現(xiàn)在互聯(lián)網(wǎng)技術(shù)的發(fā)展以及智能手機(jī)使用者越來(lái)越多，計(jì)算機(jī)的處理能力也在迅速增長(zhǎng)，內(nèi)存大大增加，這也導(dǎo)致了許多黑客通過(guò)各種ddos攻擊手段來(lái)獲取非法盈利。如果你的網(wǎng)站正在被ddos攻擊，你知道網(wǎng)站被ddos攻擊了怎么辦嗎?（快快網(wǎng)絡(luò)苒苒Q712730904）這里為大家詳細(xì)介紹一下解決方法。

首先，我們來(lái)了解下，什么是ddos攻擊。ddos攻擊是目前常見(jiàn)的網(wǎng)絡(luò)攻擊方法，它的英文全稱為Distributed Denial of Service 簡(jiǎn)單來(lái)說(shuō)，很多DoS攻擊源一起攻擊某臺(tái)服務(wù)器就形成了DDOS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。一般受攻擊的網(wǎng)站會(huì)因?yàn)榱髁棵蜐q，內(nèi)存占用過(guò)高而打不開。

網(wǎng)站被ddos攻擊了怎么辦?當(dāng)受到DDoS攻擊時(shí)，可以選擇用一些防度火墻來(lái)進(jìn)行防御，或者選擇機(jī)房進(jìn)行流量遷移和清洗，這種兩種方法對(duì)于小流量攻擊的確有效，而且價(jià)格也便宜。但是當(dāng)攻擊者使用大流量DDoS攻擊時(shí)，這兩種方法就完全道防御不住了，這種情況就必須考慮更換更高防護(hù)的高防服務(wù)器了，高防的優(yōu)勢(shì)還是很明顯的，配置簡(jiǎn)單，接入方便見(jiàn)效快，對(duì)于大流量攻擊也完全不在話下。

DDoS攻擊防御是一個(gè)非常龐大的工程，下面我們就從三個(gè)方面(網(wǎng)絡(luò)設(shè)施、防御方案、預(yù)防手段)來(lái)談?wù)劦钟鵇DoS攻擊的一些基本措施、防御思想及服務(wù)方案。

網(wǎng)站被ddos攻擊了怎么辦？

一.網(wǎng)絡(luò)設(shè)備設(shè)施

網(wǎng)絡(luò)架構(gòu)、設(shè)施設(shè)備是整個(gè)系統(tǒng)得以順暢運(yùn)作的硬件基礎(chǔ)，用足夠的機(jī)器、容量去承受攻擊，充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源是一種較為理想的應(yīng)對(duì)策略，說(shuō)到底攻防也是雙方資源的比拼，在它不斷訪問(wèn)用戶、奪取用戶資源之時(shí)，自己的能量也在逐漸耗失。相應(yīng)地，投入資金也不小，但網(wǎng)絡(luò)設(shè)施是一切防御的基礎(chǔ)，需要根據(jù)自身情況做出平衡的選擇。

1. 擴(kuò)充帶寬硬抗

網(wǎng)絡(luò)帶寬直接決定了承受攻擊的能力，國(guó)內(nèi)大部分網(wǎng)站帶寬規(guī)模在10M到100M，知名企業(yè)帶寬能超過(guò)1G，超過(guò)100G的基本是專門做帶寬服務(wù)和抗攻擊服務(wù)的網(wǎng)站，數(shù)量屈指可數(shù)。但DDoS卻不同，攻擊者通過(guò)控制一些服務(wù)器、個(gè)人電腦等成為肉雞，如果控制1000臺(tái)機(jī)器，每臺(tái)帶寬為10M，那么攻擊者就有了10G的流量。當(dāng)它們同時(shí)向某個(gè)網(wǎng)站發(fā)動(dòng)攻擊，帶寬瞬間就被占滿了。增加帶寬硬防護(hù)是理論最優(yōu)解，只要帶寬大于攻擊流量就不怕了，但成本也是難以承受之痛，國(guó)內(nèi)非一線城市機(jī)房帶寬價(jià)格大約為100元/M*月，買10G帶寬頂一下就是100萬(wàn)，因此許多人調(diào)侃拼帶寬就是拼人民幣，以至于很少有人愿意花高價(jià)買大帶寬做防御。

2.保證服務(wù)器系統(tǒng)的安全

首先要確保服務(wù)器軟件沒(méi)有任何漏洞，防止攻擊者入侵。確保服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁。在服務(wù)器上刪除未使用的服務(wù)，關(guān)閉未使用的端口。對(duì)于服務(wù)器上運(yùn)行的網(wǎng)站，確保其打了最新的補(bǔ)丁，沒(méi)有安全漏洞。

