今天，互聯(lián)網(wǎng)的應(yīng)用大大降低了創(chuàng)業(yè)的門檻，越來越多的互聯(lián)網(wǎng)創(chuàng)業(yè)公司出現(xiàn)在我們的生活里。但是，企業(yè)享受著互聯(lián)網(wǎng)平等開源等優(yōu)勢的同時，也必須面臨著比傳統(tǒng)時代更嚴(yán)峻的安全危機(jī)，無處不在的DDoS攻擊就是其中之一。DDoS（分布式拒絕服務(wù)攻擊）的特點在于攻擊來自四面八方，大大增加了防御難度。

先來看這樣一組數(shù)據(jù)：

2019年上半年較2018年同期對比攻擊量上升。伴隨業(yè)務(wù)的高速擴(kuò)張，攻擊率下降。

自2013年以來，DDoS攻擊峰值持續(xù)走高，尤其是2018和2019年，Tb級的攻擊屢見不鮮。

攻擊手法上，以反射放大類UDPFLOOD為主，占比62%。

從數(shù)據(jù)能看出，當(dāng)前的DDoS攻擊已經(jīng)成為了讓互聯(lián)網(wǎng)公司頭疼的一個大問題。但是要想防范這類攻擊，還需從源頭做起，先要了解DDoS攻擊到底是什么樣的。

互聯(lián)網(wǎng)上有一段最有趣、最直白、最好玩的解釋：一群惡霸試圖讓對面那家有著競爭關(guān)系的商鋪無法正常營業(yè)，他們會采取什么手段呢？惡霸們扮作普通客戶一直擁擠在對手的商鋪，賴著不走，真正的購物者卻無法進(jìn)入；或者總是和營業(yè)員有一搭沒一搭的東扯西扯，讓工作人員不能正常服務(wù)客戶；也可以為商鋪的經(jīng)營者提供虛假信息，商鋪的上上下下忙成一團(tuán)之后卻發(fā)現(xiàn)都是一場空，最終跑了真正的大客戶，損失慘重。此外惡霸們完成這些壞事有時憑單干難以完成，需要叫上很多人一起。嗯，網(wǎng)絡(luò)安全領(lǐng)域中DoS和DDoS攻擊就遵循著這些思路。

我猜你一定聽懂了，沒聽懂也沒關(guān)系，看圖：

在網(wǎng)絡(luò)世界，這些惡霸有一個特殊的稱號——“肉雞”，它們可謂是DDoS攻擊的核心大殺器。這里提到一點，實踐證明，目前并不是只有PC會成為“肉雞”，現(xiàn)在可以這樣說，只要是物聯(lián)的設(shè)備都有可能成為肉雞，比如：手機(jī)、服務(wù)器、智能音響等等。

還沒懂？沒看關(guān)系，記住這三步就OK：

第一：搜集目標(biāo)，刺探軍情。比如：搜集目標(biāo)家有多少人，都使用哪些設(shè)備，家庭情況怎么樣，值不值得攻擊，然后找個機(jī)會順便潛入目標(biāo)家拿到開門的最高權(quán)限；

第二：確定攻擊時間段。當(dāng)目標(biāo)一家人都在家或者有很多客人上門的時候是發(fā)動攻擊的最佳時間段；

第三：發(fā)動肉雞攻擊。經(jīng)過前2步的精心準(zhǔn)備后，“雞主”把這些肉雞全引向盯梢已久的目標(biāo)家門口，打開門，讓肉雞如洪水般涌入目標(biāo)家里。

那么問題來了，互聯(lián)網(wǎng)創(chuàng)業(yè)公司要如何防御頻發(fā)的DDoS攻擊？別擔(dān)心，這幾個絕招教給你：

1、采用高性能的網(wǎng)絡(luò)設(shè)備

首先需要保證路由器、交換機(jī)、硬件防火墻等網(wǎng)絡(luò)設(shè)備的性能，當(dāng)發(fā)生DDoS攻擊的時候，用足夠性能的機(jī)器、容量去承受攻擊，充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源是十分有效的應(yīng)對策略。

