分布式拒绝服务(ddos:distributed denial of service)攻击是指借助客户机/服务器技术，将多台计算机组合成一个攻击平台，对一个或多个目标发起DDOS攻击，从而成倍增加拒绝服务攻击的威力。

    通常，攻击者通过代理在网络上的各种“肉鸡”上安装攻击程序，代理在收到指令后发起攻击。

    常见的ddos攻击类型:

    网络层攻击:典型的攻击类型是Udp反射攻击，比如ntp Flood攻击。这种攻击主要是利用大流量来堵塞攻击者的网络带宽，导致攻击者的业务无法正常响应客户的访问。

    传输层攻击:典型的攻击类型包括sYn Flood攻击、连接号攻击等。这些攻击通过占用服务器的连接池资源来达到拒绝服务的目的。

    会话层攻击:典型的攻击类型是ssL连接攻击，占用服务器的ssL会话资源，达到拒绝服务的目的。

    应用层攻击:典型的攻击类型有dns flood攻击、Http flood攻击、游戏假人攻击等。这些攻击占用服务器的应用处理资源，极大地消耗服务器的处理性能，从而达到拒绝服务的目的。

    Ddos攻击响应策略

    在此，我公司分享一些可以在一定程度上应对和减轻ddos攻击的策略和方法，供大家参考。

    首先，确保服务器系统的安全性

    1.确保服务器的系统文件是最新版本，及时更新系统补丁。

    2.管理员需要检查所有主机，了解访客来源。

    3.关闭不必要的服务:删除服务器上不用的服务，关闭不用的端口。

    4.限制同时打开的sYn半连接的数量，缩短sYn半连接的超时时间，限制sYn/icmp流量。

    5.正确设置防火墙，并在防火墙上运行端口映射器或端口扫描器。

    6.仔细检查网络设备和主机/服务器系统的日志。只要日志有漏洞或者时间变化，这台机器就有可能被攻击。

    7.限制与防火墙外的网络文件共享。这会给黑客截取系统文件的机会。如果黑客用木马取而代之，文件传输功能无疑会瘫痪。

    其他方法

    1.隐藏服务器的真实ip

    防止服务器遭受ddos攻击的最根本措施是隐藏服务器的真实ip地址。当服务器向外界传输信息时，ip可能会被泄露。比如我们常用的使用服务器发送邮件的功能，就会泄露服务器的ip。

    所以我们发邮件的时候需要通过第三方代理发送，所以显示的ip是代理ip，所以不会泄露真实的ip地址。如果资金充足，可以选择高防 server，在服务器前端添加cdn transit。所有域名和子域都由cdn解析。

    使用我公司的ddos 高防ip后，您可以将域名解析为我公司的ddos 高防ip转发的您的真实ip地址，从而达到隐藏您真实ip的目的。使用源隐藏功能后，您的网站源ip将不再暴露，攻击者将无法直接攻击您的网站服务器。

    2.关闭不必要的服务或端口。

    这也是服务器运维人员最常见的做法。在服务器防火墙中，只开放使用的端口，如网站web服务的端口80、数据库的端口3306、ssH服务的端口22等。关闭不必要的服务或端口，过滤路由器上的假ip。

    3.购买高防以提高经济性

    措施是购买高防 shield机，提高服务器等资源的带宽，从而提高其抵御攻击的能力。甚至不适合普通中小企业，服务器资源在不被攻击的情况下是闲置的，这里就不细说了。

    4.限制sYn/icmp流量

    用户应该在路由器上配置sYn/icmp的最大流量，以限制sYn/icmp数据包可以占用的最大带宽。这样，当出现大量超过限定的sYn/icmp的流量时，就说明不是正常的网络访问，而是黑客入侵。在早期阶段限制sYn/icmp流量是防止dos的最佳方法。虽然目前这种方法对ddos的效果并不明显，但还是能起到一定的作用。

    5.该网站要求ip过滤

    除了服务器，网站程序本身的安全性能也需要提升。以边肖自己的个人博客为例，使用cms。系统安全机制中的过滤功能，通过限制post请求、单位时间404页等访问操作，过滤掉过多的异常行为。虽然这对ddos攻击没有明显的改善作用，但也在一定程度上减少了小带宽的恶意攻击。

    6.部署dns智能解析

    通过智能解析优化dns解析，可以有效规避dns流量攻击的风险。同时，建议您将业务托管给几家dns服务提供商。

    阻止未经请求的dns响应信息

    丢弃快速重传数据包

    启用ttL

    丢弃来自未知来源的dns查询请求和响应数据

    放弃未经请求或突发的dns请求

    开始dns客户端身份验证

    缓存响应信息。

    使用AcL的权限

    使用AcL、bcp38和ip信誉功能

    7.提供余量带宽。

    通过服务器性能测试，评估正常业务环境下可以承载的带宽和请求数量。在购买带宽时，保证有一定的余量带宽，可以避免带宽被攻击时大于正常使用的情况，从而影响正常用户。

    8 、高防cdn .

    cdn的全英文名称是Content Distribution Network。通过在网络的不同地方部署边缘节点服务器，用户可以在最短的距离和时间内得到自己需要的东西，从而避免单个节点带来的网络拥塞和信息延迟。因为cdn可以在全网内排列节点，隐藏原服务器的ip地址，所以除了加快网络服务速度，cdn还可以作为高防 server使用。相对于临时租用高防带宽，高防cdn的价格极其便宜。比如我们公司的高防cdn，50g防御的起步价每月只要5999元，成本不到租用带宽防御的1/10。

    总结

    目前对于ddos攻击还没有最好的治愈方法，所以也不能完全防御。我们只能采取各种措施将攻击伤害减缓到一定程度。所以平时服务器的运行维护还是要做好基本保障的。