本文目录一览：

• 1、网站被ddos攻击了 怎么防御?

• 2、中小型企业如何防御ddos攻击？

• 3、如何有效防御DDOS攻击？

• 4、企业应该如何防御ddos攻击？

• 5、什么是DDOs，怎么防御？

网站被ddos攻击了 怎么防御?

随着DDOS攻击的成本越来越低，很多人就通过DDOS来实现对某个网站或某篇文章的“下线”功能，某篇文章可能因为内容质量好，在搜索引擎有较高的排名，但如果因为DDOS导致网站长时间无法访问，搜索引擎则会将这篇文章从索引中删除，网站的权重也会降低，因为达到了“下线”文章的目的。

对付DDOS不太容易，首先要找一个靠谱的主机供应商，我之前有个主机供应商，一发现某个IP被DDOS，就主动屏蔽这个IP好几天，实际上就是硬件和技术能力不足的表现。

国外的主机供应商也未必靠谱，比如之前有次被DDOS，我就把博客转到Dreamhost的空间，事实表明Dreamhost的防DDOS的能力不敢恭维，DDOS来了之后，Dreamhost对付DDOS倒是不客气，直接把中国地区的IP全给屏蔽了。

一般来说，DDOS是需要花钱和带宽的，解决DDOS也需要花钱和带宽，那么，如果服务器被DDOS了，我们应该怎么办呢？

1、保证服务器系统的安全

首先要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。

2、隐藏服务器的真实IP地址

不要把域名直接解析到服务器的真实IP地址，不能让服务器真实IP泄漏，服务器前端加CDN中转（免费的CDN一般能防止5G左右的DDOS），如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。

总之，只要服务器的真实IP不泄露，5G以下小流量DDOS的预防花不了多少钱，免费的CDN就可以应付得了。如果攻击流量超过10G，那么免费的CDN可能就顶不住了，需要购买一个高防的盾机来应付了，而服务器的真实IP同样需要隐藏。

中小型企业如何防御ddos攻击？

一、寻找机会应对

如果已遭受攻击，那所能做的防范工作是非常有限的，因为在未准备好的情况下，有大流量灾难性攻击冲向用户，很可能在用户还没回过神之际， *** 已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。

检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在之一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的 *** ，将这些IP地址在服务器或路由器上过滤掉。

找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此 *** 对于公司 *** 出口只有一个，而又遭受到来自外部的DDoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。

最后还有一种比较折中的 *** 是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。

二、预防为主

DoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规 *** ：

1. 过滤所有RFC1918IP地址

RFC1918IP地址是内部网的IP地址，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此 *** 并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DDoS的攻击。

2. 用足够的机器承受黑客攻击

是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此 *** 需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业 *** 实际运行情况不相符。

3. 充分利用 *** 设备保护 *** 资源

所谓 *** 设备是指路由器、防火墙等负载均衡设备，它们可将 *** 有效地保护起来。当 *** 被攻击时更先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而更大程度的削减了DDoS的攻击。

4. 配置防火墙

防火墙本身能抵御DDoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux漏洞少和天生防范攻击优秀的系统。

5. 限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的更大流量来限制SYN/ICMP封包所能占有的更高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的 *** 访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是更好的防范DOS的 *** ，虽然目前该 *** 对于DDoS效果不太明显了，不过仍然能够起到一定的作用。

6. 定期扫描

要定期扫描现有的 *** 主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的更佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到 *** 主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

如何有效防御DDOS攻击？

11种 *** 教你有效防御DDOS攻击：

1、采用高性能的 *** 设备

首先要保证 *** 设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和 *** 提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在 *** 接点处做一下流量限制来对抗某种类的DDOS攻击是非常有效的。

2、尽量避免NAT的使用

无论是路由器还是硬件防护墙设备要尽量避免采用 *** 地址转换NAT的使用，因为采用此技术会较大降低 *** 通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对 *** 包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。

3、充足的 *** 带宽保证

*** 带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，更好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的 *** 带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为 *** 服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。

4、升级主机服务器硬件

在有 *** 带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P42.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别贪图IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

