怎样做到很好的防御DDOS攻击呢

随着Internet互联网络带宽的增加和多种DDoS黑客工具的不断发布，DDoS拒绝服务攻击的实施越来越容易，DDoS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素，导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDoS攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题，因此，解决DDoS攻击问题成为网络服务商必须考虑的头等大事。

DDoS是英文Distributed Denial of Service的缩写，意即分布式拒绝服务，那么什么又是拒绝服务(Denial of Service)呢？可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。

虽然同样是拒绝服务攻击，但是DDoS和DOS还是有所不同，DDoS的攻击策略侧重于通过很多僵尸主机(被攻击者入侵过或可间接利用的主机) 向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为洪水式攻击。

常见的DDoS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言，危害较大的主要是DDoS攻击，原因是很难防范，至于DOS攻击，通过给主机服务器打补丁或安装防火墙软件就可以很好地防范，后文会详细介绍怎么对付DDoS攻击。　　三、被DDoS了吗？

DDoS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

当然，这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采取Telnet主机服务器的网络服务端口来测试，效果是一样的。不过有一点可以肯定，假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都Ping不通了或者是严重丢包，那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击，再一个流量攻击的典型现象是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。

相对于流量攻击而言，资源耗尽攻击要容易判断一些，假如平时Ping网站主机和访问网站都是正常的，发现突然网站访问非常缓慢或无法访问了，而 Ping还可以Ping通，则很可能遭受了资源耗尽攻击，此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定肯定是遭受了资源耗尽攻击。

还有一种属于资源耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令，其实带宽还是有的，否则就Ping不通接在同一交换机上的主机了。

当前主要有三种流行的DDoS攻击：

1、SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDoS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK 包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。

少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

2、TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序(如：IIS、Apache等Web服务器)能接受的TCP连接数是有限的。

一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。

3、刷Script脚本攻击：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、 MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。

一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过 Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务。

常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址。

需要。DDoS（分布式拒绝服务攻击）是一种常见的网络攻击方式，它通过利用多个计算机或服务器对目标网站或网络进行大量的请求，造成网络服务不可用，因此，在CMNET上部署DDoS防护设备是一种常见的安全措施，可以帮助识别和过滤恶意的网络流量，保护网络资源免受攻击，帮助提高网络的安全性和稳定性。

分布式拒绝服务攻击(DDoS)是一种特殊形式的拒绝服务攻击。它是利用多台已经被攻击者所控制的机器对某一台单机发起攻击，在带宽相对的情况下，被攻击的主机很容易失去反应能力。作为一种分布、协作的大规模攻击方式，分布式拒绝服务攻击(DDoS)主要瞄准比较大的站点，像商业公司，搜索引擎和政府部门的站点。由于它通过利用一批受控制的机器向一台机器发起攻击，来势迅猛，而且往往令人难以防备，具有极大的破坏性。

对于此类隐蔽性极好的DDoS攻击的防范，更重要的是用户要加强安全防范意识，提高网络系统的安全性。专家建议可以采取的安全防御措施有以下几种。

1及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权账号（例如管理员账号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。

2在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。

3利用网络安全设备（例如：防火墙）来加固网络的安全性，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包。

4与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。

5当用户发现自己正在遭受DDoS攻击时，应当启动自己的应付策略，尽可能快地追踪攻击包，并且及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从已知攻击节点的流量。

6如果用户是潜在的DDoS攻击受害者，并且用户发现自己的计算机被攻击者用作主控端和代理端时，用户不能因为自己的系统暂时没有受到损害而掉以轻心。攻击者一旦发现用户系统的漏洞，这对用户的系统是一个很大的威胁。所以用户只要发现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。

原因很简单服务器的安全防护差，没有预防措施，被攻击后备用服务器不足，源头不能够及时排查出来。

还有一个原因就是DDOS攻击的特性就是较为隐蔽，分布式对服务器的网络进行攻击的时候，安全员很难做出排查，面对虚假和网络Ip请求，很难做出判断是否是正常的请求。这些都是导致服务器经常被DDOS攻击的原因。

