当前位置：公众IT > 技术文章 > 如何解决ddos攻击？

如何解决ddos攻击？

新闻来源：互联网资料整理发布时间：2023/4/5 14:06:18 共计：4632 浏览

阿里云和腾讯云也不能否定他们无法防御，而是他们由于是外拉带宽的关系，防御成本太高了，很多用户无法承受这么高昂的防御费用，面对大的流量攻击问题，建议大家用直营机房的机器，价格对比某些知名云要低，但是防护效果要好很多，因为直营机房是和电信机房合作，拥有充足的带宽环境做防御，能让你对比某些平台花更少的钱得到更好的防护能力

这个问题在我们2017年撰写过的文章里针对DDoS攻击量级、特点以及本地防御的缺陷有过具体分析，过去了将近两年，DDoS的攻击量级必然有了大幅增长，但是它本身使用的技术手段、常见类型与之前差别是不大的，所以我把那篇文章去掉一些无用信息，贴上来给大家参考下。

过去的2016年，对于全球网络安全来说可能是历史上最黑暗的一年之一。

这一年里，一系列影响重大的安全事件接连曝出，用“令人印象深刻”已不足以形容。

透过这些事件，我们看到了过去一年全球网络安全形势的一些新变化。而其中最令人瞩目的变化之一当属DDoS攻击在规模和杀伤力上的戏剧性惊人增长。

……

在2016年初，我们所注意到的最大规模DDoS攻击流量大约为500Gbps。

而在2016年的后几个月，我们发现有多重DDoS攻击流量接近突破1Tbps。

这些DDoS攻击皆由黑客们通过基于物联网的僵尸网络（IoT-based botnet，比如Mirai的变种）发起，并以此牟利。

相比这些触目惊心的数字，一个有趣的事实是绝大多数DDoS攻击流量数值要小的多的多。根据Arbor公司2016年ALTAS统计报告，80%的DDoS攻击流量要小于1Gbps。

……

这是怎么一回事？

对于容量耗尽型DDoS攻击（volumetric DDoS attacks）来说，它并不需多大规模即可造成影响，它只需要与你的网络管道一样大。换言之，发动一次容量耗尽型DDoS攻击要比想象中容易的多。

而在我印象里，大部分机构（当然不包括服务提供商）的公网带宽要小于1Gbps，这也意味着它们面临DDoS攻击威胁时会非常脆弱。

下面是另一项统计，根据Arbor公司发布的第十二份《全球基础设施安全报告》，41％的企业和政府机构和60％的数据中心运营商报告他们所受到的DDoS攻击超过了互联网总带宽。

历史上，发动一次DDoS攻击从未像现在这般容易，一次持续一小时的攻击甚至仅需5美元。

与此同时，很多机构对于DDoS攻击威胁却依然保留着一些错误认知。

◆ 一些人认为自己不会成为攻击的目标，即便遇到DDoS攻击造成的服务中断，他们也会将之归咎于设备故障或者操作失误。

◆ 而另一些人则认为仅靠防火墙、入侵防御系统(IPS)这样的基础设施以及由互联网服务提供商（ISP）/内容分发网络（CDN）提供的单层防护即可抵御威胁。

然而，指望这种防护便能远离DDoS攻击威胁终究只是美好的愿望。

◆ 首先，防火墙/IPS作为状态型设备，在进行网络连接的状态检测时,易被作为DDoS攻击目标。

◆ 其次，ISP/CDN提供的单层防护无法为关键业务应用程序提供足够的保护。

如今，我们人人都可能成为DDoS攻击的受害者。因此将多层防御体系DDoS防护产品作为保险性投资无疑必要且迫在眉睫。

一个显而易见的事实是，面对那些足够撑爆网络管道的资源耗尽型攻击，只有一个方法可以让你的机构免于威胁，那就是连上上游互联网服务提供商（ISP）或者安全托管服务提供商（MSSP）进行云上防御。

……

那么具体如何处理DDoS攻击威胁呢？

充分的准备是抵御DDoS攻击的关键，你需要完成以下两步来应对威胁。

— 第一步 —

在本地部署应用层阻止DDoS攻击，在本地部署环境能更有效保护那些最重要的服务。确保本地部署内嵌专用产品可以阻止外来DDoS攻击及其他威胁。这些产品部署在防火墙之前，他们也可以用于阻止“受伤”主机访问外部。

另外，由于DDoS攻击发起时毫无征兆，于是自动化便成为防范DDoS攻击中的关键。本地部署产品需要能够完成自动检测，并在察觉即将被大规模容量耗尽型DDoS攻击攻陷时，能够通过云信令（Cloud Signal）来请求云上支援。