3. 使用硬件防火墻

許多人會(huì)考慮使用硬件防火墻，針對(duì)DDoS攻擊和黑客入侵而設(shè)計(jì)的專業(yè)級(jí)防火墻通過(guò)對(duì)異常流量的清洗過(guò)濾，可對(duì)抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果網(wǎng)站飽受流量攻擊的困擾，可以考慮將網(wǎng)站放到DDoS硬件防火墻機(jī)房。但如果網(wǎng)站流量攻擊超出了硬防的防護(hù)范圍(比如200G的硬防，但攻擊流量有300G)，洪水瞞過(guò)高墻同樣抵擋不住。值得注意一下，部分硬件防火墻基于包過(guò)濾型防火墻修改為主，只在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，若是DDoS攻擊上升到應(yīng)用層，防御能力就比較弱了。

4. 選用高性能設(shè)備

除了防火墻，服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的性能也需要跟上，若是設(shè)備性能成為瓶頸，即使帶寬充足也無(wú)能為力。在有網(wǎng)絡(luò)帶寬保證的前提下，應(yīng)該盡量提升硬件配置。

二、有效的抗D思想及方案

硬碰硬的防御偏于“魯莽”，通過(guò)架構(gòu)布局、整合資源等方式提高網(wǎng)絡(luò)的負(fù)載能力、分?jǐn)偩植窟^(guò)載的流量，通過(guò)接入第三方服務(wù)識(shí)別并攔截惡意流量等等行為就顯得更加“理智”，而且對(duì)抗效果良好。

1. 負(fù)載均衡

普通級(jí)別服務(wù)器處理數(shù)據(jù)的能力最多只能答復(fù)每秒數(shù)十萬(wàn)個(gè)鏈接請(qǐng)求，網(wǎng)絡(luò)處理能力很受限制。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價(jià)有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性，對(duì)DDoS流量攻擊和CC攻擊都很見(jiàn)效。CC攻擊使服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過(guò)載，而通常這些網(wǎng)絡(luò)流量針對(duì)某一個(gè)頁(yè)面或一個(gè)鏈接而產(chǎn)生。在企業(yè)網(wǎng)站加上負(fù)載均衡方案后，鏈接請(qǐng)求被均衡分配到各個(gè)服務(wù)器上，減少單個(gè)服務(wù)器的負(fù)擔(dān)，整個(gè)服務(wù)器系統(tǒng)可以處理每秒上千萬(wàn)甚至更多的服務(wù)請(qǐng)求，用戶訪問(wèn)速度也會(huì)加快。

2.隱藏服務(wù)器的真實(shí)IP地址

不要把域名直接解析到服務(wù)器的真實(shí)IP地址，不能讓服務(wù)器真實(shí)IP泄漏，服務(wù)器前端加CDN中轉(zhuǎn)(免費(fèi)的CDN一般能防止5G左右的DDOS)，如果資金充裕的話，可以購(gòu)買高防的盾機(jī)，用于隱藏服務(wù)器真實(shí)IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析，全部都使用CDN來(lái)解析。

3. CDN流量清洗

CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò)，依靠部署在各地的邊緣服務(wù)器，通過(guò)中心平臺(tái)的分發(fā)、調(diào)度等功能模塊，使用戶就近獲取所需內(nèi)容，降低網(wǎng)絡(luò)擁塞，提高用戶訪問(wèn)響應(yīng)速度和命中率，因此CDN加速也用到了負(fù)載均衡技術(shù)。相比高防硬件防火墻不可能扛下無(wú)限流量的限制，CDN則更加理智，多節(jié)點(diǎn)分擔(dān)滲透流量，目前大部分的CDN節(jié)點(diǎn)都有200G 的流量防護(hù)功能，再加上硬防的防護(hù)，可以說(shuō)能應(yīng)付目絕大多數(shù)的DDoS攻擊了。

4. 分布式集群防御

分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址，并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDoS攻擊，如一個(gè)節(jié)點(diǎn)受攻擊無(wú)法提供服務(wù)，系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn)，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn)，使攻擊源成為癱瘓狀態(tài)，從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。

三.預(yù)防為主保安全

DDoS的發(fā)生可能永遠(yuǎn)都無(wú)法預(yù)知，而一來(lái)就兇猛如洪水決堤，因此網(wǎng)站的預(yù)防措施和應(yīng)急預(yù)案就顯得尤為重要。通過(guò)日常慣性的運(yùn)維操作讓系統(tǒng)健壯穩(wěn)固，沒(méi)有漏洞可鉆，降低脆弱服務(wù)被攻陷的可能，將攻擊帶來(lái)的損失降低到最小。