但是做好以下这几点既可以提高服务器的运营管理，又可以防护DDOS攻击。

1，对服务器的网络进行彻底的梳理排查，捋清楚服务器的每一条网络输入口，遇到攻击的时候可以避免排查难度，精准定位被攻击的服务器。

2，加强网络的防火墙，对于非法和欺骗性IP的请求做出网络阻断的设计，限流或者直接加入黑名单。

3，服务器的网络连接尽量避免共用一个网络，分布部署服务器部署，尽量做到单线对接服务器，面对DDOS攻击的时候，也有备用的服务器进行应对。

4，安装入侵的请求的检测软件，让虚拟IP和高频多发的请求直接拦截在门下。

5，对于服务器数据和资源进行加密处理，至少保证在被攻击的情况下信息的安全问题。

6，当然也可以选择像阿里，腾讯云，百度云这样的服务器云平台进行服务器托管，至少安全问题的防护是可以说国内数一数二的企业，值得信任。

一、网络设备和设施

网络架构、设施设备是整个系统顺利运行的硬件基础。用足够的机器和容量来承受攻击，充分利用网络设备来保护网络资源，是比较理想的应对策略。攻守归根到底也是双方资源的争夺。随着它不断的访问用户，抢占用户资源，自身的精力也在逐渐消耗。相应的，投入也不小，但是网络设施是一切防御的基础，需要根据自身情况进行平衡选择。

1扩展带宽硬电阻

网络带宽直接决定了抵御攻击的能力。国内大部分网站的带宽在10M到100M之间，知名企业的带宽可以超过1G。超过100G的网站基本都是专门做带宽服务和防攻击服务的，屈指可数。但是DDoS不一样。攻击者通过控制一些服务器、个人电脑等成为肉鸡。如果他们控制1000台机器，每台机器的带宽为10M，那么攻击者将拥有10G流量。当他们同时攻击一个网站时，带宽瞬间被占用。增加带宽硬保护是理论上的最优方案。只要带宽大于攻击流量，就不怕，但是成本也是无法承受的。国内非一线城市的机房带宽价格在100元/M月左右，买10G带宽的话要100万。所以很多人调侃说，拼带宽就是拼人民币，没几个人愿意出高价买大带宽做防御。

2使用硬件防火墙

很多人会考虑使用硬件防火墙。针对DDoS攻击和黑客攻击而设计的专业防火墙，通过对异常流量的清理和过滤，可以抵御SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等流量DDoS攻击。如果网站被流量攻击困扰，可以考虑把网站放在DDoS硬件防火墙室。但如果网站流量攻击超出了硬防御的保护范围(比如200G硬防御，但攻击流量是300G)，洪水即使穿过高墙也无法抵御。值得注意的是，有些硬件防火墙主要是在包过滤防火墙的基础上修改的，只在网络层检查数据包。如果DDoS攻击上升到应用层，防御能力就会很弱。

3选择高性能设备

除了防火墙之外，服务器、路由器、交换机等网络设备的性能。也需要跟上。如果设备的性能成为瓶颈，即使带宽足够，也无能为力。在保证网络带宽的前提下，尽可能升级硬件配置。

第二，有效的反D思想和方案

贴身防守往往是“不计后果”的。通过架构布局、资源整合等方式提高网络的负载能力，分担本地过载流量，通过接入第三方服务等方式识别和拦截恶意流量，才是更“理性”的做法。，而且对抗效果不错。

4负载平衡

普通级别的服务器处理数据的能力最多只能回答每秒几十万的链接请求，因此网络处理能力非常有限。负载平衡基于现有的网络结构。它提供了一种廉价、有效和透明的方法来扩展网络设备和服务器的带宽，增加吞吐量，增强网络数据处理能力，提高网络的灵活性和可用性。对于DDoS流量攻击和CC攻击是有效的。CC攻击由于大量的网络流量而使服务器过载，这些流量通常是为一个页面或一个链接生成的。企业网站加入负载均衡方案后，链接请求被平均分配到各个服务器，减轻了单个服务器的负担。整个服务器系统每秒可以处理几千万甚至更多的服务请求，用户的访问速度会加快。

