如何防御DDOS的攻击？

网友解答: 现如今网络安全的重要性愈发明显，虽然黑客攻击需要成本，需要技术，但仍避免不了遭遇恶意的攻击。而作为防御方却也只能尽其所能防患于未然，目前来说解决服务器被DDOS攻击最普遍的方

现如今网络安全的重要性愈发明显，虽然黑客攻击需要成本，需要技术，但仍避免不了遭遇恶意的攻击。而作为防御方却也只能尽其所能防患于未然，目前来说解决服务器被DDOS攻击最普遍的方法莫过于使用硬件防火墙，也即是常见的高防服务器。众所周知，高防服务器都会带有一定量的硬防，或大或小，却存在一个问题，高防服务器起到的作用只是说能够撑住一定量的DDOS，而对于如今五花八门的DDoS攻击来说，那些出口才几个G的二三线机房是明显是撑不住多久的，而像某云那样的大企业也不会给你调整他有数千个客户的共用防火墙。其实应对DDOS最有效的办法，不是一个防御方案，也不是一个什么高防服务器，而是一个可以快速应变、分析能力強、能深度理解你们程序架构的可靠团队。以下就是优与云科技技术团队给大家提供的应对方法：

1、定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

2、在骨干节点配置防火墙

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

3、用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

4、充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。

5、过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

6、检查访问者的来源

使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。

7、过滤所有RFC1918 IP地址

RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。

8、限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。

注意事项

如果你正在遭受DDOS攻击，那能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性DDOS攻击冲向，很可能在你还没回过神之际，网络就已经瘫痪。但还是可以抓住机会寻求一线希望的。

首先可以检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。

其次找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DdoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。

最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。

不知道你是否遇到过服务器因为DDOS攻击都瘫痪的情况，就网络安全而言目前最让人担心和害怕的入侵攻击，莫过于DDOS攻击。因为它和传统的攻击不同，采取的是仿真多个客户端来连接服务器，造成服务器无法完成如此多的客户端连接，从而无法提供服务。在防不胜防的情况下只能说尽量的提高防御，积极应对，做好防损措施，及时向专业人士寻求帮助，以免遭受白白的损失。

过去，公有云服务提供商依靠其强大的基础设施和带宽资源，成为饱受DDoS摧残的网站的避风港。但是面对峰值高达665Gbps的物联网DDoS攻击，美国著名云计算服务提供商Akamai的工程师曾经一度尝试“兵来将挡，水来土掩”，但最后全线告急不得不“丢卒保车”，放弃了对Kebs网站的庇护。

据云清联盟安全报告数据显示，物联网已经成为新的重要DDoS攻击源，黑客通过恶意代码传播、扫描企业网站扫描、探测等多种组合的流程化攻击，控制大量僵尸网络；且攻击方式向两极化发展，慢速攻击、混合式攻击占比不断增大，使得检测防御的难度成倍增加；1.5T的峰值记录的被刷新、100G攻击次数增长100%、日均攻击次数增长110%，DDoS攻击的攻击规模及频率呈快速增长的态势。

种种情况表明，单打独斗已然不适用于抗D大战，各安全厂商间的优势互补、聚力联合、共同抵御已然成为抗D参与者的必然选择。因此在2015年由中国电信、华为、青松科技等公司共同成立了对抗云端网络攻击（目前主要的攻击形式为DDoS）的产业联盟——云清联盟。 “云清”指基于云端的流量清洗方案，联盟则旨在将全球运营商，MSSP服务提供商和IDC服务提供商的资源进行整合，构成一个云端的“DDoS防御生态系统”，统一的管理和调度，在上游更加彻底解决大流量DDoS攻击等云端网络攻击问题。

但是“云清”的功效如何，目前还有待观察。首先流量清洗的成本由谁来负担？如果是用户的话，现在动辄数十、上百G的攻击流量清洗费用价格不菲。免费提供的话，云清联盟又可以支持多久这个问题还需要去更进一步进行了解。

其次缺乏问责机制，只会让攻击肆无忌惮。随着云计算基础设施的建设，网络带宽资源的获取变得越来越容易。如果出现攻击者流量被清洗时，随意增加攻击流量，防御方要进行DDoS防御，需要不断购买带宽的情况，实际上受伤的最后还是用户。现在开始提倡攻击溯源是件好事，但溯源后要有什么样的行动，才是解决问题的具体手段。但目前来看，也还没有这方面的消息。

打个比方就是：DDoS攻击就好像是一伙流氓在砸用户的大门，以前只能把门关紧，不让他们打到家里就好。现在是把门扩大，大到流氓打不到你，用户还能正常做生意。但是扩门是要成本的，而且门好扩了的同时，流氓也更好招到了，最后搞不好还是要挨打。现在为什么轻易没有流氓在大街上闹事了？因为哪里都有摄像头，闹事就会被记录，最后查到到底谁是主犯谁是胁从，可以依法办理。可现在面对DDoS的时候，“云清”在部署摄像头，但看到了也没有办法去进一步治理。

所以说，防御DDoS目前来看最关键的还是需要有网络安全的立法。有法可依，违法必究之后，恶意的DDoS行为才会被制止，当然那个时候还会有一些溜门撬锁的小偷出现，但大规模的恶意打砸（DDoS）情况必然会越来越少了。

来自科技行者团队 老董