服务器预防DDoS攻击的方法

　　分布式拒绝服务攻击(DDoS)是目前常见的网络攻击方法，很多DoS攻击源一起攻击某台服务器就形成了DDOS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者将攻击程序通过代理程序安装在网络上的各个“肉鸡”上，代理程序收到指令时就发动攻击。

　　服务器预防DDoS攻击的方法

　　有需要防御ddos攻击的朋友，可以尝试使用安全狗的云磐产品进行防御。

　　云磐：一站式云安全SaaS平台：http://www.safedog.cn/index/publicCloudIndex.html

　　DDoS攻击的危害很大，而且很难防范，可以直接导致网站宕机、服务器瘫痪，造成权威受损、品牌蒙羞、财产流失等巨大损失，严重威胁着中国互联网信息安全的发展。

　　随着DDOS攻击在互联网上的肆虐泛滥，使得DDoS的防范工作变得更加困难。数据显示，今年Q2，DDoS攻击活动创下新纪录，同比增长了132%。其中，最大规模的DDoS攻击峰值流量超过了240 Gbps，持续了13个小时以上。目前而言，黑客甚至对攻击进行明码标价，打1G的流量到一个网站一小时，只需50块钱。DDoS的成本如此之低，使用如此之嚣张，而且攻击了也没人管，那么，广大的网站用户应该采取怎样的措施进行有效的防御呢?下面我就介绍一下防御DDoS的基本方法。

　　1、保证服务器系统的安全

　　首先要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。

　　2、隐藏服务器的真实IP地址

　　服务器前端加CDN中转(免费的有百度云加速、360网站卫士、加速乐、安全宝等)，如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。

　　另外，防止服务器对外传送信息泄漏IP地址，最常见的情况是，服务器不要使用发送邮件功能，因为邮件头会泄漏服务器的IP地址。如果非要发送邮件，可以通过第三方代理(例如sendcloud)发送，这样对外显示的IP是代理的IP地址。

　　服务器预防DDoS攻击的方法

　　1.确保所有服务器采用最新系统，并打上安全补丁。计算机紧急响应协调中心发现，几乎每个受到DDOS攻击的系统都没有及时打上补丁。

　　2.确保管理员对所有主机进行检查，而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么?谁在使用主机?哪些人可以访问主机?不然，即使黑客侵犯了系统，也很难查明。

　　3.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞，黑客通过根攻击就能获得访问特权系统的权限，并能访问其他系统——甚至是受防火墙保护的系统。

　　4.确保运行在Unix上的所有服务都有TCP封装程序，限制对主机的访问权限。

　　5.禁止内部网通过Modem连接至PSTN系统。否则，黑客能通过电话线发现未受保护的主机，即刻就能访问极为机密的数据。

　　6. 禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp，以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传送口 令，而Telnet和Rlogin则正好相反，黑客能搜寻到这些口令，从而立即访问网络上的重要服务器。此外，在Unix上应该将.rhost和 hosts.equiv文件删除，因为不用猜口令，这些文件就会提供登录访问!

　　7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件，并以特洛伊木马替换它，文件传输功能无异将陷入瘫痪。

　　8.确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备，还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。

　　9.在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的，使DoS/DDOS攻击成功率很高，所以定要认真检查特权端口和非特权端口。

　　10.检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更，几乎可以肯定：相关的主机安全受到了危胁。

　　11.利用DDOS设备提供商的设备。

　　关于服务器预防DDoS攻击的方法就介绍到这里，只要服务器的真实IP不泄露，10G以下小流量DDOS的预防花不了多少钱，免费的CDN就可以应付得了。如果攻击流量超过20G，那么免费的CDN可能就顶不住了，需要购买一个高防的盾机来应付了，而服务器的真实IP同样需要隐藏。