DDoS防御方法汇总

前言

DDoS攻击是一种常见攻击，可确实是个困扰运维人员最为恼火的问题，可导致网站宕机、服务器崩溃、内容被篡改甚至品牌/财产严重受损。其实防御DDoS攻击除了运维人员日常的一些防范意识及操作外，IDC服务商提供的付费增值服务是最好的选择，毕竟花钱的服务嘛，当然是有效果才会有人买单了。下面由小编get到的DDoS攻击方法希望能解你所忧！

理论回答

首先，第一种方法，要从我们从日常的DDoS攻击防御方法开始说起，这跟运维人员的安全意识和防范意识尤为相关。这种方法对个人和企业来说成本最低，也是防御必不可少的环节：

自主防御方法及步骤

定期扫描漏洞，时打上补丁

要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。

过滤不必要的服务和端口

过滤不必要的服务和端口，即过滤路由器上的假IP…只打开服务端口已经成为许多服务器的一种流行做法，例如WWW服务器，它只打开80个端口，关闭所有其他端口或在防火墙上阻止它们。

检查访客来源

使用单播反向路径转发等方法，通过反向路由器查询，检查访客IP地址是否为真，如果为假，则屏蔽。许多黑客经常使用假IP地址来迷惑用户，很难找到它的来源。因此，使用单播反向路径转发可以减少假IP地址的发生，有助于提高网络安全性。

增值服务防御DDOS攻击

其次，在资金允许的情况下，可以向IDC服务商购买以增值服务来防御DDOS攻击：

1.采用高防服务器，保证服务器系统的安全

DDOS高防服务器主要是指独立单个硬防防御应对DDOS攻击和CC攻击100G以上的服务器，可以为单个客户提供安全维护，根据各个IDC机房的环境不同，有的提供有硬防，有使用软防。简单来说，就是能够帮助网站拒绝服务攻击，并且定时扫描现有的网络主节点，查找可能存在的安全漏洞的服务器。

2.采用高防IP，隐藏服务器的真实IP地址

高防IP是针对互联网服务器在遭受大流量DDoS攻击后导致服务不可用的情况下的一款增值服务。其防御原理是用户可通过配置高防IP，将攻击流量引流到高防IP，从而保护真正的IP不被暴露，确保源站的稳定可靠，保障用户的访问质量和对内容提供商的黏度。

3.采用高防CDN，通过内容分离数据流量进行防御

CDN防御力的全名是ContentDeliveryNetworkDefense，即內容分离数据流量防御力。高防CDN的基本原理就是说搭建在互联网之中的內容派发互联网，借助布署在全国各地的边沿网络服务器，根据管理中心服务平台的负载均衡、內容派发、生产调度等程序模块，使客户就近原则获得需要內容，而无需立即浏览网站源网络服务器。其基本原理简易的说就是说搭建好几个高防服务器CDN连接点，当有CDN连接点攻击的那时候每个连接点相互承担。不容易由于一个连接点被攻击砍死而造成网站无法打开，同时采用CDN还可以保护网站源IP。这儿有一个关键环节，一旦连接了高防CDN(免费的CDN一般能防止5G左右的DDOS))，千万别泄漏源网络服务器的网络ip，不然攻击者能够避过CDN立即攻击源网络服务器。

配置Web应用程序防火墙

Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略的一款产品WAF(Web应用防火墙)基于云安全大数据能力，用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，并过滤海量恶意CC攻击，避免您的网站资产数据泄露，保障网站业务的安全与可用性。

网站防DDOS攻击的方法有以下几种：

使用负载均衡：对Web和其他资源使用负载均衡，同时使用相同的策略来保护DNS。
优化资源使用：提高Web服务器的负载能力，例如使用apache安装apachebooster插件，该插件与varnish和nginx集成，可以应对突增的流量和内存占用。
使用高可扩展性的DNS设备：保护针对DNS的DDOS攻击。在ASDM（Cisco Adaptive Security Device Manager）中启用“anti-spoofing”功能。
使用第三方的服务：保护您的网站免受拒绝服务攻击。
注意服务器的安全配置：避免资源耗尽型的DDOS攻击。
听从专家的意见：针对攻击事先做好应对的应急方案。

以上措施都可以有效防止网站受到DDOS攻击，保障网站的安全和稳定性。

预防DDOS攻击的方法有以下几点：

选择品牌服务器设备：品牌服务器设备通常具有更高的性能和稳定性，能够更好地抵御DDOS攻击。
使用高带宽服务器：增加服务器的带宽，可以提高其抗攻击能力，减少网络拥堵。
升级源站配置：确保服务器的配置能够跟得上，有效抗住攻击。
网页伪静态：通过设置伪静态固定链接，提高抗攻击能力。
安装防火墙：开启服务器自带的防火墙进行安全保障措施。
实施输入验证：限制从不受信任的来源发送的输入，以减少受到DDOS攻击的可能性。
保证服务器干净：清除所有不必要的软件和补丁，只留下必要的服务，以防止攻击者利用漏洞进行攻击。
使用安全协议：使用SSL/TLS等安全协议，保护数据传输过程中的敏感信息，防止被DDOS攻击。
定期安全审计：定期对服务器进行安全审计，发现并修复潜在的安全漏洞，避免被DDOS攻击。
限制恶意请求：通过限制来自同一IP地址的请求数量，减少受到DDOS攻击的可能性。
使用CDN：通过CDN技术，将数据存储在多个缓存服务器上，减轻服务器的负载，提高网络响应速度，从而防止DDOS攻击。
做好备份和恢复：定期备份数据，以防止DDOS攻击导致数据丢失或损坏。

技术层面解决方法

1.非首页，增加一个token检验。这个token由跳转前页面，跳转后检验。crsf

2.正在被攻击可以尝试＂首包丢弃＂的方法，但是用户体验会稍微降低。

3.使用linux带的iptables活着selinux尝试做点tcp握手控制。

尽可能少的把端口暴露在公网上，减少可能的攻击点。配置安全组、acl访问控制或者iptables防火墙规则，这三种操作的目的其实都是一样的，都是为了限制不明客户端的访问，只是生效的地方不一样。一般来说，我们肯定希望把这些流量在离服务器更远的地方限制住。将服务器放在cdn、负载均衡后面，目的其实是和第二点一样。cdn可以缓存服务器资源到各个边缘节点上，让用户就近访问最近的边缘节点，从而缓解服务器的压力。负载均衡可以配置调度算法，将流量按需分配给后端服务器，并且对后端进行个性化的健康监测，将不健康的服务器踢出，不继续处理请求

把网站做成静态页面或者伪静态，减少数据库调用和动态脚本执行。增强操作系统的TCP/IP栈，开启一些防御功能。安装专业抗DDoS防火墙，设置一些阈值和规则来过滤恶意请求。HTTP请求的拦截，根据IP地址或者User Agent字段来识别和拦截恶意请求。备份网站，或者至少有一个临时主页，可以在生产服务器下线时切换到备份网站或者显示公告。部署CDN，利用多个服务器分发静态内容，减轻源服务器压力。其他防御措施，如增加服务器数量并采用DNS轮巡或负载均衡技术。

