我们根据 DDoS对应的的协议类型和攻击方式的不同，把 DDoS 分成 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各类攻击类型。

　　而反射型的 DDoS 攻击是一种新的变种。攻击者并不直接攻击目标服务 IP，而是利用互联网的某些特殊服务开放的服务器，通过伪造被攻击者的 IP 地址、向有开放服务的服务器发送构造的请求报文，该服务器会将数倍于请求报文的回复数据发送到被攻击 IP，从而对后者间接形成 DDoS 攻击。

　　反射放大攻击是目前成本最低，性价比最好的攻击方式。针对这个防御的的策略，可以首包丢弃验证，但是首包丢弃大大影响业务的正常运营，但是目前首包丢弃反而运用的最多，还有可以三层验证，设置缓冲区，筛选正常流量，引导攻击流量。具体的操作我也不太清楚，只是知道有这样的防护手段。

　　总归主要是抓包分析和正常业务包的差异，去定制策略做防御。

　　这里我们引入一个学术名词，带宽放大因子（BAF, Bandwidth Amplification Factor），它表示的是请求报文与响应报文的比例。对于各种协议的反射放大攻击，由于其不同版本的实现机制各不相同，加上对请求数据支持的多样性，同一服务的 BAF 值也会存有一定的差异，我们通过实验对比了各种协议的实验 BAF，可以让大家直观感受各种反射攻击的威力，了解攻击放大的倍数。

　　反射 DDoS 攻击由于难以追踪、且不需要大量的肉鸡等特点，越来越流行，势必会对业务造成很大的威胁。除了需要各方通力合作对互联网上的设备和服务进行安全管理和安全配置消除反射站点之外，还需要在服务端做好防御准备，比如增加 ACL 过滤规则和 DDoS 清洗服务。目前麻豆科技的云防御都提供 DDoS 流量的清洗服务，可以直接使用。