2、保證服務(wù)器系統(tǒng)的安全

首先要確保服務(wù)器軟件沒有任何漏洞，防止攻擊者入侵。確保服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁。在服務(wù)器上刪除未使用的服務(wù)，關(guān)閉未使用的端口。對于服務(wù)器上運行的網(wǎng)站，確保其打了最新的補(bǔ)丁，沒有安全漏洞。

3、充足的網(wǎng)絡(luò)帶寬保證

網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊，當(dāng)前至少要選擇100M的共享帶寬，最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是，主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的，若把它接在100M的交換機(jī)上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網(wǎng)絡(luò)服務(wù)商很可能會在交換機(jī)上限制實際帶寬為10M，這點一定要搞清楚。

4、把網(wǎng)站做成靜態(tài)頁面或者偽靜態(tài)

大量事實證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)。如果非需要動態(tài)腳本調(diào)用，那就把它弄到另外一臺單獨主機(jī)去，免的遭受攻擊時連累主服務(wù)器，當(dāng)然，適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的。

5、增強(qiáng)操作系統(tǒng)的TCP/IP棧

Windows操作系統(tǒng)本身就具備一定的抵抗DDoS攻擊的能力，只是默認(rèn)狀態(tài)下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵御數(shù)百個，具體怎么開啟，還需自行去微軟官網(wǎng)了解。

6、HTTP 請求的攔截

HTTP 請求的特征一般有兩種：IP 地址和 User Agent 字段。比如，惡意請求都是從某個 IP 段發(fā)出的，那么把這個 IP 段封掉就行�；蛘�，它們的 User Agent 字段有特征(包含某個特定的詞語)，那就把帶有這個詞語的請求攔截。

7、部署CDN

CDN 指的是網(wǎng)站的靜態(tài)內(nèi)容分發(fā)到多個服務(wù)器，用戶就近訪問，提高速度。因此，CDN 也是帶寬擴(kuò)容的一種方法，可以用來防御 DDOS 攻擊。

8、隱藏服務(wù)器的真實IP地址

服務(wù)器前端加CDN中轉(zhuǎn)，如果資金充裕的話，可以購買高防的盾機(jī)，用于隱藏服務(wù)器真實IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務(wù)器上部署的其他域名也不能使用真實IP解析，全部都使用CDN來解析。

9、定期檢查

企業(yè)網(wǎng)骨干需要定期檢查主要的網(wǎng)絡(luò)節(jié)點，清查可能會出現(xiàn)的問題，對于新出現(xiàn)的漏洞及時處理。主要因為是骨干節(jié)點本身就具有很高的帶寬，這是黑客們可以利用的好位置，所以說要加強(qiáng)這些主機(jī)是十分必要的。

隨著全球互聯(lián)網(wǎng)業(yè)務(wù)和云計算的發(fā)展熱潮，可以預(yù)見到，針對云數(shù)據(jù)中心的DDoS攻擊頻率還會大幅度增長，攻擊手段也會更加復(fù)雜。安全工作是一個長期持續(xù)性而非階段性的工作，所以需要時刻保持一種警覺，而且網(wǎng)絡(luò)安全不僅僅是某家企業(yè)的責(zé)任，更是全社會的共同責(zé)任，需要大家共同努力。

推薦使用天下數(shù)據(jù)海外高防ip，為域名或源站IP提供DDOS攻擊防護(hù)。當(dāng)用戶的域名或源站IP在遭受大流量的DDOS攻擊時，可以通過高防IP代理源站IP面向用戶，隱藏源站IP，將攻擊流量引流到高防IP，確保源站的穩(wěn)定正常運行。詳詢天下數(shù)據(jù)客服

本文鏈接：http://m.51huadong.com/cloundnews/11003698.html