防御ddos攻击的11种方法,个人如何防御ddos攻击

相信目前有好多人对于个人如何防御ddos攻击这方面的内容都很感兴趣，如今小雨也是在网络上整理了一些关于防御ddos攻击的11种方法相关的信息分享给大家，希望可以解决你的疑问。

cc攻击其实就是DDOS的一种。CC攻击的原理是利用大量代理ip不断向网站发送数据包。这些要求是真实的。如果网站瞬间收到大量请求，会导致服务器资源耗尽，直至网站崩溃。因为CC攻击的门槛比较低，一般稍微懂点计算机基础的人都可以利用CC攻击软件对网站发起CC攻击。被DDoS攻击很尴尬。如果我们有好的DDoS防御方法，很多问题都会迎刃而解。来看看我们有哪些常用有效的方法来做好DDoS防御。对DDoS防御的认识：应对DDoS是一个系统工程，试图仅靠某个系统或产品来防范DDoS是不现实的。可以肯定的是，目前完全消除DDoS是不可能的，但是通过适当的措施，可以防止90%的DDoS攻击。因为攻击和防御都是有成本的，如果通过适当的措施增强抵抗DDoS的能力，就意味着攻击者的攻击成本增加，那么大部分攻击者就不会继续，放弃。比如我开了一家餐厅，正常情况下最多可以同时容纳30个人。你直接进餐厅，找个桌子点单，马上就可以吃了。很不幸，我得罪了一个流氓。他同时派了300个人进餐厅。这些人看起来都是正常的顾客，大家都说“快点吃吧”。但是餐厅的容量只有30人，不可能同时满足这么多的点餐需求。另外，他们把所有的门都堵上了，里三层外三层，正常吃饭的客人根本进不去，实际上让餐厅瘫痪了。这就是DDoS攻击，短时间内发起大量请求，耗尽服务器资源，无法响应正常访问，导致网站实际下线。DDoS中的DoS是拒绝服务的缩写，说明这种攻击的目的是中断服务。前面d是分布式的，意味着攻击来自四面八方而不是一个地方，所以更难防范。你关上前门，他从后门进来；你关上后门，他从窗户跳出去了。DDoS防御方法：1。要采用高性能的网络设备，首先要保证网络设备不能成为瓶颈。所以在选择路由器、交换机、硬件防火墙等设备时，尽量选择知名度高、口碑好的产品。如果与网络提供商有特殊关系或协议，那就更好了。当大量攻击发生时，要求他们限制网络连接处的流量来对抗某种DDoS攻击是非常有效的。2.尽量避免使用NAT。无论是路由器还是硬件保护墙设备，尽量避免使用网络地址转换NAT，因为这种技术会大大降低网络通信能力。其实原因很简单，因为NAT需要来回转换地址，转换过程中需要计算网络包的校验和，浪费了大量的CPU时间。但是有时候需要使用NAT，所以没有什么好的办法。3.充足的网络带宽保证了网络带宽直接决定了抵御攻击的能力。如果只有10M带宽，无论采取什么措施，都难以对抗目前的SYNFlood攻击。目前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上。但是需要注意的是，主机上的网卡是1000M并不代表它的网络带宽是千兆的。如果连接到100M的交换机，其实际带宽不会超过100M，而如果连接到100M的带宽，并不意味着会有百兆的带宽，因为网络服务提供商很可能会将交换机上的实际带宽限制在10M。这一点必须搞清楚。

