服务器如何防止ddos

一、网络设备和设施

网络架构、设施设备是整个系统顺利运行的硬件基础。用足够的机器和容量来承受攻击，充分利用网络设备来保护网络资源，是比较理想的应对策略。攻守归根到底也是双方资源的争夺。随着它不断的访问用户，抢占用户资源，自身的精力也在逐渐消耗。相应的，投入也不小，但是网络设施是一切防御的基础，需要根据自身情况进行平衡选择。

1扩展带宽硬电阻

网络带宽直接决定了抵御攻击的能力。国内大部分网站的带宽在10M到100M之间，知名企业的带宽可以超过1G。超过100G的网站基本都是专门做带宽服务和防攻击服务的，屈指可数。但是DDoS不一样。攻击者通过控制一些服务器、个人电脑等成为肉鸡。如果他们控制1000台机器，每台机器的带宽为10M，那么攻击者将拥有10G流量。当他们同时攻击一个网站时，带宽瞬间被占用。增加带宽硬保护是理论上的最优方案。只要带宽大于攻击流量，就不怕，但是成本也是无法承受的。国内非一线城市的机房带宽价格在100元/M月左右，买10G带宽的话要100万。所以很多人调侃说，拼带宽就是拼人民币，没几个人愿意出高价买大带宽做防御。

2使用硬件防火墙

很多人会考虑使用硬件防火墙。针对DDoS攻击和黑客攻击而设计的专业防火墙，通过对异常流量的清理和过滤，可以抵御SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等流量DDoS攻击。如果网站被流量攻击困扰，可以考虑把网站放在DDoS硬件防火墙室。但如果网站流量攻击超出了硬防御的保护范围(比如200G硬防御，但攻击流量是300G)，洪水即使穿过高墙也无法抵御。值得注意的是，有些硬件防火墙主要是在包过滤防火墙的基础上修改的，只在网络层检查数据包。如果DDoS攻击上升到应用层，防御能力就会很弱。

3选择高性能设备

除了防火墙之外，服务器、路由器、交换机等网络设备的性能。也需要跟上。如果设备的性能成为瓶颈，即使带宽足够，也无能为力。在保证网络带宽的前提下，尽可能升级硬件配置。

第二，有效的反D思想和方案

贴身防守往往是“不计后果”的。通过架构布局、资源整合等方式提高网络的负载能力，分担本地过载流量，通过接入第三方服务等方式识别和拦截恶意流量，才是更“理性”的做法。，而且对抗效果不错。

4负载平衡

普通级别的服务器处理数据的能力最多只能回答每秒几十万的链接请求，因此网络处理能力非常有限。负载平衡基于现有的网络结构。它提供了一种廉价、有效和透明的方法来扩展网络设备和服务器的带宽，增加吞吐量，增强网络数据处理能力，提高网络的灵活性和可用性。对于DDoS流量攻击和CC攻击是有效的。CC攻击由于大量的网络流量而使服务器过载，这些流量通常是为一个页面或一个链接生成的。企业网站加入负载均衡方案后，链接请求被平均分配到各个服务器，减轻了单个服务器的负担。整个服务器系统每秒可以处理几千万甚至更多的服务请求，用户的访问速度会加快。

5CDN流量清洗

CDN是构建在网络上的内容分发网络，依托部署在各地的边缘服务器，通过中心平台的分发和调度功能模块，让用户就近获取所需内容，减少网络拥塞，提高用户访问响应速度和命中率。所以CDN加速也采用了负载均衡技术。与高防御的硬件防火墙相比，无法承载无限的流量限制。CDN更加理性，很多节点分担渗透流量。目前大部分CDN节点都有200G流量保护功能，加上硬防御的保护，可以说可以应对大部分DDoS攻击。这里推荐一款高性能比的CDN产品:百度云加速，非常适合中小站长的保护。