— 第二步 —

下一步则是在线路被攻击流量占满或者现场安全设置被攻陷之前，在云上阻止容量耗尽型DDoS攻击。理想的系统是这样的，本地部署检测设施在受到DDoS攻击时，与上游通信，动态重新规划路由网络，将流量引入到清洗中心（scrubbing center），在那里将恶意DDoS流量清洗掉，然后干净的流量再被引出。而这正是应对大规模攻击的关键。

最后，云上和本地部署两个环境之间需要能够进行智能通信，以阻止动态多重矢量攻击。你得确保解决方案能持续获取威胁情报支持，以进行相应处理。

DDoS仅需要在规模上与你的互联网管道同等大小，便可对所在组织网络安全产生影响。为最小化DDoS攻击影响，始终开启检测和云上自动缓解清洗当是明智之选。

OK，作为一枚企业资讯头条号，科普结束后打个广告↓↓↓

青松云安全作为专业安全托管服务提供商（MSSP），拥有自主研发多层级防御体系，混合云方案同时具备本地私有云实时检测高响应低延迟特点和公有云面对大规模流量攻击的清洗优势，速度安全亦可兼顾，精确全面的设计为缓解DDoS攻击提供强劲助力。

感请！

DDoS攻击是一种最常见的网络攻击，它是通过TCP/IP协议的三次握手进行攻击的。是通过伪造大量的源IP地址，然后分别向服务器端发送大量的SYN包，这个时候服务器端会返回SYN/ACK 包，而伪造的IP端不会应答，服务器端没有收到伪造的IP的回应，会进行重试机制，3~5次并等待一个SYN的时间（30s-2min），如果超时则丢弃。通过大量的网络请求，消耗服务器的资源。完全防护这种攻击还是蛮有难度的。一般会有几种方式：

方法1：

路由器、交换机、硬件防火墙等设备采用一些知名度高、口碑好、质量高的产品，假如攻击发生的时候用流量限制来对抗这些攻击是可行的方法。另外使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP

方法二

在应用程序中对每个“客户端”做一个请求频率的限制，或者从网站的代码上实行优化。将数据库压力转到内存中，及时的释放资源。显示每个IP地址的请求频率，根据IP 地址和 User Agent 字段，进行过滤。

方法三

部署CDN,CDN可以把网站的静态内容分发到多个服务器，可以进行带宽扩容，增大访问量，提高承受攻击的能力。

最简单的办法就是把网页做成静态页面的。

些许拙见，供您参考。

从事互联网开发多年，欢迎大家骚扰

说起对DDOS防御问题，这个对很多站长来说都是很头疼的事儿，以为一旦被DDOS攻击，除了关闭服务器好像都没有很好的办法。这时候站长们会发现网上各个平台所谓的世界先进软防/硬防都是摆设了。

其实，就我自己的经验（我自己去年一直被人恶意CC/DDOS攻击），在被DDOS攻击后，最好的办法就是停掉DNS解析，让DDOS的攻击变成没有意义的攻击，这样攻击者购买来的攻击流量也就白白浪费了（免费的攻击流量一般都很好拦截，拦截防御不了的基本可以断定是购买来的代理流量了），然后有条件的话就变更一下服务器的IP地址，重新上线网站，不过，在上线直接一定要部署好服务器本地的防火墙安全策略，还要给新的IP地址的服务器上个免费的 CDN 服务（当然，收费的最好了！），比如：百度云加速、360网站卫士、又拍云等等这些有WAF功能的 CDN 服务。这样主要是起到隐藏服务器真实IP的目的，攻击者没有服务器的真实IP就只能针对域名来实施攻击，因为用了 CDN 加速，所以攻击也就是造成某个 CDN 节点失效而已，不会对网站整体访问率有多大的影响。服务器本身的防火墙策略也可以阻挡一部分针对域名的攻击行为，结合 CDN 自身的WAF防御就分解了攻击流量，服务器的负载会逐步下降。基本上我就是这么应对几次的CC/DDOS攻击的，实践证明是成功的！

关于平时的防御你可以看看【博客网站由内而外的安全防御思路】我的博客文章，其实最重要的就是隐藏自己真实的IP地址，只有隐藏了真实的IP地址才能真正的阻挡DDOS攻击，这是基础，这也为什么我一直给站长们讲的，能用 CDN 就一定要用个 CDN ！在互联网这个“黑暗森林”里隐藏自己才是活下去的第一要素呀！

参考资料【博客网站由内而外的安全防御思路】

一个十年草根博客站长（imydl.com）熟悉 WordPress 、 Typecho 博客平台创建、运营网站，多年VPS服务器运维经历，实践经验丰富，在这里为您解答专业方面的所有疑问！