怎么预防ddos攻击？

​
 

前言

DDoS攻击是一种常见攻击，可确实是个困扰运维人员最为恼火的问题，可导致网站宕机、服务器崩溃、内容被篡改甚至品牌/财产严重受损。其实防御DDoS攻击除了运维人员日常的一些防范意识及操作外，IDC服务商提供的付费增值服务是最好的选择，毕竟花钱的服务嘛，当然是有效果才会有人买单了。下面由小编get到的DDoS攻击方法希望能解你所忧！

理论回答
 

首先，第一种方法，要从我们从日常的DDoS攻击防御方法开始说起，这跟运维人员的安全意识和防范意识尤为相关。这种方法对个人和企业来说成本最低，也是防御必不可少的环节：

自主防御方法及步骤

• 定期扫描漏洞，时打上补丁

要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。

• .过滤不必要的服务和端口

过滤不必要的服务和端口，即过滤路由器上的假IP…只打开服务端口已经成为许多服务器的一种流行做法，例如WWW服务器，它只打开80个端口，关闭所有其他端口或在防火墙上阻止它们。

• 检查访客来源

使用单播反向路径转发等方法，通过反向路由器查询，检查访客IP地址是否为真，如果为假，则屏蔽。许多黑客经常使用假IP地址来迷惑用户，很难找到它的来源。因此，使用单播反向路径转发可以减少假IP地址的发生，有助于提高网络安全性。

增值服务防御DDOS攻击

其次，在资金允许的情况下，可以向IDC服务商购买以

增值服务来防御DDOS攻击：

1.采用高防服务器，保证服务器系统的安全

DDOS高防服务器主要是指独立单个硬防防御应对DDOS攻击和CC攻击100G以上的服务器，可以为单个客户提供安全维护，根据各个IDC机房的环境不同，有的提供有硬防，有使用软防。简单来说，就是能够帮助网站拒绝服务攻击，并且定时扫描现有的网络主节点，查找可能存在的安全漏洞的服务器。

2.采用高防IP，隐藏服务器的真实IP地址

高防IP是针对互联网服务器在遭受大流量DDoS攻击后导致服务不可用的情况下的一款增值服务。其防御原理是用户可通过配置高防IP，将攻击流量引流到高防IP，从而保护真正的IP不被暴露，确保源站的稳定可靠，保障用户的访问质量和对内容提供商的黏度。

3.采用高防CDN，通过内容分离数据流量进行防御

CDN防御力的全名是ContentDeliveryNetworkDefense，即內容分离数据流量防御力。高防CDN的基本原理就是说搭建在互联网之中的內容派发互联网，借助布署在全国各地的边沿网络服务器，根据管理中心服务平台的负载均衡、內容派发、生产调度等程序模块，使客户就近原则获得需要內容，而无需立即浏览网站源网络服务器。其基本原理简易的说就是说搭建好几个高防服务器CDN连接点，当有CDN连接点攻击的那时候每个连接点相互承担。不容易由于一个连接点被攻击砍死而造成网站无法打开，同时采用CDN还可以保护网站源IP。这儿有一个关键环节，一旦连接了高防CDN(免费的CDN一般能防止5G左右的DDOS))，千万别泄漏源网络服务器的网络ip，不然攻击者能够避过CDN立即攻击源网络服务器。
 

配置Web应用程序防火墙
 

Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略的一款产品WAF(Web应用防火墙)基于云安全大数据能力，用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，并过滤海量恶意CC攻击，避免您的网站资产数据泄露，保障网站业务的安全与可用性。 

网友分享经验：

技术层面解决方法

1.非首页，增加一个token检验。这个token由跳转前页面，跳转后检验。crsf

2.正在被攻击可以尝试＂首包丢弃＂的方法，但是用户体验会稍微降低。

3.使用linux带的iptables活着selinux尝试做点tcp握手控制。

尽可能少的把端口暴露在公网上，减少可能的攻击点。配置安全组、acl访问控制或者iptables防火墙规则，这三种操作的目的其实都是一样的，都是为了限制不明客户端的访问，只是生效的地方不一样。一般来说，我们肯定希望把这些流量在离服务器更远的地方限制住。将服务器放在cdn、负载均衡后面，目的其实是和第二点一样。cdn可以缓存服务器资源到各个边缘节点上，让用户就近访问最近的边缘节点，从而缓解服务器的压力。负载均衡可以配置调度算法，将流量按需分配给后端服务器，并且对后端进行个性化的健康监测，将不健康的服务器踢出，不继续处理请求

把网站做成静态页面或者伪静态，减少数据库调用和动态脚本执行。增强操作系统的TCP/IP栈，开启一些防御功能。安装专业抗DDoS防火墙，设置一些阈值和规则来过滤恶意请求。HTTP请求的拦截，根据IP地址或者User Agent字段来识别和拦截恶意请求。备份网站，或者至少有一个临时主页，可以在生产服务器下线时切换到备份网站或者显示公告。部署CDN，利用多个服务器分发静态内容，减轻源服务器压力。其他防御措施，如增加服务器数量并采用DNS轮巡或负载均衡技术

CDN5小编也分享几个方法：

1. 增强网络带宽：提升网络的带宽可以让服务器更好的处理大量的请求，从而更好的抵御DDoS攻击。
2. 安装防火墙：使用防火墙可以帮助过滤掉攻击流量，提高服务器的安全等级。
3. 使用负载均衡器：负载均衡器可以把大流量分散到不同的服务器上，从而使得服务器不会被压垮，从而有效的防御DDoS攻击
4. IP屏蔽和黑名单：通过强制屏蔽攻击的IP地址、加入黑名单等方式，防止攻击者的再次攻击。
5. 云防火墙：使用云防火墙可以防御大规模的DDoS攻击，通过云端的资源，将攻击流量拦截在源头，进而保护服务器不受攻击。
6. 源站存活性：建立多副本、多活服务器环境，防止某个服务器被DDoS攻击导致服务不可用。
7. 高防CDN：使用CDN网络可以帮助降低服务器的负载，减少DDoS攻击的影响。高防 CDN 还以优化其策略，以针对特定类型的 DDoS 攻击进行处理。例如，它可以采取分层的防御策略，并通过设置限流、黑名单和白名单等方式来减轻攻击。使用高防 CDN 防御 DDoS 攻击是非常有效的。它们不仅可以防御攻击，还可以优化性能和提高网站速度。