手机:魅族PRO 7；手机版本号:7 3 0；B612卡基软件。

1打开手机桌面，找到“应用市场”图标，如下图所示。

2在搜索栏输入“b612 Kaji”一词，点击前面的放大镜进行搜索。软件出现后，点击下载安装，如下图所示。

3安装完成后，手机界面会出现b612卡基软件，如下图所示。

4打开b612卡基软件，切换到“表情包”选项，如下图。

5点击中间的红色按钮开始拍摄和录制，如下图所示。

6拍摄完成后，点击底部的“保存”按钮进行保存，如下图。

7会弹出两个选项。选择“低分辨率(微信表情包)”，如下图所示。

8出现绿色提示框，表示本地保存成功，如下图所示。

9打开手机屏幕界面，找到“图库”选项，如下图所示。

10在打开的相册中，刚刚保存的表情包已经保存，如下图。

https://iknow-pic cdn BCE Bos com/b 8389 b 504 fc2d 5627 fc 8998 cf 71190 ef 77 c 66 c 8 b？x-BCE-process = image % 2f resize % 2Cm _ lfit % 2Cw _ 600% 2Ch _ 800% 2c limit _ 1% 2f quality % 2Cq _ 85% 2f format % 2Cf _ auto

限制损害：DDoS 缓解技术

一旦您知道自己正面临 DDoS 攻击，就该进行缓解了。 准备战斗！

物理设备    在 DDoS 攻击期间管理物理设备在很大程度上仍然是与其他缓解工作不同的类别。 通常称为设备，物理设备是分开的，因为 DDoS 模式和流量是如此独特和困难 来正确识别。 即便如此，设备可以非常有效地保护小型企业免受 DDoS 攻击。    

云擦洗设备    这些服务通常被称为清洗中心，插入在

DDoS 流量和受害网络之间。 他们获取针对特定网络的流量，并将其路由到不同的位置，以将损害与预期来源隔离开来。

清理中心清理数据，只允许合法的业务流量传递到目的地。 清理服务的示例包括由 Akamai、Radware 和 Cloudflare 提供的服务。    

多个互联网服务连接    由于 DDoS 攻击经常试图用流量淹没资源，因此企业有时会使用多个 ISP 连接。 如果单个 ISP 不堪重负，则可以从一个切换到另一个。    

黑洞    这种 DDoS 缓解技术涉及使用云服务来实施称为数据接收器的策略。 该服务将虚假数据包和大量流量引导到数据接收器，在那里它们不会造成任何伤害。    

内容交付网络 (CDN)    这是一组地理位置分散的代理服务器和网络，通常用于 DDoS 缓解。 CDN 作为一个单元工作，通过多个骨干网和 WAN 连接快速提供内容，从而分配网络负载。 如果 当一个网络被 DDoS 流量淹没时，CDN 可以从另一组未受影响的网络传送内容。    

负载平衡服务器    通常部署用于管理合法流量，负载平衡服务器也可用于阻止 DDoS 攻击。 当 DDoS 攻击正在进行时，IT 专业人员可以利用这些设备将流量从某些资源转移。    

Web 应用防火墙 (WAF)    WAF

用于过滤和监控 HTTP 流量，通常用于帮助缓解 DDoS 攻击，并且通常是 AWS、Azure 或 CloudFlare

等基于云的服务的一部分。 虽然有时有效，但专用设备或基于云的洗涤器 通常建议改为。 WAF 专注于过滤到特定 Web 服务器或应用程序的流量。

但是，真正的 DDoS 攻击集中在网络设备上，从而拒绝最终为 Web 服务器提供的服务。 仍然， 有时可以将 WAF

与其他服务和设备结合使用以响应 DDoS 攻击。    

市场上几乎所有的 DDoS 缓解设备都使用相同的五种机制：

签名

行为或 SYN 洪水

基于速率和地理位置：如上所述，这通常不可靠。

僵尸网络检测/IP 信誉列表：使用列表的成功与否取决于列表的质量。

挑战与回应

DDoS 缓解服务

目前市面上很多应对DDOS的防御服务，这里主机吧简单介绍几种。

DDoS 缓解供应商    提供的服务    

高防服务器    托管于高防数据中心的服务器，适合网站、游戏等服务    

高防IP    通过高防机房资源配合防御软件，可防网站、app、游戏等业务。    

高防CDN    利用多地防御节点，分布式防御的服务，适用于网站、APP业务。    

游戏盾    专为游戏行业定制，针对性解决游戏行业中复杂的DDoS攻击、游戏CC攻击等问题。    

WAF防火墙    Web应用防火墙对网站或者APP的业务流量进行恶意特征识别及防护，将正常、安全的流量回源到服务器，适用于网站、APP业务。    

高防DNS    顾名思义就是一种高防域名系统，可防御DNS攻击。    

首先，用户要去尝试了解攻击来自于何处，原因是黑客在攻击时所调用的IP地址并不一定是真实的，一旦掌握了真实的地址段，可以找到相应的码段进行隔离，或者临时过滤。同时，如果连接核心网的端口数量有限，也可以将端口进行屏蔽。

