由锤子手机服务器被攻击　谈服务器预防DDoS攻击的方法

８月２５日晚，锤子“坚果手机”发布会因故推迟、ＰＰＴ一堆错漏、抢红包故障，据悉是因锤子官网服务器遭遇了数十Ｇ流量ＤＤｏＳ恶意攻击，现场ＰＰＴ也是临时赶制、边写边用，好端端的一场发布会被ＤＤｏＳ攻击搞的狼狈不堪。

　　分布式拒绝服务攻击（ＤＤｏＳ）是目前常见的网络攻击方法，它的英文全称为Ｄｉｓｔｒｉｂｕｔｅｄ　Ｄｅｎｉａｌ　ｏｆ　Ｓｅｒｖｉｃｅ｡简单来说，很多ＤｏＳ攻击源一起攻击某台服务器就形成了ＤＤＯＳ攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者将攻击程序通过代理程序安装在网络上的各个“肉鸡”上，代理程序收到指令时就发动攻击。

　　ＤＤｏＳ攻击的危害很大，而且很难防范，可以直接导致网站宕机、服务器瘫痪，造成权威受损、品牌蒙羞、财产流失等巨大损失，严重威胁着中国互联网信息安全的发展。

图：ＤＤｏＳ攻击示意图

　　随着ＤＤＯＳ攻击在互联网上的肆虐泛滥，使得ＤＤｏＳ的防范工作变得更加困难。数据显示，今年Ｑ２，ＤＤｏＳ攻击活动创下新纪录，同比增长了１３２％。其中，最大规模的ＤＤｏＳ攻击峰值流量超过了２４０　Ｇｂｐｓ，持续了１３个小时以上。目前而言，黑客甚至对攻击进行明码标价，打１Ｇ的流量到一个网站一小时，只需５０块钱。ＤＤｏＳ的成本如此之低，使用如此之嚣张，而且攻击了也没人管，那么，广大的网站用户应该采取怎样的措施进行有效的防御呢？下面我就介绍一下防御ＤＤｏＳ的基本方法。

　　１、保证服务器系统的安全

　　首先要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。

　　２、隐藏服务器的真实ＩＰ地址

　　服务器前端加ＣＤＮ中转（免费的有百度云加速、３６０网站卫士、加速乐、安全宝等），如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实ＩＰ，域名解析使用ＣＤＮ的ＩＰ，所有解析的子域名都使用ＣＤＮ的ＩＰ地址。此外，服务器上部署的其他域名也不能使用真实ＩＰ解析，全部都使用ＣＤＮ来解析。

　　另外，防止服务器对外传送信息泄漏ＩＰ地址，最常见的情况是，服务器不要使用发送邮件功能，因为邮件头会泄漏服务器的ＩＰ地址。如果非要发送邮件，可以通过第三方代理（例如ｓｅｎｄｃｌｏｕｄ）发送，这样对外显示的ＩＰ是代理的ＩＰ地址。

　　总之，只要服务器的真实ＩＰ不泄露，１０Ｇ以下小流量ＤＤＯＳ的预防花不了多少钱，免费的ＣＤＮ就可以应付得了。如果攻击流量超过２０Ｇ，那么免费的ＣＤＮ可能就顶不住了，需要购买一个高防的盾机来应付了，而服务器的真实ＩＰ同样需要隐藏。

本文 陈佐博客 原创，转载保留链接！网址：http://chenzuo.cn/post/865.html