5、将网站做成静态页面或者伪静态

事实证明，将网站做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现。现在很多门户网站主要都是静态页面，若你非要动态脚本调用，那就把它弄到另外一个单独主机，免的遭受攻击时连累主服务器。当然，适当放一些不做数据库调用脚本还是可以的，此外，更好在需要调用数据库的脚本中拒绝使用 *** 的访问，因为经验表明使用 *** 访问你网站的80%属于恶意行为。

6、增强操作系统的TCP/IP栈

win2000和win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵抗约10000个SYN攻击包，若没有开启则仅能抵抗数百个。

7、安装专业抗DDOS防火墙

8、HTTP请求拦截

如果恶意请求有特征，对付起来很简单，直接拦截就可以。HTTP请求的特征一般有两种：IP地址和User Agent字段。

9、备份网站

你要有一个备份网站，或者更低限度有一个临时主页。生产服务器万一下线了，可以立刻切换到备份网站，不至于毫无办法。

备份网站不一定是全功能的，如果能做到全静态浏览，就能满足需求，更低限度应该可以显示公告，告诉用户，网站出了问题，正在抢修。这种临时主页建议放到Github

Pages或者Netlify，它们的带宽大，可以应对攻击，而且都支持绑定域名，还能从源码自动构建。

10、部署CDN

CDN指的是网站的静态内容分布到多个服务器，用户就近访问，提高速度。因此，CDN也是带宽扩容的一种 *** ，可以用来防御DDOS攻击。

网站内容存放在源服务器，CDN上面是内容的缓存。用户只允许访问CDN，如果内容不在CDN上，CDN再向源服务器发出请求。这样的话，只要CDN够大，就可以抵御很大的攻击。不过，这种 *** 有一个前提，网站的大部分内容必须可以静态缓存。对于动态内容为主的网站，就要想别的办法，尽量减少用户对动态数据的请求;本质就是自己搭建一个微型CDN。各大云服务商提供的高防IP，背后也是这样做的：网站域名指向高防IP，它提供了一个缓冲层，清洗流量，并对源服务器的内容进行缓存。

这里有一个关键点，一旦上了CDN，千万不要泄露源服务器的IP地址，否则攻击者可以绕过CDN直接攻击源服务器，前面的努力都白费了。

11、其他防御手段

以上的几条建议，适合绝大多数拥有自己主机的用户，但假如采取以上措施后仍然不能解决DDOS问题，就比较麻烦了，可能需要更多投资，增加服务器数量并采用DNS轮巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDOS攻击能力成倍提高，只要投资足够深入。

企业应该如何防御ddos攻击？

一、寻找机会应对

如果已遭受攻击，那所能做的防范工作是非常有限的，因为在未准备好的情况下，有大流量灾难性攻击冲向用户，很可能在用户还没回过神之际， *** 已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。

检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在之一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的 *** ，将这些IP地址在服务器或路由器上过滤掉。

找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此 *** 对于公司 *** 出口只有一个，而又遭受到来自外部的DDoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。

最后还有一种比较折中的 *** 是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效地防止攻击规模的升级，也可以在一定程度上降低攻击的级别。

二、预防为主

DoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规 *** ：

1. 过滤所有RFC1918IP地址

RFC1918IP地址是内部网的IP地址，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此 *** 并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DDoS的攻击。

2. 用足够的机器承受黑客攻击

是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此 *** 需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业 *** 实际运行情况不相符。

3. 充分利用 *** 设备保护 *** 资源

所谓 *** 设备是指路由器、防火墙等负载均衡设备，它们可将 *** 有效地保护起来。当 *** 被攻击时更先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而更大程度的削减了DDoS的攻击。

4. 配置防火墙

防火墙本身能抵御DDoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux漏洞少和天生防范攻击优秀的系统。

5. 限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的更大流量来限制SYN/ICMP封包所能占有的更高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的 *** 访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是更好的防范DOS的 *** ，虽然目前该 *** 对于DDoS效果不太明显了，不过仍然能够起到一定的作用。

6. 定期扫描

要定期扫描现有的 *** 主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的更佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到 *** 主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

什么是DDOs，怎么防御？

它是利用多台已经被攻击者所控制的机器对某一台单机发起攻击