Web安全形勢嚴峻，防禦DDoS勢在必行，這些必要措施都有嗎？

目前還沒有人敢說能徹底防禦DDoS。Web安全是一個大課題，在網路安全事件中，針對Web的攻擊是最多的。DDoS就是流量攻擊，最常見也是最難防禦的。

由於DDoS攻擊往往採取合法的資料請求技術，再加上傀儡機器，造成DDoS攻擊成為最難防禦的網路攻擊之一。可導致網站當機、崩潰、內容被篡改，進一步造成使用者品牌、財產嚴重受損。分享幾個防禦DDoS攻擊的方案，希望能幫助到有需要的使用者。

一、自主防禦：

（1）確保採用最新系統，並及時更新打上安全補丁。

（2）定期掃描漏洞，要確保程式軟體沒有任何漏洞，防止攻擊者入侵，及時打上補丁修復漏洞。

（3）過濾不必要的服務和埠，即過濾路由器上的假IP，只開啟服務埠，例如WWW伺服器只開啟80個埠，關閉所有其他埠，或在防火牆上設定阻止它們。

（4）檢查訪客來源，使用單播反向路徑轉發等方法，透過反向路由器查詢，檢查訪客IP地址是否為真，如果為假，則遮蔽。許多駭客經常使用假IP地址來迷惑使用者，很難找到它的來源，因此使用單播反向路徑轉發可以減少假IP地址的發生，有助於提高網路安全性。

二、採用高防IP：

高防IP是針對網際網路在遭受大流量DDoS攻擊後，導致服務不可用的情況下的服務，其防禦原理是使用者可透過配置高防IP，將攻擊流量引流到高防IP，從而保護真正的IP不被暴露，確保源站的穩定安全。

三、配置Web應用程式防火牆：

國內資料中心一般都會採用防火牆防禦DDoS攻擊，我們今天把防火牆情況分為兩種：

（1）叢集防禦，單線機房防禦一般在：10G-32G的叢集防禦，BGP多線機房一般為：10G以內叢集防火牆。

（2）獨立防禦，獨立防禦都是出現在單線機房，或者是多線多ip機房，機房防禦能力一般為：10G-200G不等，這種機房是實現的單機防禦能力，隨著資料中心的防禦DDoS攻擊的能力提高，還有就是競爭壓力比較大，高防的價格也在不斷的創造新低。

四、CDN內容分發：

透過CDN防禦的方式：CDN技術的初衷是提高網際網路使用者對網站的訪問速度，但是由於分散式多節點的特點，又能夠對分散式拒絕攻擊流量產生稀釋的效果。所以目前CDN防禦的方式不但能夠起到防禦的作用，而且使用者的訪問請求是到最近的快取節點，所以也對加速起到了很好的作用。

CDN防禦的最重要的原理：透過智慧DNS的方式將來自不同位置的流量分配到對應的位置上的節點上，這樣就讓區域內的節點成為流量的接收中心，從而將流量稀釋的效果，在流量被稀釋到各個節點後，就可以在每個節點進行流量清洗。從而起到防禦作用。

目前針對防禦DDoS流量攻擊的方法中CDN防禦也分為自建CDN防禦，這種情況防禦能力較好，但是成本較高，需要部署多節點，租用各個節點伺服器，如果應用較少的話，造成資源浪費。另外就是租用別人現成的CDN防禦，可以極大的節省成本，並且防禦能力很少非常好。

本文來自：https://www.zhuanqq.com/News/Industry/409.html