服务器预防D拒绝服务攻击的办法

　8月25日晚， 锤子“坚果手机”发布会因故推迟、PPT一堆错漏、抢红包故障， 据悉是因锤子官网服务器遭遇了数十G流量DDoS恶意攻击， 现场PPT也是临时赶制、边写边用， 好端端的一场发布会被DDoS攻击搞的狼狈不堪。

　　分布式拒绝服务攻击(DDoS)是目前常见的网络攻击方法， 它的英文全称为Distributed Denial of Service｡简单来说， 很多DoS攻击源一起攻击某台服务器就形成了DDOS攻击， 从而成倍地提高拒绝服务攻击的威力。 通常， 攻击者将攻击程序通过代理程序安装在网络上的各个“肉鸡”上， 代理程序收到指令时就发动攻击。

　　DDoS攻击的危害很大， 而且很难防范， 可以直接导致网站宕机、服务器瘫痪， 造成权威受损、品牌蒙羞、财产流失等巨大损失， 严重威胁着中国互联网信息安全的发展。

服务器预防DDoS攻击的方法

图：DDoS攻击示意图

　　随着DDOS攻击在互联网上的肆虐泛滥， 使得DDoS的防范工作变得更加困难。 数据显示， 今年Q2， DDoS攻击活动创下新纪录， 同比增长了132%。 其中， 最大规模的DDoS攻击峰值流量超过了240 Gbps， 持续了13个小时以上。 目前而言， 黑客甚至对攻击进行明码标价， 打1G的流量到一个网站一小时， 只需50块钱。 DDoS的成本如此之低， 使用如此之嚣张， 而且攻击了也没人管， 那么， 广大的网站用户应该采取怎样的措施进行有效的防御呢？下面我就介绍一下防御DDoS的基本方法。

服务器预防DDoS攻击的方法

　　1、保证服务器系统的安全

　　首先要确保服务器软件没有任何漏洞， 防止攻击者入侵。 确保服务器采用最新系统， 并打上安全补丁。 在服务器上删除未使用的服务， 关闭未使用的端口。 对于服务器上运行的网站， 确保其打了最新的补丁， 没有安全漏洞。

　　2、隐藏服务器的真实IP地址

　　服务器前端加CDN中转（免费的有百度云加速、360网站卫士、加速乐、安全宝等）， 如果资金充裕的话， 可以购买高防的盾机， 用于隐藏服务器真实IP， 域名解析使用CDN的IP， 所有解析的子域名都使用CDN的IP地址。 此外， 服务器上部署的其他域名也不能使用真实IP解析， 全部都使用CDN来解析。

　　另外， 防止服务器对外传送信息泄漏IP地址， 最常见的情况是， 服务器不要使用发送邮件功能， 因为邮件头会泄漏服务器的IP地址。 如果非要发送邮件， 可以通过第三方代理（例如sendcloud）发送， 这样对外显示的IP是代理的IP地址。

　　总之， 只要服务器的真实IP不泄露， 10G以下小流量DDOS的预防花不了多少钱， 免费的CDN就可以应付得了。 如果攻击流量超过20G， 那么免费的CDN可能就顶不住了， 需要购买一个高防的盾机来应付了， 而服务器的真实IP同样需要隐藏。