5CDN流量清洗

CDN是构建在网络上的内容分发网络，依托部署在各地的边缘服务器，通过中心平台的分发和调度功能模块，让用户就近获取所需内容，减少网络拥塞，提高用户访问响应速度和命中率。所以CDN加速也采用了负载均衡技术。与高防御的硬件防火墙相比，无法承载无限的流量限制。CDN更加理性，很多节点分担渗透流量。目前大部分CDN节点都有200G流量保护功能，加上硬防御的保护，可以说可以应对大部分DDoS攻击。这里推荐一款高性能比的CDN产品:百度云加速，非常适合中小站长的保护。

手机:魅族PRO 7；手机版本号:7 3 0；B612卡基软件。

1打开手机桌面，找到“应用市场”图标，如下图所示。

2在搜索栏输入“b612 Kaji”一词，点击前面的放大镜进行搜索。软件出现后，点击下载安装，如下图所示。

3安装完成后，手机界面会出现b612卡基软件，如下图所示。

4打开b612卡基软件，切换到“表情包”选项，如下图。

5点击中间的红色按钮开始拍摄和录制，如下图所示。

6拍摄完成后，点击底部的“保存”按钮进行保存，如下图。

7会弹出两个选项。选择“低分辨率(微信表情包)”，如下图所示。

8出现绿色提示框，表示本地保存成功，如下图所示。

9打开手机屏幕界面，找到“图库”选项，如下图所示。

10在打开的相册中，刚刚保存的表情包已经保存，如下图。

https://iknow-pic cdn BCE Bos com/b 8389 b 504 fc2d 5627 fc 8998 cf 71190 ef 77 c 66 c 8 b？x-BCE-process = image % 2f resize % 2Cm _ lfit % 2Cw _ 600% 2Ch _ 800% 2c limit _ 1% 2f quality % 2Cq _ 85% 2f format % 2Cf _ auto

　　防火墙通过监视和跟踪允许的网络流量、数据包，来提供周边访问控制。在很多方面，防火墙扮演着网络“交通警察”的角色。它允许好的、正常的数据包，不受阻碍地访问服务器，同时阻止坏的、异常的数据包访问服务器的网络。防火墙可以有助于检测进入的恶意流量，但是在对于已进入的恶意流量，在防御上没有太大的能力。

　　很多租用服务器的企业用户，单单依靠防火墙来缓解DDos攻击但仅依靠硬件防火墙抵御DDos攻击，防御能力一般在30Gbps以内，并且服务价格昂贵。这些使用传统防火墙抵御DDos攻击的企业用户认为，防火墙可以更新，这样可以有效地防止DDos攻击。然而事实并非如此，防火墙一般依照系统管理员预先定义好的规则，来控制数据包的进出，它是一台专属的硬件或是架设在一般硬件上的一套软件。大多数防火墙，并没有对DDos攻击进行针对性的改进和设计，也因此难以承受和抵御大规模的、多种类型的DDos攻击。

　　这里主要有两个原因：

　　一、 防火墙受制于带宽，容易被攻破

　　防火墙和其他本地硬件，所享有的带宽是非常有限的，其中包括企业租用的带宽规模。

　　当DDos攻击的规模超过“20—30G”时，该带宽会迅速变得不堪重负，进而出现防御崩溃。

　　二、 防火墙规则管理

　　防火墙定义的规则管理，有时候会被伪装成合法正常流量的“恶意流量”所愚弄，就像“SYN Flood”(一种DDos攻击类型)一样。

　　所以，提供深度数据包、流量检测，可针对性地调整流量清洗规则，为对抗各种类型的DDos攻击提供具体对策的解决方案，比防火墙使用规则管理的静态操作更加行之有效。

　　因此，防火墙只是防御策略的一部分，而不是一个完整的解决方案。想要更加全面有效地防御DDos攻击，就绝不能仅仅依靠防火墙来解决，还需要结合其他技术和设备进行防御。

　　防御吧高防服务器，专业抗DDos攻击，具有“超大防护带宽、超强清洗能力、全业务场景支持”的特点。防御吧在部署高防服务器的高防机房，接入了T级(1000G)超大防护带宽，单机(单台高防服务器)防御峰值最高可达数百G，并附有CC攻击的防御能力，可防御超大规模的DDos攻击和高密度的CC攻击