CSDN，作者賴忠标

分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術，将多個計算機聯合起來作為攻擊平台，對一個或多個目标發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。

通常，攻擊者将攻擊程序通過代理程序安裝在網絡上的各個“肉雞”上，代理程序收到指令時就發動攻擊。

網絡層攻擊：比較典型的攻擊類型是UDP反射攻擊，例如：NTP Flood攻擊，這類攻擊主要利用大流量擁塞被攻擊者的網絡帶寬，導緻被攻擊者的業務無法正常響應客戶訪問。

傳輸層攻擊：比較典型的攻擊類型包括SYN Flood攻擊、連接數攻擊等，這類攻擊通過占用服務器的連接池資源從而達到拒絕服務的目的。

會話層攻擊：比較典型的攻擊類型是SSL連接攻擊，這類攻擊占用服務器的SSL會話資源從而達到拒絕服務的目的。

應用層攻擊：比較典型的攻擊類型包括DNS flood攻擊、HTTP flood攻擊、遊戲假人攻擊等，這類攻擊占用服務器的應用處理資源極大的消耗服務器處理性能從而達到拒絕服務的目的。

這裡我們分享一些在一定程度範圍内，能夠應對緩解DDOS攻擊的策略方法，以供大家借鑒。

1、确保服務器的系統文件是最新的版本,并及時更新系統補丁。

2、管理員需對所有主機進行檢查，知道訪問者的來源。

3、關閉不必要的服務：在服務器上删除未使用的服務，關閉未使用的端口。

4、限制同時打開的SYN半連接數目,縮短SYN半連接的time out 時間,限制SYN/ICMP流量。

5、正确設置防火牆，在防火牆上運行端口映射程序或端口掃描程序。

6、認真檢查網絡設備和主機/服務器系統的日志。隻要日志出現漏洞或是時間變更,那這台機器就可能遭到了攻擊。

7、限制在防火牆外與網絡文件共享。這樣會給黑客截取系統文件的機會,若黑客以特洛伊木馬替換它，文件傳輸功能無疑會陷入癱瘓。

1、隐藏服務器真實IP

服務器防禦DDOS攻擊最根本的措施就是隐藏服務器真實IP地址。當服務器對外傳送信息時就可能會洩露IP，例如，我們常見的使用服務器發送郵件功能就會洩露服務器的IP。

因而，我們在發送郵件時，需要通過第三方代理發送，這樣子顯示出來的IP是代理IP，因而不會洩露真實IP地址。在資金充足的情況下，可以選擇高防服務器，且在服務器前端加CDN中轉，所有的域名和子域都使用CDN來解析。

2、關閉不必要的服務或端口

這也是服務器運維人員最常用的做法。在服務器防火牆中，隻開啟使用的端口，比如網站web服務的80端口、數據庫的3306端口、SSH服務的22端口等。關閉不必要的服務或端口，在路由器上過濾假IP。

3、購買高防提高承受能力

該措施是通過購買高防的盾機，提高服務器的帶寬等資源，來提升自身的承受攻擊能力。對于普通中小企業甚至不合适，且不被攻擊時造成服務器資源閑置，所以這裡不過多闡述。

4、限制SYN/ICMP流量

用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬，這樣，當出現大量的超過所限定的SYN/ICMP流量時，說明不是正常的網絡訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防範DOS的方法，雖然目前該方法對于DdoS效果不太明顯了，不過仍然能夠起到一定的作用。

5、網站請求IP過濾

除了服務器之外，網站程序本身安全性能也需要提升。以小編自己的個人博客為例，使用cms做的。系統安全機制裡的過濾功能，通過限制單位時間内的POST請求、404頁面等訪問操作，來過濾掉次數過多的異常行為。雖然這對DDOS攻擊沒有明顯的改善效果，但也在一定程度上減輕小帶寬的惡意攻擊。

6、部署DNS智能解析

通過智能解析的方式優化DNS解析，可以有效避免DNS流量攻擊産生的風險。同時，建議您将業務托管至多家DNS服務商。

1. 屏蔽未經請求發送的DNS響應信息
2. 丢棄快速重傳數據包
3. 啟用TTL
4. 丢棄未知來源的DNS查詢請求和響應數據
5. 丢棄未經請求或突發的DNS請求
6. 啟動DNS客戶端驗證
7. 對響應信息進行緩存處理
8. 使用ACL的權限
9. 利用ACL，BCP38及IP信譽功能

7、提供餘量帶寬

通過服務器性能測試，評估正常業務環境下所能承受的帶寬和請求數。在購買帶寬時确保有一定的餘量帶寬，可以避免遭受攻擊時帶寬大于正常使用量而影響正常用戶的情況。

目前而言，DDOS攻擊并沒有最好的根治之法，做不到徹底防禦，隻能采取各種手段在一定程度上減緩攻擊傷害。所以平時服務器的運維工作還是要做好基本的保障。

聲明：我們尊重原創者版權，除确實無法确認作者外，均會注明作者和來源。轉載文章僅供個人學習研究，同時向原創作者表示感謝，若涉及版權問題，請及時聯系小編删除！

精彩在後面

Hi，我是超級盾

更多幹貨，可移步到，超級盾訂閱号！精彩與您不見不散！

超級盾：從現在開始，我的每一句話都是認真的。

如果，你被攻擊了，别打110、119、120，來這裡看着就行。

截至到目前，超級盾成功抵禦史上最大2.47T黑客DDoS攻擊，超級盾具有無限防禦DDoS、100%防CC的優勢。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!