十种行之有效的对抗DDoS攻击的方法

"国内的 DDoS 攻击呈现出次数多、强度高、手法新、来源广的特点。"

DDoS 攻击是目前最常见的网络攻击方式之一，因其成本低见效快而深受黑客的青睐。DDoS 是一种多对一的针对性攻击，甚至可以达到数万台个人电脑在同一时间向目标服务器伪造大量合法的请求，占用大量网络带宽，致使网站瘫痪，无法访问。

美国科技公司 Neustar 9月发布的报告显示，2020年上半年，DDoS攻击数量同比增加了151％。

由于新冠疫情的影响，许多企业和组织转向在家办公和远程协作，互联网使用量增加了50%至70%，随之而来的DDoS攻击的流量、类型和强度都不断呈指数型增长。

最明显的是2月份针对亚马逊Web服务客户端的2.3 Tbps攻击，这也被业界认为是史上最大的DDoS攻击。

经过多年的发展，DDoS 攻击已经“进化”得越来越“高级”，根据行业内近几年的数据及相关报告，我们发现国内的 DDoS 攻击呈现出次数多、强度高、手法新、来源广的特点。

比如被称为行业毒瘤的 UDP 反射放大型攻击，只需攻击者向 Memcache 服务器发送小字节请求，就可以引发服务器将数万倍的响应数据包发送给目标，形成灾难级的 DDoS 攻击。

想要完全杜绝 DDoS 攻击并不现实，但由于攻击和防御都是需要成本开销的，当我们通过适当的措施增强识别和抵御 DDoS 攻击的能力，尽最大可能去增加、消耗攻击成本，让绝大多数攻击者知难而退，从而成功防住 DDoS 攻击。

Strategy

以下是保护网络系统免受DDoS攻击的10种行之有效的策略：

保证服务器系统的安全

首先要确保服务器软件没有漏洞，保证系统和网络资源都采用最新系统，并打上安全补丁，防止攻击者入侵。

采用高性能的网络设备

首先要保证别让网络设备成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备时要充分考虑其性能，尽量选用知名度高、口碑好的产品。

开通充足的网络带宽

网络带宽直接决定了承受攻击的能力，假如仅有10M带宽的话，无论采取什么策略都很难对抗住洪水攻击。

有效利用云的资源

与私有网络不同，云拥有更多的带宽和资源。当DDoS攻击的规模增加时，仅仅依赖于现场硬件可能是杯水车薪。基于云的防御服务可以更早、更有效地检测到恶意流量。

实现网站静态化

大量事实证明，把网站尽可能做成静态页面或者伪静态，可以提高抗攻击能力。如果需要动态脚本调用，可以单独使用一台主机，避免遭受攻击时牵连到主服务器。

禁用未使用的服务

黑客能攻击的应用程序和服务越少越好，因此应当关闭所有不需要和未使用的服务及应用程序，以提高网络的安全性。

隐藏服务器的真实IP

不要把域名直接解析到服务器的真实IP地址，避免让服务器的真实IP暴露。在服务器前端加CDN中转，用于隐藏服务器的真实IP，全部都使用CDN来进行解析。

建立冗余网络

创建冗余网络资源是一种行之有效的安全策略，当服务器受到攻击时，其他组件可以处理额外的访问流量。另外可以将不同的服务器定位在不同的地理位置，这样攻击者就更难锁定系统。

保护DNS服务器

攻击者可以通过受损的DNS服务器使Web服务器脱机。实践冗余，并将服务器放置在多个数据中心实现负载均衡。此外还可以咨询基于云的DNS提供商，其在全球各地提供高带宽和多个数据中心，增加了距离从而使基础设施难以突破。

制定DDoS防御机制

事前制定一个整体的防御策略是最根本的主动防御手段，抵御DDoS攻击是一个系统性工程，仅依靠单一策略很难发挥奇效，周全的计划包含了流程、工具、人员等综合措施，以保证攻击来临时发现更早、响应更快、措施更有效、造成的影响最低。