分布式拒絕服務(wù)攻擊(DDOS)是目前常見的網(wǎng)絡(luò)攻擊方法，它的英文全稱為Distributed Denial of Service？簡單來說，很多DoS攻擊源一起攻擊某臺服務(wù)器就形成了DDOS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。

通常，攻擊者將攻擊程序通過代理程序安裝在網(wǎng)絡(luò)上的各個“肉雞”上，代理程序收到指令時就發(fā)動攻擊。

隨著DDOS攻擊的成本越來越低，很多人就通過DDOS來實(shí)現(xiàn)對某個網(wǎng)站或某篇文章的“下線”功能，某篇文章可能因?yàn)閮?nèi)容質(zhì)量好，在搜索引擎有較高的排名，但如果因?yàn)镈DOS導(dǎo)致網(wǎng)站長時間無法訪問，搜索引擎則會將這篇文章從索引中刪除，網(wǎng)站的權(quán)重也會降低，因?yàn)檫_(dá)到了“下線”文章的目的。

對付DDOS不太容易，首先要找一個靠譜的主機(jī)供應(yīng)商，我之前有個主機(jī)供應(yīng)商，一發(fā)現(xiàn)某個IP被DDOS，就主動屏蔽這個IP好幾天，實(shí)際上就是硬件和技術(shù)能力不足的表現(xiàn)。

國外的主機(jī)供應(yīng)商也未必靠譜，比如之前有次被DDOS，我就把博客轉(zhuǎn)到Dreamhost的空間，事實(shí)表明Dreamhost的防DDOS的能力不敢恭維，DDOS來了之后，Dreamhost對付DDOS倒是不客氣，直接把中國地區(qū)的IP全給屏蔽了。

一般來說，DDOS是需要花錢和帶寬的，解決DDOS也需要花錢和帶寬，那么，如果服務(wù)器被DDOS了，我們應(yīng)該怎么辦呢?

1、保證服務(wù)器系統(tǒng)的安全

首先要確保服務(wù)器軟件沒有任何漏洞，防止攻擊者入侵。確保服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁。在服務(wù)器上刪除未使用的服務(wù)，關(guān)閉未使用的端口。對于服務(wù)器上運(yùn)行的網(wǎng)站，確保其打了最新的補(bǔ)丁，沒有安全漏洞。

2、隱藏服務(wù)器的真實(shí)IP地址

不要把域名直接解析到服務(wù)器的真實(shí)IP地址，不能讓服務(wù)器真實(shí)IP泄漏，服務(wù)器前端加CDN中轉(zhuǎn)(免費(fèi)的CDN一般能防止5G左右的DDOS)，如果資金充裕的話，可以購買高防的盾機(jī)，用于隱藏服務(wù)器真實(shí)IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析，全部都使用CDN來解析。

總之，只要服務(wù)器的真實(shí)IP不泄露，5G以下小流量DDOS的預(yù)防花不了多少錢，免費(fèi)的CDN就可以應(yīng)付得了。如果攻擊流量超過10G，那么免費(fèi)的CDN可能就頂不住了，需要購買一個高防的盾機(jī)來應(yīng)付了，而服務(wù)器的真實(shí)IP同樣需要隱藏。

本文鏈接：http://www.cscec4b3.com.cn/article/166.html