請求是來自代理服務器還是惡意請求。并回應一個帶key的響應要求請求發起端作出相應的回饋。如果發起端并不響應則說明是利用工具發起的，這樣HTTP Get請求就無法到達服務器，達到防護效果。

ACK Flood

原理：ACK Flood攻擊是在TCP連接建立之后，所有的數據傳輸TCP報文都是帶有ACK標志位的，主機在接收到一個帶有ACK標志位的數據包的時候，需要檢查該數據包所表示的連接四元組是否存在，如果存在則檢查該數據包所表示的狀態是否合法，然后再向應用層傳遞該數據包。

防護：一些防火墻建立一個hash表，用來存放TCP連接“狀態”，相對于主機的TCP stack實現來說，狀態檢查的過程相對簡化。

以上是域名頻道對幾種ddos攻擊原理及防護的介紹