DDoS防御方法汇总

前言

DDoS攻击是一种常见的攻击，但它确实是困扰运维人员的最烦人的问题，可能导致网站停机、服务器崩溃、内容篡改，甚至严重损坏品牌/财产。事实上，除了一些运维人员的日常预防意识和操作外，IDC服务提供商提供的付费增值服务是最佳选择。毕竟，付费服务当然是有效的。下面小编get到DDOS攻击方法希望能解决您的烦恼！

理论回答

首先，第一种方法应该从我们日常的DDOS攻击和防御方法开始，这特别与操作和维护人员的安全意识和预防意识有关。这种方法对个人和企业来说成本最低，也是防御的重要组成部分：

独立防御的方法和步骤

• 定期扫描漏洞，打补丁

确保服务器软件没有漏洞，防止攻击者入侵。确保服务器采用最新系统，并进行安全补丁。

• 过滤不必要的服务和端口

过滤不必要的服务和端口，即过滤路由器上的假IP。。。只打开服务端口已经成为许多服务器的一种流行做法，例如WWW服务器。它只打开80个端口，关闭所有其他端口或阻止它们在防火墙上。

• 检查访客来源

使用单播反向路径转发等方法，通过反向路由器查询，检查访问者的IP地址是否真实。如果是假的，它将被阻止。许多黑客经常使用假IP地址来迷惑用户，因此很难找到其来源。因此，使用单播反向路径转发可以减少假IP地址的发生，有助于提高网络安全性。

DDOS攻击增值服务防御

其次，如果资金允许，可以从IDC服务提供商购买增值服务来防止DDOS攻击:

1.采用高防御服务器，确保服务器系统的安全

DDOS高防御服务器主要是指独立处理DDOS攻击和CC攻击100G以上的单个硬防御服务器，可为单个客户提供安全维护。根据不同的IDC室环境，有些提供硬防御和软防御。简单地说，它可以帮助网站拒绝服务攻击，并定期扫描现有的网络主节点，以找到可能的安全漏洞。

2.使用高防IP，隐藏服务器的真实IP地址

高防御IP是互联网服务器遭受大流量DDOS攻击后不可用的增值服务。其防御原理是用户可以通过配置高防御IP将攻击流引流到高防御IP，从而保护真正的IP不被曝光，保证源站的稳定性和可靠性，保证用户的访问质量和内容提供商的粘性。

3.通过内容分离数据流量，使用高防CDN进行防御

CDN防御力的全名是Contentdeliverynetworkdefense，即内容分离数据流量的防御力。高防CDN的基本原理是建立在互联网内容分发互联网上，在全国边缘网络服务器的帮助下，根据负载平衡、内容分发、生产调度等程序模块的管理中心服务平台，使客户在附近获得所需的内容，不需要立即浏览网站源网络服务器。其基本原理很简单，即构建几个高防御服务器CDN连接点。当CDN连接点受到攻击时，每个连接点相互承担。网站不容易因为一个连接点被攻击砍死而无法打开，同时使用CDN也可以保护网站源IP。这里有一个关键环节。一旦连接到高防CDN（免费CDN通常可以防止大约5GDDOS），不要泄露源网络服务器的网络IP，否则攻击者可以避免CDN立即攻击源网络服务器。

Web应用程序防火墙的配置

Web应用防火墙是基于云安全大数据能力，实施一系列HTTP/HTTPS安全策略的产品WAF(Web应用防火墙)，用于防止SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，过滤大量恶意CC攻击，避免网站资产数据泄露。确保网站业务的安全性和可用性。防止网站DDOS攻击的方法如下：

1. 均衡使用负载:均衡使用Web和其他资源，同时使用相同的策略来保护DNS。
2. 优化资源使用:提高Web服务器的负载能力，如使用apache安装apacheboster插件，与varnish和nginx集成，以应对突然增加的流量和内存占用。
3. 使用高可扩展性DNS设备：保护DNS的DDOS攻击。ASDM（Cisco Adaptive Security Device Manager）中启用“anti-spoofing”功能。
4. 使用第三方服务：保护您的网站免受拒绝服务攻击。
5. 注意服务器的安全配置：避免资源耗尽型DDOS攻击。
6. 听从专家的意见:提前做好攻击应急预案。

所有这些措施都能有效防止网站被DDOS攻击，保证网站的安全稳定。

防止DDOS攻击的方法如下：

1. 选用品牌服务器设备：品牌服务器设备通常具有较高的性能和稳定性，能更好地抵抗DDOS攻击。
2. 使用高带宽服务器：增加服务器的带宽，可提高其抗攻击能力，减少网络拥堵。
3. 升级源站配置：确保服务器配置能够跟上，有效抵抗攻击。
4. 伪静态网页：通过设置伪静态固定链接，提高抗攻击能力。
5. 安装防火墙：打开服务器自带的防火墙，采取安全措施。
6. 输入验证：限制从不受信任的来源发送的输入，以减少DDOS攻击的可能性。
7. 确保服务器清洁：清除所有不必要的软件和补丁，只留下必要的服务，防止攻击者利用漏洞进行攻击。
8. 使用安全协议：使用SSL/TLS等安全协议，保护数据传输过程中的敏感信息，防止DDOS攻击。
9. 定期安全审计：定期对服务器进行安全审计，发现并修复潜在的安全漏洞，避免被DDOS攻击。
10. 限制恶意请求：通过限制来自同一IP地址的请求数量，减少DDOS攻击的可能性。
11. 使用CDN：将数据存储在多个缓存服务器上，通过CDN技术减轻服务器负载，提高网络响应速度，防止DDOS攻击。
12. 备份和恢复：定期备份数据，防止DDOS攻击造成数据丢失或损坏。

技术层面的解决方案

1.非主页，添加一个token检查。这个token是通过跳转前页，跳转后进行检查。crsf

2.如果你被攻击，你可以试试＂首包丢弃＂但是用户体验会略有下降。

3.使用linux带的iptables活着selinux尝试做一些tcp握手控制。

尽可能少地将端口暴露在公共网络上，减少可能的攻击点。配置安全组、acl访问控制或iptables防火墙规则，这三种操作的目的实际上是相同的，都是为了限制未知客户端的访问，但有效的地方是不同的。一般来说，我们肯定希望在远离服务器的地方限制这些流量。在cdn中放置服务器、在负载平衡的背后，目的实际上与第二点相同。cdn可以将服务器资源缓存到每个边缘节点，让用户就近访问最近的边缘节点，从而缓解服务器的压力。负载平衡可配置调度算法，根据需要将流量分配给后端服务器，对后端进行个性化健康监测，踢出不健康服务器，不继续处理要求

将网站制作成静态页面或伪静态，减少数据库调用和动态脚本执行。加强TCP/IP堆栈的操作系统，打开一些防御功能。安装专业的DDOS防火墙，设置一些阈值和规则来过滤恶意请求。根据IP地址或User拦截HTTP请求 识别和拦截Agent字段的恶意请求。备份网站，或者至少有一个临时主页，可以在生产服务器下线时切换到备份网站或显示公告。部署CDN，使用多个服务器分发静态内容，以减轻源服务器的压力。其它防御措施，如增加服务器数量，并采用DNS轮巡或负载平衡技术。