DDoS攻击防御攻略：服务器可以通过哪些方法更好地防御DDoS攻击？

DDoS( 英文全写： Distributed Denial of Service，缩写：DDoS )，翻译成中文，意思是“分布式拒绝服务”。DDoS攻击，是一种耗尽攻击目标的系统资源，导致攻击目标无法响应正常服务请求的网络攻击方式。这种攻击手法通过借助于“客户/服务器”技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动攻击。

上图就是DDoS攻击的原理，它能在短时间内对攻击目标发起大量的访问请求，试图耗尽攻击目标的网络资源或服务器资源，让攻击目标的网络陷入瘫痪或者服务器无法响应正常的访问请求，并最终造成攻击目标网站的实质性无法访问。

DDoS攻击具体有哪些类型？

从技术角度来讲，DDoS攻击不是一种单纯的网络流量攻击，而是一大类网络流量攻击的总称，它有多种类型，包括：SYN Flood流量攻击 、ACK流量攻击、TCP Flood流量攻击、UDP Flood流量攻击、 ICMP Flood流量攻击等，以及其他变种类型的攻击。

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

ACK Flood的攻击跟上面这个SYN的攻击差不多，都是同样采用发送数据包到服务器端去，攻击者利用ACK数据包进行攻击，只要服务器接受ACK的包，那么就会造成ACK连接过多导致服务器资源耗尽，服务器没有多余的资源来接收ACK的包，服务器就无法打开了。

TCP Flood是一种针对TCP/IP协议发起的攻击，其明显特征是被攻击者的主机上存在大量的TCP连接，TCP洪水属于DDOS的一种，其威力比其他DDOS种类要强很多，因为它是基于连接的，而不是单纯的数据包攻击，所以被攻击者的主机很快瘫痪，如果黑客肉鸡够多的话，可以攻下一个网站，TCP 3次握手顺序是攻击者发送带有SYN标志的数据包到被害者，然后被害者再返回一个带有ACK。

UDP Flood是属于UDP协议中的一种流量攻击，攻击特征是伪造大量的真实IP并发送小数量的数据包对要攻击的服务器进行发送，只要服务器开启UDP的端口就会受到流量攻击。如何防御这种流量攻击，对UDP的包数据大小进行设置，严格把控发送的数据包大小，超过一定值的数据包进行丢弃，再一个防御的方法是只有建立了TCP链接的IP，才能发送UDP包，否则直接屏蔽该IP。

ICMP Flood是利用ICMP协议对服务器进行PING的攻击，放大icmp的长度，以及数据包的字节对服务器进行攻击。TCP-flood攻击是一种使用tcp三次握手协议的一种方式来进行的攻击，攻击特种是伪造大量的真实IP去连接要攻击的服务器，导致服务器无法承载更多的TCP连接而导致服务器瘫痪。

服务器应对DDoS攻击的方法和策略

在这里给大家分享一些服务器能够应对和缓解DDoS攻击的方法与策略，以供大家参考、借鉴。

一、确保服务器系统安全

1、确保服务器的系统文件是最新的版本,并及时更新系统补丁。
2、管理员需对所有主机进行检查，知道访问者的来源。
3、关闭不必要的服务：在服务器上删除未使用的服务，关闭未使用的端口。
4、限制同时打开的SYN半连接数目,缩短SYN半连接的time out 时间,限制SYN/ICMP流量。
5、正确设置防火墙，在防火墙上运行端口映射程序或端口扫描程序。
6、认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。
7、限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,若黑客以特洛伊木马替换它，文件传输功能无疑会陷入瘫痪。

二、其他的一些防御方法和措施

1、 隐藏服务器真实IP

服务器防御DDoS攻击最根本的措施就是隐藏服务器真实IP地址。当服务器对外传送信息时就可能会泄露IP，例如，我们常见的使用服务器发送邮件功能就会泄露服务器的IP。
因而，我们在发送邮件时，需要通过第三方代理发送，这样子显示出来的IP是代理IP，因而不会泄露真实IP地址。在资金充足的情况下，可以选择高防服务器，且在服务器前端加CDN中转，所有的域名和子域都使用CDN来解析。

2、 关闭不必要的服务或端口

这也是服务器运维人员最常用的做法。在服务器防火墙中，只开启使用的端口，比如网站web服务的80端口、数据库的3306端口、SSH服务的22端口等。关闭不必要的服务或端口，在路由器上过滤假IP。

3、 购买高防提高承受能力

该措施是通过购买高防的盾机，提高服务器的带宽等资源，来提升自身的承受攻击能力。对于普通中小企业甚至不合适，且不被攻击时造成服务器资源闲置，所以这里不过多阐述。

4、 限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于防御DDoS攻击的效果不太明显了，不过仍然能够起到一定的作用。

5、 提供余量带宽

通过服务器性能测试，评估正常业务环境下所能承受的带宽和请求数。在购买带宽时确保有一定的余量带宽，可以避免遭受攻击时带宽大于正常使用量而影响正常用户的情况。

6、 高防CDN。

CDN的英文全名是内容分发网络。通过部署在网络上不同地方的边缘节点服务器，能够让用户以最短的距离和时间获得其需要的内容，从而避免单节点带来的网络拥堵和信息延迟。正是因为CDN在全网都能布置节点，并且可以隐藏原服务器IP地址的功能，CDN除了可以用来加速网络服务外，还能用来当高防服务器使用。相比临时租用高防带宽，高防CDN的价格比较便宜。

目前而言，DDoS攻击并没有一劳永逸的根治方法，做不到彻底杜绝和消灭，只能采取各种手段在一定程度上减缓攻击带来的伤害。所以平时服务器的运维工作还是要做好基本的保障。

为了更加精准有效地防御DDoS攻击，并降低用户的防御成本，亿速云为用户提供专业抗DDoS攻击的高防云服务器、高防香港服务器、高防裸金属服务器，具有“超大防护带宽、超强清洗能力、全业务场景支持” 的特点与优势。采用“智能硬件防火墙 + 流量牵引技术”，并为用户配置相对应的高防IP，在用户面临DDoS攻击时，可精准识别出恶意流量，并将恶意流量引流到高防IP。恶意流量在高防IP上进行清洗、过滤后，高防IP会将正常流量返回给源站IP，从而达到“防御DDoS攻击，保证用户网站正常稳定运行”的目的。