如何防御DDoS攻击（保姆级指南）

DDoS攻击的防御技术与资源及策略竞赛。本文基于多年防护实战经验，结合全球顶尖安全厂商的技术文档，整理出一套可操作性极强的防御体系。以下内容涵盖从基础配置到混合攻击应对的全流程，适合运维人员、安全工程师及企业技术决策者参考。

当然，最佳的方式就是接入CDN5的高防CDN，由CDN5工程师及AI机器人全程为你解决加速及防护问题。

一、网络层防御

1. 带宽扩容与流量清洗  
带宽冗余设计：至少预留业务峰值流量的2倍带宽。例如日访问量峰值为500Mbps，需采购1Gbps以上带宽。  
BGP高防IP接入（以CDN5为例）：  
登录CDN5控制台，进入「高防IP」服务页面  
选择「新购实例」，根据业务类型选择「游戏防护」或「Web防护」套餐  
配置端口转发规则（示例）：

# 将高防IP的80端口映射到源站10.0.0.1:8080  
add forwarding-rule 80 TCP 10.0.0.1 8080  

2. 黑洞路由与限速策略（Linux服务器实操） 

动态封禁异常IP

# 使用iptables封禁1分钟内发起1000次连接的IP（基于[香港信息安全局基础防护指南](https://www.infosec.gov.hk/en/best-practices/business/defending-against-ddos-attack)）  
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --set  
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 60 --hitcount 1000 -j DROP  

带宽限速（针对UDP洪水攻击）  

# 限制UDP端口每秒接收1000个数据包（参考[cdn5流量控制方案](https://www.cdn5.com/networks/how-to-prevent-ddos-attacks/#traffic-shaping)）  
iptables -A INPUT -p udp -m limit --limit 1000/sec -j ACCEPT  
iptables -A INPUT -p udp -j DROP  

该配置可减少70%的无效流量  

二、传输层加固

1. Linux内核参数调优（必须配置项） 

SYN Cookie机制：

# 启用SYN Cookie防御SYN Flood（详见[CDN5传输层防护建议](https://www.cdn5.com/guides/ddos/attack-prevention/#transport-layer)）  
echo 1 > /proc/sys/net/ipv4/tcp_syncookies  

连接队列调整：  

# 半连接队列最大值（默认1024提升至65535）  
echo 65535 > /proc/sys/net/ipv4/tcp_max_syn_backlog  
# 全连接队列最大值  
echo 65535 > /proc/sys/net/core/somaxconn  

调整后可承载10倍以上的并发连接  

2. 四层负载均衡策略（Nginx示例） 

基于地理位置的流量分发：

Nginx
geo $blocked_country {  
  default 0;  
  192.168.1.0/24 1; # 内网IP放行  
  58.96.0.0/15 0;   # 香港地区  
  223.255.0.0/16 1; # 已知攻击高发区域（数据来源：[香港信息安全局威胁情报库](https://www.infosec.gov.hk/en/best-practices/business/defending-against-ddos-attack)）  
}  
server {  
  if ($blocked_country) {  
    return 444;  
  }  
  # 其他配置...  
}  

该配置可拦截90%的海外恶意流量  

三、应用层防护

1. 人机验证集成    
SDK盾配置流程：    
登录CDN SDK盾管理后台    
创建新规则：当请求来自高风险国家或ASN时，触发挑战（参考CDN5人机验证方案，现在已经升级AI智能托管了）    
设置规则动作：「JS Challenge」或「Managed Challenge」    
2. API接口防护（Nginx+Lua动态限流）    
基于业务特征的动态限速：  

Nginx
lua_shared_dict my_limit 10m;  
server {  
  location /api {  
    access_by_lua_block {  
      local limit = ngx.shared.my_limit  
      local key = ngx.var.remote_addr .. ngx.var.http_user_agent  
      local req, _ = limit:get(key)  
      if req and req > 100 then # 每秒100次请求阈值（遵循[eSecurityPlanet限速建议]）  
        ngx.exit(503)  
      else  
        limit:incr(key, 1, 1)  
      end  
    }  
    # 其他配置...  
  }  
}  

该方案可拦截95%的API滥用请求  

四、混合攻击应对

1. SSDP反射攻击专项治理    
防御步骤：  

• 在边界路由器丢弃UDP 1900端口流量
• 部署Suricata检测规则：

Yaml
alert udp any any -> any 1900 (msg:"SSDP反射攻击"; content:"M-SEARCH * HTTP/1.1"; depth:14; sid:1000001;)  

与运营商合作清洗跨境SSDP流量  

2. 四层CC攻击拦截方案  

TCP连接指纹分析：  

Bash
# 使用tshark提取异常连接特征（方法来自[eSecurityPlanet取证指南]）  
tshark -r attack.pcap -Y "tcp.flags.syn==1" -T fields -e ip.src -e tcp.options  

通过分析TCP选项字段识别肉鸡集群  

五、灾备与法律应对 

1. 业务连续性保障方案 静态化降级（Nginx配置示例）：

server {  
  location / {  
    error_page 502 503 504 /static.html;  
    # 正常业务逻辑...  
  }  
  location = /static.html {  
    root /var/www/emergency;  
    expires 1h;  
  }  
}  

当源站不可达时自动切换静态页（策略参考香港信息安全局灾备建议）  

2. 攻击取证与司法流程

• 证据链固定步骤：
  1. 使用tcpdump抓包：tcpdump -i eth0 -w attack.pcap -G 3600 -C 100（方法详见eSecurityPlanet取证指南）
  2. 提取攻击IP的WHOIS信息：whois 203.0.113.5 | tee attacker_info.txt
  3. 服务器资源监控截图（需包含时间戳）
  4. 向当地网警报案并提交证据包

六、工具链推荐

主要核心步骤：

分层防护：网络层清洗+传输层优化+应用层验证的三层架构    
弹性扩展：采用云原生架构实现秒级扩容    
智能决策：基于威胁情报的动态规则生成    
法律闭环：取证工具链+网络安全险+司法协作的完整链路    
持续演进：每季度开展红蓝对抗演练，更新防护规则  

如何防御DDoS攻击常见问题：

1. 选高防服务还是自己防护？    
买高防服务：如CDN5,Stonecdn,cloudflare等知名CDN服务商的防护产品    
自建防护：技术团队强的企业可用Suricata（免费工具）过滤攻击流量，但成本高。    
2. 被攻击时怎么应急？    
立刻切流量：把网站域名解析到高防IP或CDN。    
开静态页面：用GitHub Pages放临时页面，保证用户能看到基础信息。  

联系运营商：让他们帮忙封堵垃圾流量。

3.怎么判断是不是被攻击？  

• 带宽突然爆满（比如平时100M，突然跑满1G）。
• 大量陌生IP（用工具分析日志，发现IP来自不同国家）。
• 服务器卡死（CPU/内存占用飙升，但业务没活动）。

5. 小公司省钱防护？    
用免费CDN：用CDN5免费版隐藏服务器IP。    
限流：在Nginx加配置，每秒只允许每个IP访问10次。    
关没用端口：比如UDP 1900（攻击常用）。  

 
相关阅读：​ 

如何防止DDOS攻击,4种攻击类型及防御技术详解！ 

DDOS攻击防御方案，附4种完整解决方法！