服务器防御DDOS攻击的方法

关于DDOS攻击

分布式拒绝服务(DDoS:DistributedDenialofService)攻击是指利用客户/服务器技术，将多台计算机联合起来作为攻击平台，启动一个或多个目标DDoS攻击，从而提高拒绝服务攻击的力量。

通常，攻击者通过代理程序在网络上的肉鸡上安装攻击程序，当代理程序收到指令时发动攻击。

常见的DDoS攻击种类：

网络层攻击:典型的攻击类型是UDP例如：NTPFlood该攻击主要使用大流量拥塞被攻击者的网络带宽，导致被攻击者的业务无法正常响应客户访问。

传输层攻击：典型的攻击类型包括SYNFlood攻击、连接攻击等，通过占用服务器的连接池资源来拒绝服务。

会话层攻击:典型的攻击类型是SSL连接攻击，占用服务器SSL会话资源达到拒绝服务的目的。

应用层攻击:典型的攻击类型包括DNSflood攻击、HTTPflood攻击、游戏假人攻击等，占用服务器应用处理资源，消耗服务器处理性能，达到拒绝服务的目的。

DDOS攻击对策

这里微云网络在一定程度上分享一些可以缓解的东西DDOS攻击的策略方法供大家借鉴。

一、保证服务器系统的安全

确保服务器的系统文件是最新版本，并及时更新系统补丁。

2、管理员需对所有主机进行检查，知道访问者的来源。

关闭不必要的服务：删除服务器上未使用的服务，关闭未使用的端口。

限制同时打开SYN缩短半连接数SYN半连接的timeout时间,限制SYN/ICMP流量。

5.正确设置防火墙，在防火墙上操作端口映射程序或端口扫描程序。

6.仔细检查网络设备和主机/服务器系统的日志。只要日志有漏洞或时间变化，机器就可能受到攻击。

7.限制在防火墙外与网络文件共享。这将给黑客一个截取系统文件的机会。如果黑客用特洛伊木马代替它，文件传输功能无疑会瘫痪。

其他方法

1.隐藏真实的服务器IP

服务器防御DDOS攻击最基本的措施是隐藏服务器的真实性IP地址。当服务器向外部传输信息时，可能会泄露IP，例如，我们通常使用服务器发送邮件功能来泄露服务器IP。

因此，当我们发送电子邮件时，我们需要通过第三方代理发送，子邮件IP是代理IP，因而不会泄露真实IP地址。在资金充足的情况下，可服务器，并在服务器前端添加CDN中转，使用所有域名和子域CDN来解析。

使用微云网络DDos高防IP之后，您可以将域名分析到微云网络DDos高防IP之后，微云网络DDos高防IP转发你的真相IP地址，从而隐藏真相IP目标，使用源站隐藏功能后，您的网站源IP不再暴露，攻击者将无法直接攻击您的网站服务器。

关闭不必要的服务或端口

这也是服务器运维人员最常用的做法。只打开服务器防火墙等端口web服务80端口，数据库3306端口，SSH服务22端口等。关闭不必要的服务或端口，在路由器上过滤假货IP。

3.购买高防，提高承受能力

该措施是通过购买高防盾牌来提高服务器的带宽和其他资源来提高其攻击能力。对于普通中小企业甚至不合适，也不会导致服务器资源闲置，所以这里没有更多的解释。

4、限制SYN/ICMP流量

路由器上应配置用户SYN/ICMP限制最大流量SYN/ICMP封包所能占据的最高频宽，这样，当出现大量超过限制的情况时SYN/ICMP流量时，说明黑客入侵不是正常的网络访问。早期限制SYN/ICMP流量是最好的预防措施DOS虽然目前的方法是正确的DdoS效果不明显，但仍能起到一定的作用。

5、网站请求IP过滤

除了服务器，网站程序本身的安全性能也需要提高。以小编自己的个人博客为例cms通过限制单位时间，系统安全机制中的过滤功能POST请求、404页等访问操作，以过滤过多次的异常行为。尽管如此DDOS攻击没有明显的改善效果，但也在一定程度上减少了小带宽的恶意攻击。

6、部署DNS智能解析

通过智能分析进行优化DNS可有效避免分析DNS流量攻击造成的风险。同时，建议您将业务托管至多家DNS服务商。

屏蔽未经请求发送的DNS响应信息

丢弃快速重传数据包

启用TTL

丢弃未知来源的DNS查询请求和响应数据

未经要求或突然丢弃DNS请求

启动DNS客户端验证

缓存响应信息

使用ACL的权限

利用ACL，BCP38及IP信誉功能

提供余量带宽

通过服务器性能测试，评估正常业务环境下可承受的带宽和请求数量。在购买带宽时，确保有一定的剩余带宽，以避免受到攻击时带宽大于正常用户的影响。

8、高防CDN。

CDN英文全名是内容分发网络。通过在网络上不同地方部署边缘节点服务器，用户可以在最短的距离和时间内获得所需的内容，从而避免单个节点带来的网络拥堵和信息延迟CDN节点可以布置在整个网络中，原始服务器可以隐藏IP地址的功能，CDN除加速网络服务外，还可作为高防服务器使用。与临时租用高防带宽相比，高防CDN价格极其便宜。比如微云网络高防CDN，50G防御的起步价每月只有5999元，不到租用带宽防御的1/10。

小结

目前而言，DDOS攻击没有最好的治愈方法，不能完全防御，只能采取各种手段在一定程度上减缓攻击伤害。因此，通常服务器的运行和维护工作或做好基本的保证。