4.升级主机服务器硬件。在保证网络带宽的前提下，请尽量升级硬件配置。要有效对抗每秒100，000个SYN攻击包，服务器的配置至少应该是P4 2.4G/DDR512M/SCSI-HD。CPU和内存起着关键作用。如果你有志强双CPU，就用吧。内存必须是DDR高速内存，硬盘应该是SCSI。不要贪图IDE的便宜，否则你会付出很高的性能价格。然后，网卡必须是3COM或者Intel等知名品牌的。如果是Realtek，应该在自己的PC上使用。5.使网站成为静态页面或伪静态页面。大量事实证明，将网站尽量做成静态页面，不仅可以大大提高抗攻击能力，也给黑客带来了很多麻烦。至少到现在为止，HTML的溢出还没有出现。看一看！门户网站如新浪、搜狐、网易等。主要是静态页面。如果不需要动态脚本调用，就拿到另一台单独的主机上，这样主服务器在被攻击时就不会被攻破。当然，放一些没有正确调用数据库的脚本也是可以的。另外，最好拒绝使用代理访问需要调用数据库的脚本，因为经验表明，使用代理访问你的网站80%是恶意的。6.增强操作系统的TCP/IP堆栈。Windows操作系统本身有一定的抵御DDoS攻击的能力，但默认不开启。开启的话可以抵御10000个左右的SYN攻击包，不开启的话只能抵御几百个。怎么开机？亲自阅读微软的文章！7.安装专业防DDoS防火墙

8.HTTP请求的拦截如果恶意请求有特征，处理起来很简单：直接拦截即可。HTTP请求一般有两个特征：IP地址和用户代理字段。例如，如果所有恶意请求都来自一个IP网段，那么拦截该IP网段就足够了。或者，如果他们的用户代理字段具有特征(包含特定的单词)，那么具有该单词的请求将被拦截。9.备份网站你应该有一个备份网站，或者至少有一个临时主页。如果生产服务器离线，可以马上切换到备份网站，所以没有办法。备份网站不一定全功能，但如果能静态全浏览，就能满足需求。最起码应该可以显示公告告诉用户网站有问题，正在全力修复。这个临时主页建议放在Github页面或者Netlify上。它们带宽大，可以应对攻击，而且都支持绑定域名，可以从源代码自动构建。10.部署cdn(推送

荐使用CDN）CDN 指的是网站的静态内容分发到多个服务器，用户就近访问，提高速度。因此，CDN 也是带宽扩容的一种方法，可以用来防御 DDOS 攻击。网站内容存放在源服务器，CDN 上面是内容的缓存。用户只允许访问 CDN，如果内容不在 CDN 上，CDN 再向源服务器发出请求。这样的话，只要 CDN 够大，就可以抵御很大的攻击。不过，这种方法有一个前提，网站的大部分内容必须可以静态缓存。对于动态内容为主的网站(比如论坛)，就要想别的办法，尽量减少用户对动态数据的请求。各大云服务商提供的高防 IP，背后也是这样做的：网站域名指向高防 IP，它提供一个缓冲层，清洗流量，并对源服务器的内容进行缓存。这里有一个关键点，一旦上了 CDN，千万不要泄露源服务器的 IP 地址，否则攻击者可以绕过 CDN 直接攻击源服务器，前面的努力都白费。搜一下”绕过 CDN 获取真实 IP 地址”，你就会知道国内的黑产行业有多猖獗。11. 其他防御措施以上几条对抗DDoS建议，适合绝大多数拥有自己主机的用户，但假如采取以上措施后仍然不能解决DDoS问题，就有些麻烦了，可能需要更多投资，增加服务器数量并采用DNS轮巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDoS攻击能力成倍提高，只要投资足够深入。

这个问题在我们2017年撰写过的文章里针对DDoS攻击量级、特点以及本地防御的缺陷有过具体分析，过去了将近两年，DDoS的攻击量级必然有了大幅增长，但是它本身使用的技术手段、常见类型与之前差别是不大的，所以我把那篇文章去掉一些无用信息，贴上来给大家参考下。

过去的2016年，对于全球网络安全来说可能是历史上最黑暗的一年之一。

这一年里，一系列影响重大的安全事件接连曝出，用“令人印象深刻”已不足以形容。

透过这些事件，我们看到了过去一年全球网络安全形势的一些新变化。而其中最令人瞩目的变化之一当属DDoS攻击在规模和杀伤力上的戏剧性惊人增长。

……

在2016年初，我们所注意到的最大规模DDoS攻击流量大约为500Gbps。

而在2016年的后几个月，我们发现有多重DDoS攻击流量接近突破1Tbps。

这些DDoS攻击皆由黑客们通过基于物联网的僵尸网络（IoT-based botnet，比如Mirai的变种）发起，并以此牟利。

相比这些触目惊心的数字，一个有趣的事实是绝大多数DDoS攻击流量数值要小的多的多。根据Arbor公司2016年ALTAS统计报告，80%的DDoS攻击流量要小于1Gbps。

