瑞斯云：服务器针对DDOS攻击有哪些对策？

随着网络技术的发展，DDOS攻击不断演进，攻击成本越来越低，但攻击强度成倍增加，使得DDOS更加难以防范。例如，反射DDoS攻击是相对高阶的攻击。攻击者并不直接攻击目标服务IP，而是通过伪造攻击者的IP向世界各地的特殊服务器发送请求消息。这些特殊的服务器会向被攻击的IP(目标服务IP)发送数倍于请求消息的数据包。DDOS攻击令人望而生畏，可直接造成网站宕机和服务器瘫痪，给网站乃至企业造成严重损失。而且DDOS很难防范，所以目前可以说是无药可救，只能尽可能提高自己的“抗压力能力”来缓解攻击，比如购买高安全性的服务。

在这里，我们分享一些可以在一定程度上应对和缓解DDOS攻击的策略和方法，供大家参考。

1.隐藏服务器的真实IP：通过CDN节点转移加速服务，可以有效隐藏网站服务器的真实IP地址。CDN服务根据网站的具体情况进行选择。对于普通的中小企业网站或个人网站，可以先使用免费的CDN服务，如百度云加速、七牛CDN等，待网站流量增加、需求高了再考虑付费CDN服务。其次，为了防止服务器传输的信息泄露IP地址，最常见的情况是服务器不应该使用发送邮件的功能，因为邮件头会泄露服务器的IP地址。如果必须发送邮件，可以通过第三方代理(比如sendcloud)发送，这样向外显示的IP就是代理的IP地址。

2.购买高防提高承载能力：这一措施是通过购买高防盾构机，增加服务器的带宽来提高攻击的承载能力。一些知名的IDC服务商都有相应的服务，比如阿里巴巴云、腾讯云。但是这个方案的成本预算比较高，不适合普通的中小企业甚至个人站长，服务器资源在不被攻击的时候是闲置的，这里就不做阐述了。

3.网站请求IP过滤：除了服务器，网站程序本身的安全性能也需要提高。以边肖自己的个人博客为例，使用cms。系统安全机制中的过滤功能通过限制POST请求、单位时间404页等访问操作，过滤掉次数过多的异常行为。虽然这对DDOS攻击没有明显的改善效果，但也在一定程度上减少了小带宽的恶意攻击。

4.定期检查服务器漏洞：定期检查服务器软件安全漏洞是保证服务器安全最基本的措施。无论是操作系统(Windows还是linux)还是网站上常用的应用软件(mysql、Apache、nginx、FTP等)。服务器运维人员要特别关注这些软件的最新漏洞，及时修补高风险漏洞。

5.关闭不必要的服务或端口：这也是服务器操作和维护人员最常见的做法。在服务器防火墙中，只开放使用的端口，如网站web服务的端口80、数据库的端口3306、SSH服务的端口22等。关闭不必要的服务或端口，过滤路由器上的假IP。

6.限制SYN/ICMP流量：用户应该在路由器上配置最大SYN/ICMP流量，以限制SYN/ICMP数据包可以占用的最大带宽。这样，当大量SYN/ICMP流量超过限制时，就意味着不是正常的网络访问，而是黑客入侵。早期限制SYN/ICMP流量是防止DOS的最好方法。虽然目前这种方法对DdoS的效果并不明显，但仍然可以起到一定的作用。