服務器經常被ddos攻擊怎么辦？

DDOS攻擊全稱分布式拒絕服務(Distributed Denial of Service)攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。

通常，攻擊者將攻擊程序通過代理程序安裝在網絡上的各個“肉雞”上，代理程序收到指令時就發動攻擊。

隨著網絡技術發展，DDOS攻擊也在不斷進化，攻擊成本越來越低，而攻擊力度卻成倍加大，使得DDOS更加難以防范。

一般來說，會根據不同的協議類型和攻擊模式，將DDOS分為SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC等攻擊類型。

每種類型的攻擊都有其自身的特點，例如反射型DDoS攻擊就是一種相對高階的攻擊方式。攻擊者并不直接攻擊目標服務IP，而是通過偽造被攻擊者的IP向全球特殊的服務器發請求報文，這些特殊的服務器會將數倍于請求報文的數據包發送到那個被攻擊的IP。DDoS攻擊是間接形成的。實際上，攻擊者使用更多的木偶機器進行攻擊。他們不直接將攻擊包發送給受害者，而是假裝是受害者，然后將包發送給放大器，放大器隨后通過放大器反射回受害者。

DDOS攻擊讓人望而生畏，它可以直接導致網站宕機、服務器癱瘓，對網站乃至企業造成嚴重損失。而且DDOS很難防范，可以說目前沒有根治之法，只能盡量提升自身“抗壓能力”來緩解攻擊，比如購買高防服務。

面對DDOS攻擊，應該從網絡設施、防御方案、預防手段三個方面進行抵御一．網絡設備設施

用足夠的機器、容量去承受攻擊，充分利用網絡設備保護網絡資源是一種較為理想的應對策略，說到底攻防也是雙方資源的比拼。

實際上，攻擊者會不斷訪問用戶、奪取用戶資源，我們自己的能量也在逐漸耗失。如果完全的硬拼設施，投入資金也不小。

網絡設施是一切防御的基礎，所以需要根據自身情況做出平衡的選擇。

1. 擴充帶寬硬抗

網絡帶寬直接決定了承受攻擊的能力，國內大部分網站帶寬規模在10M到100M，知名企業帶寬能超過1G，超過100G的基本是專門做帶寬服務和抗攻擊服務的網站，數量屈指可數。

DDoS攻擊者可以通過控制一些服務器、個人電腦等成為肉雞。如果控制1000臺機器，每臺帶寬為10M，那么攻擊者就有了10G的流量。當它們同時向某個網站發動攻擊，帶寬瞬間就被占滿了。

增加帶寬硬防護是理論最優解，只要帶寬大于攻擊流量就不怕了。但帶寬成本也是難以承受之痛，所以很少有人愿意花高價買大帶寬做防御。

2. 使用硬件防火墻

針對DDoS攻擊和黑客入侵而設計的專業級防火墻通過對異常流量的清洗過濾，可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等流量型DDoS攻擊。

如果網站飽受流量攻擊的困擾，可以考慮將網站放到DDoS硬件防火墻機房。但如果網站流量攻擊超出了硬防的防護范圍（如：200G的硬防，但攻擊流量有300G），硬件防火墻同樣抵擋不住。部分硬件防火墻基于包過濾型防火墻修改為主，只在網絡層檢查數據包，若是DDoS攻擊上升到應用層，防御能力就比較弱了。

3. 選用高性能設備

除了防火墻，服務器、路由器、交換機等網絡設備的性能也需要跟上，若是設備性能成為瓶頸，即使帶寬充足也無能為力。在有網絡帶寬保證的前提下，應該盡量提升硬件配置。

二、有效的對抗DDOS思維及方案

通過架構布局、整合資源等方式提高網絡的負載能力來分攤局部過載的流量，通過接入第三方服務識別并攔截惡意流量等對抗效果較好（相對比與提升帶寬和使用硬件防火墻，當然組合效果更佳）。

1. 負載均衡

普通級別服務器處理數據的能力最多只能答復每秒數十萬個鏈接請求，網絡處理能力很受限制。負載均衡建立在現有網絡結構之上，它提供了一種廉價有效透明的方法擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性，對DDoS流量攻擊和CC攻擊都很見效。在加上負載均衡方案后，鏈接請求被均衡分配到各個服務器上，減少單個服務器的負擔，整個服務器系統可以處理每秒上千萬甚至更多的服務請求，用戶訪問速度也會加快。

2. CDN流量清洗

CDN是構建在網絡之上的內容分發網絡，依靠部署在各地的邊緣服務器，通過中心平臺的分發、調度等功能模塊，使用戶就近獲取所需內容，降低網絡擁塞，提高用戶訪問響應速度和命中率，因此CDN加速也用到了負載均衡技術。相比高防硬件防火墻不可能扛下無限流量的限制，CDN則更加理智，多節點分擔滲透流量，目前大部分的CDN節點都有200G的流量防護功能，再加上硬防的防護，可以說能應付目絕大多數的DDoS攻擊了。

3. 分布式集群防御

分布式集群防御的特點是在每個節點服務器配置多個IP地址，并且每個節點能承受不低于10G的DDoS攻擊，如一個節點受攻擊無法提供服務，系統將會根據優先級設置自動切換另一個節點，并將攻擊者的數據包全部返回發送點，使攻擊源成為癱瘓狀態，從更為深度的安全防護角度去影響企業的安全執行決策。

三．預防為主

DDoS的發生可能永遠都無法預知，而一來就兇猛如洪水決堤，因此預防措施和應急預案就顯得尤為重要。通過日常習慣性的運維操作讓系統健壯穩固，沒有漏洞可鉆，降低脆弱服務被攻陷的可能，將攻擊帶來的損失降低到最小。

1. 篩查系統漏洞

及早發現系統存在的攻擊漏洞，及時安裝系統補丁，對重要信息（如系統配置信息）建立和完善備份機制，對一些特權賬號（如管理員賬號）的密碼謹慎設置，通過一系列的舉措可以把攻擊者的可乘之機降低到最小。

2. 系統資源優化

合理優化系統，避免系統資源的浪費，盡可能減少計算機執行少的進程，更改工作模式，刪除不必要的中斷讓機器運行更有效，優化文件位置使數據讀寫更快，空出更多的系統資源供用戶支配，以及減少不必要的系統加載項及自啟動項，提高web服務器的負載能力。

3. 過濾不必要的服務和端口

禁止未用的服務，將開放端口的數量最小化十分重要。端口過濾模塊通過開放或關閉一些端口，允許用戶使用或禁止使用部分服務，對數據包進行過濾，分析端口，判斷是否為允許數據通信的端口，然后做相應的處理。

4. 限制特定的流量

檢查訪問來源并做適當的限制，以防止異常、惡意的流量來襲，限制特定的流量，主動保護網站安全。

目前，DDOS攻擊并沒有最好的根治之法，做不到徹底防御，只能采取各種手段在一定程度上減緩攻擊傷害。所以平時服務器的運維工作還是要做好基本的保障，并借鑒上述方案，將DDOS攻擊帶來的損失盡量降低到最小。

以上個人淺見，歡迎批評指正。喜歡的可以關注我，謝謝！

認同我的看法的請點個贊再走，再次感謝！