隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，DDOS攻擊不斷演進(jìn)，攻擊成本越來越低，但攻擊強(qiáng)度成倍增加，使得DDOS更加難以防范。例如，反射DDoS攻擊是相對高階的攻擊。攻擊者并不直接攻擊目標(biāo)服務(wù)IP，而是通過偽造攻擊者的IP向世界各地的特殊服務(wù)器發(fā)送請求消息。這些特殊的服務(wù)器會向被攻擊的IP(目標(biāo)服務(wù)IP)發(fā)送數(shù)倍于請求消息的數(shù)據(jù)包。DDOS攻擊令人望而生畏，可直接造成網(wǎng)站宕機(jī)和服務(wù)器癱瘓，給網(wǎng)站乃至企業(yè)造成嚴(yán)重?fù)p失。而且DDOS很難防范，所以目前可以說是無藥可救，只能盡可能提高自己的“抗壓力能力”來緩解攻擊，比如購買高安全性的服務(wù)。

在這里，我們分享一些可以在一定程度上應(yīng)對和緩解DDOS攻擊的策略和方法，供大家參考。

1.隱藏服務(wù)器的真實IP：通過CDN節(jié)點轉(zhuǎn)移加速服務(wù)，可以有效隱藏網(wǎng)站服務(wù)器的真實IP地址。CDN服務(wù)根據(jù)網(wǎng)站的具體情況進(jìn)行選擇。對于普通的中小企業(yè)網(wǎng)站或個人網(wǎng)站，可以先使用免費(fèi)的CDN服務(wù)，如百度云加速、七牛CDN等，待網(wǎng)站流量增加、需求高了再考慮付費(fèi)CDN服務(wù)。其次，為了防止服務(wù)器傳輸?shù)男畔⑿孤禝P地址，最常見的情況是服務(wù)器不應(yīng)該使用發(fā)送郵件的功能，因為郵件頭會泄露服務(wù)器的IP地址。如果必須發(fā)送郵件，可以通過第三方代理(比如sendcloud)發(fā)送，這樣向外顯示的IP就是代理的IP地址。

2.購買高防提高承載能力：這一措施是通過購買高防盾構(gòu)機(jī)，增加服務(wù)器的帶寬來提高攻擊的承載能力。一些知名的IDC服務(wù)商都有相應(yīng)的服務(wù)，比如阿里巴巴云、騰訊云。但是這個方案的成本預(yù)算比較高，不適合普通的中小企業(yè)甚至個人站長，服務(wù)器資源在不被攻擊的時候是閑置的，這里就不做闡述了。

3.網(wǎng)站請求IP過濾：除了服務(wù)器，網(wǎng)站程序本身的安全性能也需要提高。以邊肖自己的個人博客為例，使用cms。系統(tǒng)安全機(jī)制中的過濾功能通過限制POST請求、單位時間404頁等訪問操作，過濾掉次數(shù)過多的異常行為。雖然這對DDOS攻擊沒有明顯的改善效果，但也在一定程度上減少了小帶寬的惡意攻擊。

4.定期檢查服務(wù)器漏洞：定期檢查服務(wù)器軟件安全漏洞是保證服務(wù)器安全最基本的措施。無論是操作系統(tǒng)(Windows還是linux)還是網(wǎng)站上常用的應(yīng)用軟件(mysql、Apache、nginx、FTP等)。服務(wù)器運(yùn)維人員要特別關(guān)注這些軟件的最新漏洞，及時修補(bǔ)高風(fēng)險漏洞。

5.關(guān)閉不必要的服務(wù)或端口：這也是服務(wù)器操作和維護(hù)人員最常見的做法。在服務(wù)器防火墻中，只開放使用的端口，如網(wǎng)站web服務(wù)的端口80、數(shù)據(jù)庫的端口3306、SSH服務(wù)的端口22等。關(guān)閉不必要的服務(wù)或端口，過濾路由器上的假IP。

6.限制SYN/ICMP流量：用戶應(yīng)該在路由器上配置最大SYN/ICMP流量，以限制SYN/ICMP數(shù)據(jù)包可以占用的最大帶寬。這樣，當(dāng)大量SYN/ICMP流量超過限制時，就意味著不是正常的網(wǎng)絡(luò)訪問，而是黑客入侵。早期限制SYN/ICMP流量是防止DOS的最好方法。雖然目前這種方法對DdoS的效果并不明顯，但仍然可以起到一定的作用。