怎么防御ddos攻击?

发布网友 发布时间：2022-04-24 20:23

我来回答

共4个回答

热心网友 时间：2023-10-09 19:00

　　DDOS攻击是最常见的网络攻击方式之一，到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻：DDoS就好像有1,000个人同时给你家里打电话，这时候你的朋友还打得进来吗?不过即使它难于防范，也不是说我们就应该逆来顺受，实际上防止DDoS并不是绝对不可行的事情。下面锐速云介绍几种措施：
　　1、采用高性能的网络设备引首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、 口碑好的产品。
再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量*来对抗某些种类的DDOS攻击是非常有效的。
　　2、尽量避免 NAT 的使用无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换 NAT
的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT 需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多 CPU
的时间，但有些时候必须使用 NAT，那就没有好办法了。
　　3、充足的网络带宽保证网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗当今的SYNFlood 攻击，
至少要选择 100M 的共享带宽，最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M 的并不意味着它的网络带宽就是千兆的，若把它接在
100M 的交换机上，它的实际带宽不会超过100M，
再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上*实际带宽为10M，这点一定要搞清楚。
　　4、找专业的网络安全防护公司比如锐速云这类的高防公司为您架设防御系统，锐速云无需客户迁移机房就能有阻止DDOS和CC攻击，实现DDOS云防护清洗、
强效抵抗CC攻击;支持HTTPS及最新的HTTP/2协议，HTTPS全链路支持，具备T级超强防护能力，最新自研指纹识别架构WAF防火墙，提供1T超大防护宽带，单IP防护能力最大可达数百G，超大宽带，从容应对超大流量攻击。全方位保护游戏企业的服务器，有预防性的构建网络防御部署，消除网络安全隐患。

热心网友 时间：2023-10-09 19:01

攻击者是控制一个足够大的分布式集群来发起攻击，各种杂七杂八的包，什么都会有。根本不在乎你开的什么服务，也没那耐心分析你有什么服务。比如哪怕你根本没开UDP的任何服务，但他就是发一大堆UDP的包，把你带宽占满。还有啥办法。

十多年前的OS还没法应付大量TCP并发连接，于是那个年代有个SYN flood攻击，就是一大堆SYN包尝试握手。现代也有，效果大不如前，但是仍然在大流量下可以阻塞受害者的通信能力。
更现实的问题在于，机房的总带宽有限。当你的服务器IP段受到攻击时，他会直接找上级接入商将发给你的包在主干网上都丢掉。此时虽然知道自己正在被DDoS攻击，但攻击包根本就没到机房，更别说服务器，于是只能是守着服务器，毫无流量，等待。
上级接入商大多是垄断国企，根本没耐心跟你做任何深层次合作，直接丢包是最简单方便的方法。同时，即便此时攻击者停止了攻击，你也不知道。而想要上级接入商重新开启给你的包转发，动则就是个一天的流程。而一旦发现攻击还没完，就立刻又是丢包。
那几年被攻击时，也火烧火燎的找办法。尝试将网站部署到云计算平台上，依靠对方提供的带宽冗余来顶。甚至可能只是拼短期带宽的费用。当时国内的云计算提供商试了好几家，最终都因为没有足够的带宽应对攻击而拒绝了我们。他们都是出于对果壳网的喜爱和免费帮忙的，能做到这一步也挺不容易了。
有人提到攻击弱点，我感觉真正这样花费精力去分析的攻击者其实不多见。不过大多攻击确实会避开一些明显抗攻击能力不错的点，比如很多网站的首页会做静态化，所以攻击首页就不划算。图片同理，对CPU消耗太小了。
几个常见的弱点：
1、登录认证
2、评论
3、用户动态
4、ajax api
总之涉嫌写数据库，联表查询，缓存涧出的都是好目标。
所以，回答就是：没有啥好办法，耐心等待吧。
看了其他几个回答提供的方案，分别分析一下：
1、拼带宽：或者说拼软妹币，这不是一点点钱能搞定的，果壳网彼时只买了不足100M带宽，所在早期机房总带宽也不足40G，攻击带宽都没见过低于10G的(机房的人后来告诉我的)。假设某便宜机房(肯定不在北上广深)，带宽价格为100元/M*月，每月按峰值计费。则要买10G带宽顶一下，需要的月费是100万，100万……
2、流量清洗&封IP：如前述，要这么做的前提是攻击包至少要到你的机房。而机房自保的措施导致了数据包根本到不了机房，无解
3、CDN服务：现代CDN提供商还没有完善的动态网页加速技术，所以结果就是，你充其量利用CDN保住静态化的主页可以访问，其他任何动态网站功能就只能呵呵了。

热心网友 时间：2023-10-09 19:01

1.及时更新系统补丁;
2.安装查杀软硬件，及时更新病毒库;
3.设置复杂的口令，降低系统被控制的可能性;
4.关闭不必要的端口与服务;
5.经常检测网络的脆弱性，发现问题及时修复;
6.对于重要的Web服务器可以建立多个镜像实现负载均衡，在一定程度上减轻DDOS的危害。

热心网友 时间：2023-10-09 19:02

对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。1、采用高性能的网络设备
2、尽量避免NAT的使用
3、充足的网络带宽保证
4、升级主机服务器硬件
5、把网站做成静态页面
6、增强操作系统的TCP/IP栈