DDoS防御方法汇总

前言

DDOS攻击是一种常见的攻击，但它确实是困扰操作和维护人员的最烦人的问题，可能导致网站关闭、服务器崩溃、内容篡改，甚至严重损害品牌/财产。事实上，IDC服务提供商提供的付费增值服务是最好的选择，除了一些操作和维护人员的日常预防意识和操作。毕竟，付费服务当然是有效的。以下小系列希望解决您的问题！

理论回答

首先，第一种方法应该从我们的日常DDOS攻击和防御方法开始，特别是与操作和维护人员的安全意识和预防意识有关。该方法是个人和企业成本最低的方法，也是防御的重要组成部分：

独立防御的方法和步骤

• 定期扫描漏洞，打补丁

确保服务器软件无漏洞，防止攻击者入侵。确保服务器采用最新系统，并进行安全补丁。

• 过滤不必要的服务和端口

过滤不必要的服务和端口，即过滤路由器上的假IP。。。仅仅打开服务端口已成为许多服务器的流行做法，如WWW服务器。它只打开80个端口，关闭所有其他端口或防止它们在防火墙上。

• 检查访客来源

通过反向路由器检查访问者的IP地址是否真实。如果是假的，它将被阻止。许多黑客经常使用假IP地址来混淆用户，因此很难找到它的来源。因此，使用单播反向路径转发可以减少假IP地址的发生，有助于提高网络安全性。

DDOS增值服务防御攻击

其次，如果资金允许，可以从IDC服务提供商那里购买增值服务，防止DDOS攻击：

1.采用高防御服务器，确保服务器系统的安全

DDOS高防御服务器主要是指独立处理100G以上DDOS攻击和CC攻击的单个硬防御服务器，可为单个客户提供安全维护。有些人根据不同的IDC室环境提供硬防御和软防御。简单地说，它可以帮助网站拒绝服务攻击，并定期扫描现有的网络主节点，以找到可能的安全漏洞。

2.高防IP隐藏服务器的真实IP地址

高防御IP是互联网服务器在遭受大流量DDOS攻击后不可用的增值服务。其防御原则是，用户可以通过配置高防御IP将攻击流引流到高防御IP，从而保护真实IP不被曝光，确保源站的稳定性和可靠性，确保用户的访问质量和内容提供商的粘性。

3.使用高防CDN通过内容分离数据流进行防御

CDN防御的全名是CDN防御，即内容分离数据流的防御。高防CDN的基本原理是基于互联网内容分发互联网。在国家边缘网络服务器的帮助下，客户可以在不立即浏览网站源网络服务器的情况下，根据负载平衡、内容分发、生产调度等程序模块的管理中心服务平台在附近获取所需内容。其基本原理非常简单，即构建几个高防御服务器CDN连接点。当CDN连接点受到攻击时，每个连接点相互承担。由于一个连接点被攻击和切断，网站不容易打开，使用CDN也可以保护网站源IP。这里有一个关键的链接。一旦连接到高防御CDN（免费CDN通常可以防止约5GDOS），不要泄露源网络服务器的网络IP，否则攻击者可以立即避免CDN攻击源网络服务器。

Web应用防火墙配置

Web应用防火墙是一系列HTTP/HTTPS安全策略产品WAF(Web应用防火墙)，基于云安全大数据功能，防止SQL注入、XSS跨站脚本、普通Web服务器插件漏洞、特洛伊木马上传、非授权核心资源访问等OWASP常见攻击，过滤大量恶意CC攻击，避免网站资产数据泄露。确保网站业务的安全性和可用性。防止网站DDOS攻击的方法如下:

1. 平衡使用负载：平衡使用Web和其他资源，并使用相同的策略来保护DNS。
2. 优化资源使用:提高Web服务器的负载能力，如使用apache安装apacheboster插件，与varnish和nginx集成，以应对突然增加的流量和内存占用。
3. 高可扩展性设备：DDOS攻击保护DNS。ASDM（Cisco Adaptive Security Device Manager）中启用“anti-spoofing”功能。
4. 使用第三方服务：保护您的网站免受拒绝服务的攻击。
5. 注意服务器的安全配置：避免资源耗尽型DDOS攻击。
6. 听取专家意见：提前制定攻击应急预案。

所有这些措施都能有效防止网站被DDOS攻击，保证网站的安全稳定。

防止DDOS攻击的方法如下：

1. 选用品牌服务器设备：品牌服务器设备通常具有较高的性能和稳定性，能更好地抵抗DDOS攻击。
2. 使用高带宽服务器：增加服务器的带宽，可提高其抗攻击能力，减少网络拥堵。
3. 升级源站配置：确保服务器配置能够跟上，有效抵抗攻击。
4. 伪静态网页：通过设置伪静态固定链接，提高抗攻击能力。
5. 安装防火墙：打开服务器自带的防火墙，采取安全措施。
6. 输入验证：限制从不可信源发送的输入，以降低DDOS攻击的可能性。
7. 确保服务器清洁：清除所有不必要的软件和补丁，只留下必要的服务，防止攻击者利用漏洞进行攻击。
8. 使用安全协议：使用SSL/TLS等安全协议，保护数据传输过程中的敏感信息，防止DDOS攻击。
9. 定期安全审计：定期对服务器进行安全审计，发现并修复潜在的安全漏洞，避免被DDOS攻击。
10. 限制恶意请求：减少DDOS攻击的可能性，限制相同IP地址的请求数量。
11. 使用CDN：在多个缓存服务器上存储数据，通过CDN技术减轻服务器负载，提高网络响应速度，防止DDOS攻击。
12. 备份与恢复：定期备份数据，防止DDOS攻击造成数据丢失或损坏。

技术解决方案

1.非主页，添加token进行检查。token在跳转前页和跳转后检查。crsf

2.如果你受到攻击，你可以试试＂首包丢弃＂但用户体验会略有下降。

3.使用linux带的iptables活着selinux尝试做一些tcp握手控制。

为了减少可能的攻击点，端口应尽可能少地暴露在公共网络上。为了限制未知客户端的访问，安全组、ACL访问控制或iPtables防火墙的规则实际上是相同的，但有效性是不同的。一般来说，我们当然希望在远离服务器的地方限制这些流量。将服务器放置在CDN中的目的实际上与负载平衡背后的第二点相同。CDN可以将服务器资源缓存到每个边缘节点，以便用户可以访问附近的最新边缘节点，从而降低服务器的压力。负载平衡可以调整

将网站制作成静态页面或伪静态页面，以减少数据库呼叫和动态脚本执行。加强TCP/IP堆栈的操作系统，打开一些防御功能。安装专业的DDOS防火墙，并设置一些阈值和规则来过滤恶意请求。根据IP地址或优步拦截HTTP请求 识别和拦截Agent字段的恶意请求。当生产服务器离线时，备份网站或至少有一个临时主页可以切换到备份网站或显示公告。部署CDN，使用多个服务器分发静态内容，以减轻源服务器的压力。使用DNS轮巡逻或负载平衡技术等其他防御措施，如增加服务器数量。