如何解决ddos攻击？

如何解决ddos攻击？

容量耗尽型DDoS攻击（volumetric DDoS attacks）来说，它并不需多大规模即可造成影响，它只需要与你的网络管道一样大。换言之，发动一次容量耗尽型DDoS攻击要比想象中容易的多。

而在我印象里，大部分机构（当然不包括服务提供商）的公网带宽要小于1Gbps，这也意味着它们面临DDoS攻击威胁时会非常脆弱。

下面是另一项统计，根据Arbor公司发布的第十二份《全球基础设施安全报告》，41％的企业和政府机构和60％的数据中心运营商报告他们所受到的DDoS攻击超过了互联网总带宽。

历史上，发动一次DDoS攻击从未像现在这般容易，一次持续一小时的攻击甚至仅需5美元。

与此同时，很多机构对于DDoS攻击威胁却依然保留着一些错误认知。

◆ 一些人认为自己不会成为攻击的目标，即便遇到DDoS攻击造成的服务中断，他们也会将之归咎于设备故障或者操作失误。

◆ 而另一些人则认为仅靠防火墙、入侵防御系统(IPS)这样的基础设施以及由互联网服务提供商（ISP）/内容分发网络（CDN）提供的单层防护即可抵御威胁。

然而，指望这种防护便能远离DDoS攻击威胁终究只是美好的愿望。

◆ 首先，防火墙/IPS作为状态型设备，在进行网络连接的状态检测时,易被作为DDoS攻击目标。

◆ 其次，ISP/CDN提供的单层防护无法为关键业务应用程序提供足够的保护。

如今，我们人人都可能成为DDoS攻击的受害者。因此将多层防御体系DDoS防护产品作为保险性投资无疑必要且迫在眉睫。

一个显而易见的事实是，面对那些足够撑爆网络管道的资源耗尽型攻击，只有一个方法可以让你的机构免于威胁，那就是连上上游互联网服务提供商（ISP）或者安全托管服务提供商（MSSP）进行云上防御。

……

那么具体如何处理DDoS攻击威胁呢？

充分的准备是抵御DDoS攻击的关键，你需要完成以下两步来应对威胁。

— 第一步 —

在本地部署应用层阻止DDoS攻击，在本地部署环境能更有效保护那些最重要的服务。确保本地部署内嵌专用产品可以阻止外来DDoS攻击及其他威胁。这些产品部署在防火墙之前，他们也可以用于阻止“受伤”主机访问外部。

另外，由于DDoS攻击发起时毫无征兆，于是自动化便成为防范DDoS攻击中的关键。本地部署产品需要能够完成自动检测，并在察觉即将被大规模容量耗尽型DDoS攻击攻陷时，能够通过云信令（Cloud Signal）来请求云上支援。

— 第二步 —

下一步则是在线路被攻击流量占满或者现场安全设置被攻陷之前，在云上阻止容量耗尽型DDoS攻击。理想的系统是这样的，本地部署检测设施在受到DDoS攻击时，与上游通信，动态重新规划路由网络，将流量引入到清洗中心（scrubbing center），在那里将恶意DDoS流量清洗掉，然后干净的流量再被引出。而这正是应对大规模攻击的关键。

最后，云上和本地部署两个环境之间需要能够进行智能通信，以阻止动态多重矢量攻击。你得确保解决方案能持续获取威胁情报支持，以进行相应处理。

DDoS仅需要在规模上与你的互联网管道同等大小，便可对所在组织网络安全产生影响。为最小化DDoS攻击影响，始终开启检测和云上自动缓解清洗当是明智之选.

DDoS攻击是一种最常见的网络攻击，它是通过TCP/IP协议的三次握手进行攻击的。是通过伪造大量的源IP地址，然后分别向服务器端发送大量的SYN包，这个时候服务器端会返回SYN/ACK

包，而伪造的IP端不会应答，服务器端没有收到伪造的IP的回应，会进行重试机制，3~5次并等待一个SYN的时间（30s-2min），如果超时则丢弃。通过大量的网络请求，消耗服务器的资源。完全防护这种攻击还是蛮有难度的。一般会有几种方式：

方法1：

路由器、交换机、硬件防火墙等设备采用一些知名度高、口碑好、质量高的产品，假如攻击发生的时候用流量限制来对抗这些攻击是可行的方法。另外使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP

方法二

在应用程序中对每个“客户端”做一个请求频率的限制，或者从网站的代码上实行优化。将数据库压力转到内存中，及时的释放资源。显示每个IP地址的请求频率，根据IP 地址和 User Agent 字段，进行过滤。

方法三

部署CDN,CDN可以把网站的静态内容分发到多个服务器，可以进行带宽扩容，增大访问量，提高承受攻击的能力。

最简单的办法就是把网页做成静态页面的。

说起对DDOS防御问题，这个对很多站长来说都是很头疼的事儿，以为一旦被DDOS攻击，除了关闭服务器好像都没有很好的办法。这时候站长们会发现网上各个平台所谓的世界先进软防/硬防都是摆设了。

其实，就我自己的经验（我自己去年一直被人恶意CC/DDOS攻击），在被DDOS攻击后，最好的办法就是停掉DNS解析，让DDOS的攻击变成没有意义的攻击，这样攻击者购买来的攻击流量也就白白浪费了（免费的攻击流量一般都很好拦截，拦截防御不了的基本可以断定是购买来的代理流量了），然后有条件的话就变更一下服务器的IP地址，重新上线网站，不过，在上线直接一定要部署好服务器本地的防火墙安全策略，还要给新的IP地址的服务器上个免费的 CDN 服务（当然，收费的最好了！），比如：百度云加速、360网站卫士、又拍云等等这些有WAF功能的 CDN 服务。这样主要是起到隐藏服务器真实IP的目的，攻击者没有服务器的真实IP就只能针对域名来实施攻击，因为用了 CDN 加速，所以攻击也就是造成某个 CDN 节点失效而已，不会对网站整体访问率有多大的影响。服务器本身的防火墙策略也可以阻挡一部分针对域名的攻击行为，结合 CDN 自身的WAF防御就分解了攻击流量，服务器的负载会逐步下降。基本上我就是这么应对几次的CC/DDOS攻击的，实践证明是成功的！

关于平时的防御你可以看看【博客网站由内而外的安全防御思路】我的博客文章，其实最重要的就是隐藏自己真实的IP地址，只有隐藏了真实的IP地址才能真正的阻挡DDOS攻击，这是基础，这也为什么我一直给站长们讲的，能用 CDN 就一定要用个 CDN ！在互联网这个“黑暗森林”里隐藏自己才是活下去的第一要素呀！