服務(wù)器預(yù)防D拒絕服務(wù)攻擊的方法

　8月25日晚， 錘子“堅(jiān)果手機(jī)”發(fā)布會因故推遲、PPT一堆錯漏、搶紅包故障， 據(jù)悉是因錘子官網(wǎng)服務(wù)器遭遇了數(shù)十G流量DDoS惡意攻擊， 現(xiàn)場PPT也是臨時趕制、邊寫邊用， 好端端的一場發(fā)布會被DDoS攻擊搞的狼狽不堪。

　　分布式拒絕服務(wù)攻擊(DDoS)是目前常見的網(wǎng)絡(luò)攻擊方法， 它的英文全稱為Distributed Denial of Service｡簡單來說， 很多DoS攻擊源一起攻擊某臺服務(wù)器就形成了DDOS攻擊， 從而成倍地提高拒絕服務(wù)攻擊的威力。 通常， 攻擊者將攻擊程序通過代理程序安裝在網(wǎng)絡(luò)上的各個“肉雞”上， 代理程序收到指令時就發(fā)動攻擊。

　　DDoS攻擊的危害很大， 而且很難防范， 可以直接導(dǎo)致網(wǎng)站宕機(jī)、服務(wù)器癱瘓， 造成權(quán)威受損、品牌蒙羞、財(cái)產(chǎn)流失等巨大損失， 嚴(yán)重威脅著中國互聯(lián)網(wǎng)信息安全的發(fā)展。

服務(wù)器預(yù)防DDoS攻擊的方法

圖：DDoS攻擊示意圖

　　隨著DDOS攻擊在互聯(lián)網(wǎng)上的肆虐泛濫， 使得DDoS的防范工作變得更加困難。 數(shù)據(jù)顯示， 今年Q2， DDoS攻擊活動創(chuàng)下新紀(jì)錄， 同比增長了132%。 其中， 最大規(guī)模的DDoS攻擊峰值流量超過了240 Gbps， 持續(xù)了13個小時以上。 目前而言， 黑客甚至對攻擊進(jìn)行明碼標(biāo)價， 打1G的流量到一個網(wǎng)站一小時， 只需50塊錢。 DDoS的成本如此之低， 使用如此之囂張， 而且攻擊了也沒人管， 那么， 廣大的網(wǎng)站用戶應(yīng)該采取怎樣的措施進(jìn)行有效的防御呢？下面我就介紹一下防御DDoS的基本方法。

服務(wù)器預(yù)防DDoS攻擊的方法

　　1、保證服務(wù)器系統(tǒng)的安全

　　首先要確保服務(wù)器軟件沒有任何漏洞， 防止攻擊者入侵。 確保服務(wù)器采用最新系統(tǒng)， 并打上安全補(bǔ)丁。 在服務(wù)器上刪除未使用的服務(wù)， 關(guān)閉未使用的端口。 對于服務(wù)器上運(yùn)行的網(wǎng)站， 確保其打了最新的補(bǔ)丁， 沒有安全漏洞。

　　2、隱藏服務(wù)器的真實(shí)IP地址

　　服務(wù)器前端加CDN中轉(zhuǎn)（免費(fèi)的有百度云加速、360網(wǎng)站衛(wèi)士、加速樂、安全寶等）， 如果資金充裕的話， 可以購買高防的盾機(jī)， 用于隱藏服務(wù)器真實(shí)IP， 域名解析使用CDN的IP， 所有解析的子域名都使用CDN的IP地址。 此外， 服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析， 全部都使用CDN來解析。

　　另外， 防止服務(wù)器對外傳送信息泄漏IP地址， 最常見的情況是， 服務(wù)器不要使用發(fā)送郵件功能， 因?yàn)猷]件頭會泄漏服務(wù)器的IP地址。 如果非要發(fā)送郵件， 可以通過第三方代理（例如sendcloud）發(fā)送， 這樣對外顯示的IP是代理的IP地址。

　　總之， 只要服務(wù)器的真實(shí)IP不泄露， 10G以下小流量DDOS的預(yù)防花不了多少錢， 免費(fèi)的CDN就可以應(yīng)付得了。 如果攻擊流量超過20G， 那么免費(fèi)的CDN可能就頂不住了， 需要購買一個高防的盾機(jī)來應(yīng)付了， 而服務(wù)器的真實(shí)IP同樣需要隱藏。