相较被攻击之后的疲于应对，有完善的安全机制无疑要更好。有些人可能会选择大规模部署网络基础设施，但这种办法只能拖延黑客的攻击进度，并不能解决问题。与之相比的话，还不如去“屏蔽”那些区域性或者说临时性的地址段，减少受攻击的风险面。

此外，还可以在骨干网、核心网的节点设置防护墙，这样在遇到大规模攻击时，可以让主机减少被直接攻击的可能。考虑到核心节点的带宽通常较高，容易成为黑客重点攻击的位置，所以定期扫描现有的主节点，发现可能导致风险的漏洞，就变得非常重要。

分布式拒绝服务攻击（Distributed Denial of Service），是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。

DDoS 是一种基于 DoS 的特殊形式的拒绝服务攻击。单一的 DoS 攻击一般是采用一对一方式，利用网络协议和操作系统的缺陷，采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与 DoS 相比，DDos 借助数百上千台攻击机形成集群，发起的规模更大，更难防御的一种进攻行为。

ICMP 用于在 IP 主机，路由器之间传递控制消息（网络是否连通，主机是否可达，路由是否可用等）。ICMP 虽然不传递用户数据，但是对于用户数据的传递起着重要的作用。ICMP Flood 通过对目标系统发送海量的数据报，就可以令目标主机瘫痪，形成洪泛攻击。

UDP 协议是一种无连接的协议，在 UDP Flood 中，攻击者通常发送大量伪造 IP 地址的 UDP 报去冲击 DNS 服务器，Radius 认证服务器，流媒体视频服务器等，造成服务不可用。 上述的两种是比较传统的流量型攻击，技术含量较低，以占满网络带宽使得正常用户无法得到服务为攻击方式，攻击效果通常依赖于攻击者本身的网络性能，而且容易被查找攻击源头。

NTP 是标准的基于 UDP 协议的网络时间同步协议。由于 UDP 无连接的特性，NTP 服务器并不能保证收到报文的源 IP 的正确性。所以，攻击者通过将 IP 报文的源 IP 地址换为靶机的 IP 地址，并向 NTP 服务器发送大量的时间同步报文，这样，NTP 服务器的响应报文就会达到靶机上，沾满靶机网络段的带宽资源，同时也很难去追溯攻击源头。

SYN Flood 是一种利用 TCP 协议缺陷，发送大量伪造的 TCP 连接请求，从而使目标服务器资源耗尽的攻击方式。如果客户端只发起第一次握手，而不响应服务端的第二次握手，那么这条连接就处于半连接状态，服务端会维持这条连接一段时间（SYN Timeout）并不断地重试。但攻击者大量的模拟这种情况，就会沾满整个服务端的连接符号表，并消耗大量的 CPU 资源进行重试操作。而对于 SNY Flood 的防御目前有两种常见的方式，一种是算短 SYN Timeout，另一种是设置 SYN Cookie，并开辟一个数组存放 Cookie，单连接没有真正建立时，不去占用连接符号表。

DNS Query Flood 通过操纵大量的傀儡机，向本网段的域名服务器发送大量域名解析请求，通常这些请求解析的域名是随机生成或网络上根本不存在的域名，由于本地域名服务器无法找到对应的结果，就会通过层层上次给更高级的域名服务器，引起连锁反应，导致本网段内的域名解析服务瘫痪，但一般最多只会瘫痪一小段网络。

HashDos 是一种新型的，基于 Hash 碰撞形成的攻击。随着现在 RESTful 风格的不断普及，json 格式作为数据传输的格式愈发成为主流。但是 json 反序列化为对象时，底层是通过 hash 算法来将字段与属性，属性值进行一一匹配。所以，一旦攻击者知道了我们序列化方式，构造出一段具有严重哈希碰撞的 json 数据，就会使我们服务端序列化的复杂度从 O(1) 暴增到 O(n)。

DDos 的防御主要有两种，一种是针对流量带宽，一种是针对服务端资源。流量带宽一般需要通过运营商采用 ISP 黑洞，近源清洗等策略，在源头（即攻击者所在的网段）进行拦截，而不是等到所有的细流汇聚成猛水时才进行拦截。

而对于服务端的资源，则是当下 DDos 的重灾区，本文以攻防对抗的方式讲述 DDos 的发展历程。

参考文献：