如何防御DDOS攻击策略

   DDoS是目前最凶猛、最难防护的网络攻击之一。现实状况是，这个世界级难题尚未完美的、完全的解决办法，但采起适当的措施以下降攻击带来的影响、减小损失是十分必要的。将DDoS防护做为总体安全策略的重要部分来考虑，防护DDoS攻击与防数据泄露、防恶意植入、反病毒保护等安全措施一样不可或缺。

   不得不得提的是，防护DDoS攻击是一个系统的工程。防护DDoS应该根据攻击流量大小等实际状况灵活应对，采起多种组合，定制策略才能更好地实现防护效果。毕竟，攻击都流行走混合路线了，防护怎么还能一种功夫包打全能。

  因为DDoS攻击和防护都面临着成本开支，当咱们的防护强度逐步增长，攻击成本也对应上升，当大部分攻击者没法持续而选择放弃，那防护就算成功了。也所以咱们须要明白，防护措施、抗D服务等都只是一种“缓解”疗法，而不是一种“治愈”方案，咱们谈防护是经过相应的举措来减小DDoS攻击对企业业务的影响，而不是完全根除DDoS攻击。

 

基于以上，咱们将从三个方面（网络设施、防护方案、预防手段）来谈谈抵御DDoS攻击的一些基本措施、防护思想及服务方案。

一．网络设备设施

网络架构、设施设备是整个系统得以顺畅运做的硬件基础，用足够的机器、容量去承受攻击，充分利用网络设备保护网络资源是一种较为理想的应对策略，说到底攻防也是双方资源的比拼，在它不断访问用户、夺取用户资源之时，本身的能量也在逐渐耗失。相应地，投入资金也不小，但网络设施是一切防护的基础，须要根据自身状况作出平衡的选择。

1. 扩充带宽硬抗

网络带宽直接决定了承受攻击的能力，国内大部分网站带宽规模在10M到100M，知名企业带宽能超过1G，超过100G的基本是专门作带宽服务和抗攻击服务的网站，数量屈指可数。但DDoS却不一样，攻击者经过控制一些服务器、我的电脑等成为肉鸡，若是控制1000台机器，每台带宽为10M，那么攻击者就有了10G的流量。当它们同时向某个网站发动攻击，带宽瞬间就被占满了。增长带宽硬防御是理论最优解，只要带宽大于攻击流量就不怕了，但成本也是难以承受之痛，国内非一线城市机房带宽价格大约为100元/M*月，买10G带宽顶一下就是100万，所以许多人调侃拼带宽就是拼人民币，以致于不多有人愿意花高价买大带宽作防护。

2. 使用硬件防火墙

许多人会考虑使用硬件防火墙，针对DDoS攻击和黑客入侵而设计的专业级防火墙经过对异常流量的清洗过滤，可对抗SYN/ACK攻击、TCP全链接攻击、刷脚本攻击等等流量型DDoS攻击。若是网站饱受流量攻击的困扰，能够考虑将网站放到DDoS硬件防火墙机房。但若是网站流量攻击超出了硬防的防御范围（好比200G的硬防，但攻击流量有300G），洪水瞒太高墙一样抵挡不住。值得注意一下，部分硬件防火墙基于包过滤型防火墙修改成主，只在网络层检查数据包，如果DDoS攻击上升到应用层，防护能力就比较弱了。

3. 选用高性能设备

除了防火墙，服务器、路由器、交换机等网络设备的性能也须要跟上，如果设备性能成为瓶颈，即便带宽充足也无能为力。在有网络带宽保证的前提下，应该尽可能提高硬件配置。

2、有效的抗D思想及方案

硬碰硬的防护偏于“鲁莽”，经过架构布局、整合资源等方式提升网络的负载能力、分摊局部过载的流量，经过接入第三方服务识别并拦截恶意流量等等行为就显得更加“理智”，并且对抗效果良好。

4. 负载均衡

普通级别服务器处理数据的能力最多只能答复每秒数十万个连接请求，网络处理能力很受限制。负载均衡创建在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增长吞吐量、增强网络数据处理能力、提升网络的灵活性和可用性，对DDoS流量攻击和CC攻击都很见效。CC攻击使服务器因为大量的网络传输而过载，而一般这些网络流量针对某一个页面或一个连接而产生。在企业网站加上负载均衡方案后，连接请求被均衡分配到各个服务器上，减小单个服务器的负担，整个服务器系统能够处理每秒上千万甚至更多的服务请求，用户访问速度也会加快。

5. CDN流量清洗

CDN是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，经过中心平台的分发、调度等功能模块，使用户就近获取所需内容，下降网络拥塞，提升用户访问响应速度和命中率，所以CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制，CDN则更加理智，多节点分担渗透流量，目前大部分的CDN节点都有200G 的流量防御功能，再加上硬防的防御，能够说能应付目绝大多数的DDoS攻击了。

6. 分布式集群防护

分布式集群防护的特色是在每一个节点服务器配置多个IP地址，而且每一个节点能承受不低于10G的DDoS攻击，如一个节点受攻击没法提供服务，系统将会根据优先级设置自动切换另外一个节点，并将攻击者的数据包所有返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防御角度去影响企业的安全执行决策。

三．预防为主保安全

DDoS的发生可能永远都没法预知，而一来就凶猛如洪水决堤，所以网站的预防措施和应急预案就显得尤其重要。经过平常惯性的运维操做让系统健壮稳固，没有漏洞可钻，下降脆弱服务被攻陷的可能，将攻击带来的损失下降到最小。

7. 筛查系统漏洞

及早发现系统存在的攻击漏洞，及时安装系统补丁，对重要信息（如系统配置信息）创建和完善备份机制，对一些特权帐号（如管理员帐号）的密码谨慎设置，经过一系列的举措能够把攻击者的可乘之机下降到最小。计算机紧急响应协调中心发现，几乎每一个受到DDoS攻击的系统都没有及时打上补丁。统计分析显示，许多攻击者在对企业的攻击中得到很大成功，并非由于攻击者的工具和技术如何高级，而是由于他们所攻击的基础架构自己就漏洞百出。

8. 系统资源优化

合理优化系统，避免系统资源的浪费，尽量减小计算机执行少的进程，更改工做模式，删除没必要要的中断让机器运行更有效，优化文件位置使数据读写更快，空出更多的系统资源供用户支配，以及减小没必要要的系统加载项及自启动项，提升web服务器的负载能力。

9. 过滤没必要要的服务和端口

就像防贼就要把多余的门窗关好封住同样，为了减小攻击者进入和利用已知漏洞的机会，禁止未用的服务，将开放端口的数量最小化就十分重要。端口过滤模块经过开放或关闭一些端口，容许用户使用或禁止使用部分服务，对数据包进行过滤，分析端口，判断是否为容许数据通讯的端口，而后作相应的处理。

10. 限制特定的流量

检查访问来源并作适当的限制，以防止异常、恶意的流量来袭，限制特定的流量，主动保护网站安全。