……

这是怎么一回事？

对于容量耗尽型DDoS攻击（volumetric DDoS attacks）来说，它并不需多大规模即可造成影响，它只需要与你的网络管道一样大。换言之，发动一次容量耗尽型DDoS攻击要比想象中容易的多。

而在我印象里，大部分机构（当然不包括服务提供商）的公网带宽要小于1Gbps，这也意味着它们面临DDoS攻击威胁时会非常脆弱。

下面是另一项统计，根据Arbor公司发布的第十二份《全球基础设施安全报告》，41％的企业和政府机构和60％的数据中心运营商报告他们所受到的DDoS攻击超过了互联网总带宽。

历史上，发动一次DDoS攻击从未像现在这般容易，一次持续一小时的攻击甚至仅需5美元。

与此同时，很多机构对于DDoS攻击威胁却依然保留着一些错误认知。

◆ 一些人认为自己不会成为攻击的目标，即便遇到DDoS攻击造成的服务中断，他们也会将之归咎于设备故障或者操作失误。

◆ 而另一些人则认为仅靠防火墙、入侵防御系统(IPS)这样的基础设施以及由互联网服务提供商（ISP）/内容分发网络（CDN）提供的单层防护即可抵御威胁。

然而，指望这种防护便能远离DDoS攻击威胁终究只是美好的愿望。

◆ 首先，防火墙/IPS作为状态型设备，在进行网络连接的状态检测时,易被作为DDoS攻击目标。

◆ 其次，ISP/CDN提供的单层防护无法为关键业务应用程序提供足够的保护。

如今，我们人人都可能成为DDoS攻击的受害者。因此将多层防御体系ddos防护产品作为保险性投资无疑必要且迫在眉睫。

一个显而易见的事实是，面对那些足够撑爆网络管道的资源耗尽型攻击，只有一个方法可以让你的机构免于威胁，那就是连上上游互联网服务提供商（ISP）或者安全托管服务提供商（MSSP）进行云上防御。

……

那么具体如何处理DDoS攻击威胁呢？

充分的准备是抵御DDoS攻击的关键，你需要完成以下两步来应对威胁。

— 第一步 —

在本地部署应用层阻止DDoS攻击，在本地部署环境能更有效保护那些最重要的服务。确保本地部署内嵌专用产品可以阻止外来DDoS攻击及其他威胁。这些产品部署在防火墙之前，他们也可以用于阻止“受伤”主机访问外部。

另外，由于DDoS攻击发起时毫无征兆，于是自动化便成为防范DDoS攻击中的关键。本地部署产品需要能够完成自动检测，并在察觉即将被大规模容量耗尽型DDoS攻击攻陷时，能够通过云信令（Cloud Signal）来请求云上支援。

— 第二步 —

下一步则是在线路被攻击流量占满或者现场安全设置被攻陷之前，在云上阻止容量耗尽型DDoS攻击。理想的系统是这样的，本地部署检测设施在受到DDoS攻击时，与上游通信，动态重新规划路由网络，将流量引入到清洗中心（scrubbing center），在那里将恶意DDoS流量清洗掉，然后干净的流量再被引出。而这正是应对大规模攻击的关键。

最后，云上和本地部署两个环境之间需要能够进行智能通信，以阻止动态多重矢量攻击。你得确保解决方案能持续获取威胁情报支持，以进行相应处理。

DDoS仅需要在规模上与你的互联网管道同等大小，便可对所在组织网络安全产生影响。为最小化DDoS攻击影响，始终开启检测和云上自动缓解清洗当是明智之选。

青松云安全作为专业安全托管服务提供商（MSSP），拥有自主研发多层级防御体系，混合云方案同时具备本地私有云实时检测高响应低延迟特点和公有云面对大规模流量攻击的清洗优势，速度安全亦可兼顾，精确全面的设计为缓解DDoS攻击提供强劲助力。

原文链接：https://www.cesc.com.cn/quote/show-66622.html