1. 篩查系統(tǒng)漏洞

及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁，對(duì)重要信息(如系統(tǒng)配置信息)建立和完善備份機(jī)制，對(duì)一些特權(quán)賬號(hào)(如管理員賬號(hào))的密碼謹(jǐn)慎設(shè)置，通過(guò)一系列的舉措可以把攻擊者的可乘之機(jī)降低到最小。計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個(gè)受到DDoS攻擊的系統(tǒng)都沒(méi)有及時(shí)打上補(bǔ)丁。統(tǒng)計(jì)分析顯示，許多攻擊者在對(duì)企業(yè)的攻擊中獲得很大成功，并不是因?yàn)楣粽叩墓ぞ吆图夹g(shù)如何高級(jí)，而是因?yàn)樗麄兯舻幕A(chǔ)架構(gòu)本身就漏洞百出。

2. 系統(tǒng)資源優(yōu)化

合理優(yōu)化系統(tǒng)，避免系統(tǒng)資源的浪費(fèi)，盡可能減少計(jì)算機(jī)執(zhí)行少的進(jìn)程，更改工作模式，刪除不必要的中斷讓機(jī)器運(yùn)行更有效，優(yōu)化文件位置使數(shù)據(jù)讀寫更快，空出更多的系統(tǒng)資源供用戶支配，以及減少不必要的系統(tǒng)加載項(xiàng)及自啟動(dòng)項(xiàng)，提高web服務(wù)器的負(fù)載能力。

3. 過(guò)濾不必要的服務(wù)和端口

就像防賊就要把多余的門窗關(guān)好封住一樣，為了減少攻擊者進(jìn)入和利用已知漏洞的機(jī)會(huì)，禁止未用的服務(wù)，將開放端口的數(shù)量最小化就十分重要。端口過(guò)濾模塊通過(guò)開放或關(guān)閉一些端口，允許用戶使用或禁止使用部分服務(wù)，對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，分析端口，判斷是否為允許數(shù)據(jù)通信的端口，然后做相應(yīng)的處理。

4. 限制特定的流量

檢查訪問(wèn)來(lái)源并做適當(dāng)?shù)南拗?，以防止異常、惡意的流量?lái)襲，限制特定的流量，主動(dòng)保護(hù)網(wǎng)站安全。

對(duì)抗DDoS攻擊是一個(gè)涉及很多層面的問(wèn)題，抗DDoS需要的不僅僅是一個(gè)防御方案，一個(gè)設(shè)備，更是一個(gè)能制動(dòng)的團(tuán)隊(duì)，一個(gè)有效的機(jī)制。面對(duì)攻擊大家需要具備安全意識(shí)，完善自身的安全防護(hù)體系才是正解。隨著互聯(lián)網(wǎng)業(yè)務(wù)的越發(fā)豐富，可以預(yù)見(jiàn)DDoS攻擊還會(huì)大幅度增長(zhǎng)，攻擊手段也會(huì)越來(lái)越復(fù)雜多樣。安全是一項(xiàng)長(zhǎng)期持續(xù)性的工作，需要時(shí)刻保持一種警覺(jué)，更需要全社會(huì)的共同努力。

5.檢查攻擊來(lái)源

通常黑客會(huì)通過(guò)很多假IP地址發(fā)起攻擊，此時(shí)，用戶若能夠分辨出哪些是真IP哪些是假IP地址，然后了解這些IP來(lái)自哪些網(wǎng)段，再找網(wǎng)網(wǎng)管理員將這些機(jī)器關(guān)閉，從而在第一時(shí)間消除攻擊。如果發(fā)現(xiàn)這些IP地址是來(lái)自外面的，而不是公司內(nèi)部的IP的話，可以采取臨時(shí)過(guò)濾的方法，將這些IP地址在服務(wù)器或路由器上過(guò)濾掉。

6.屏蔽攻擊的路由

找出攻擊者所經(jīng)過(guò)的路由，把攻擊屏蔽掉。若黑客從某些端口發(fā)動(dòng)攻擊，用戶可把這些端口屏蔽掉，以阻止入侵。不過(guò)此方法對(duì)于公司網(wǎng)絡(luò)出口只有一個(gè)，而又遭受到來(lái)自外部的DDoS攻擊時(shí)不太奏效，畢竟將出口端口封閉后，所有計(jì)算機(jī)都無(wú)法訪問(wèn)internet了。

7.在路由器上濾掉ICMP

這是一種比較折中的方法，雖然在DDoS攻擊時(shí)他無(wú)法完全消除入侵，但是過(guò)濾掉ICMP后，可以有效的防止攻擊規(guī)模的升級(jí)，也可以在一定程度上降低攻擊的級(jí)別。

通過(guò)上面介紹的對(duì)于ddos攻擊的防御方式，大家應(yīng)該知道當(dāng)網(wǎng)站被ddos攻擊了應(yīng)該怎么辦吧。如果您需要更專業(yè)的抗DDOS服務(wù)，或者是其他攻擊防御的，可以隨時(shí)聯(lián)系快快網(wǎng)絡(luò)苒苒Q712730904，電話18206066164，專業(yè)的高防團(tuán)隊(duì)可以根據(jù)您的需求定制最合適的方案，性價(jià)比高，