DDOS攻击一般指分布式拒绝服务攻击,因为其隐藏性非常好,所以想做溯源工作非常困难,一直是网络中最让人头疼的流量攻击之一。假如网站被DDOS攻击了,我们可以分为以下几种方法来解决问题:
第一、硬件防火墙
很多人会想到在服务器硬件上安装硬件防火墙,从而达到过滤清洗流量的目的,但是如果防火墙的最大承受能力是300G,但是攻击却有400G,那么服务器一样会宕机,还有一些情况是,防火墙过滤掉了攻击,但服务器还是死了,这可能是服务器本身的宽带太小了,然后攻击又很大,回源的量也不少,一下挤满了源站的带宽资源,网站就变得打不开了,当然大多的硬件防火墙只能做到网络层检测数据包,但到了应用层,就无能为力了。
第二、加大服务器带宽硬抗
服务器的带宽首先决定了服务器承受攻击的能力,国内大部分网站的服务器带宽都不会超过100M,因为要想获取优质且庞大的带宽,在成本上是一个不小的数字,DDOS攻击是靠控制肉鸡,个人电脑,服务器来发包,假如黑客控制的足够多,打出来的量也就足够大,当黑客向某个网站攻击时,服务器的带宽一下就会被占满。增加带宽是理论上最直接的办法,但也是成本最高的方法,所以大部分人不会选择用昂贵的成本增加带宽。
第三、关闭不必要的端口和服务
对于暴露在公网的服务器来说,开放的端口越少越好,因为你开放的越多,给黑客的机会就越大,当然客户有特殊需求就另算,这只是从安全的角度出发,还有一些不必要的服务也可以关闭,在服务器上的某些未经专业机构授权的服务,也建议关闭,非常容易出现漏洞,让黑客有机可乘。
第四、接入CDN服务
对于大多数的CDN服务商来说,拥有节点数的都是高防服务器要多得多的,在数据上可以做到内容缓存,在带宽上可以做到访问加速,如果是国内的用户多,那是可以用国内的高防,速度够快,防御也好,但如果针对的用户不止国内的话,那就建议接入CDN服务,因为很多的攻击代理都来自国外,当然不排除国内也有量。
第五、提升系统吞吐量
如果攻击者携带百万请求,我们的服务通过负载均衡策略能够提供千万请求处理能力,那么是可以完美的解决DDOS问题的,获取到流量后进行IP封禁。同理攻击者可以发送更多的请求来压垮我们的服务,当然这需要更高的成本,因为我们认为保护系统数据安全和提高系统性能是应对DDOS的正确解决方案。