针对ddos攻击有什么比较好的办法？

遭受ddos攻击，有什么好方法解决吗？~

可以在电脑上安装360网站卫士，网站卫士有一个很强的抗攻击集群，有超过350G的抗攻击能力，能够防御大部分DDoS攻击。

　　随着Internet互联网络带宽的增加和多种DDoS黑客工具的不断发布，DDoS拒绝服务攻击的实施越来越容易，DDoS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素，导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDoS攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题，因此，解决DDoS攻击问题成为网络服务商必须考虑的头等大事。
　　DDoS是英文Distributed Denial of Service的缩写，意即分布式拒绝服务，那么什么又是拒绝服务(Denial of Service)呢？可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。
　　虽然同样是拒绝服务攻击，但是DDoS和DOS还是有所不同，DDoS的攻击策略侧重于通过很多僵尸主机(被攻击者入侵过或可间接利用的主机) 向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为洪水式攻击。
　　常见的DDoS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言，危害较大的主要是DDoS攻击，原因是很难防范，至于DOS攻击，通过给主机服务器打补丁或安装防火墙软件就可以很好地防范，后文会详细介绍怎么对付DDoS攻击。　　三、被DDoS了吗？
　　DDoS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。
　　当然，这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采取Telnet主机服务器的网络服务端口来测试，效果是一样的。不过有一点可以肯定，假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都Ping不通了或者是严重丢包，那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击，再一个流量攻击的典型现象是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。
　　相对于流量攻击而言，资源耗尽攻击要容易判断一些，假如平时Ping网站主机和访问网站都是正常的，发现突然网站访问非常缓慢或无法访问了，而 Ping还可以Ping通，则很可能遭受了资源耗尽攻击，此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定肯定是遭受了资源耗尽攻击。
　　还有一种属于资源耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令，其实带宽还是有的，否则就Ping不通接在同一交换机上的主机了。
　　当前主要有三种流行的DDoS攻击：
　　1、SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDoS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK 包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。
　　少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。
　　2、TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序(如：IIS、Apache等Web服务器)能接受的TCP连接数是有限的。
　　一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。
　　3、刷Script脚本攻击：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、 MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。
　　一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过 Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务。
　　常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址。

被DDoS/CC攻击是一件非常烦的事情，网站排名稍微好一点就会遇到同行攻击，轻的网站运行缓慢，软件APP运行困难，重的网站直接打不开，服务器IP被封禁，严重影响了业务，造成不同程度的损失。早期的时候DDoS/CC防御成本是远比攻击成本高的，所以网上被攻击是非常常见的一种打击对手的手段。不过随着互联网的飞速发展，目前防御攻击成本已经非常便宜了，今天主机吧就来说说国内有哪些便宜的防御攻击的方法。

1 百度云加速

如果算上免费用户量的话，百度云加速无疑是国内最受欢迎的防御攻击产品，收费版价格更是国内最便宜的，10G防御专业版主机吧代理价只需1180一年，一个月不到100块。百度云加速不仅可以防御DDOS/CC攻击，同时还可以加速网站访问，拦截扫描，还帮网站推送百度搜索引擎，有利于SEO，所以是国内防御攻击首选，不过如果你的网站正在被攻击，那么必须得换IP再接入百度云加速，否则防御是无效的，同时百度云加速要求域名备案，正规内容，所以还是有很多网站无法接入百度云加速防御的。相关链接

2 高防IP

跟阿里云腾讯云一样，主机吧直接提供机房合作的高防IP服务，相对于阿里腾讯，主机吧提供的高防IP要便宜很多，价格适中，以联通高防IP为例，400G

DDoS防御，支持更高级别的自义CC防御规则，50M独享带宽，只需要800元一月，防御效果非常好，而且24小时都有技术值班处理，对内容审核也没有百度云加速这么严格，只需要域名有备案，不是黄赌毒就行，接入前提还是需要把服务器IP更换一个，高防IP并不限于域名使用，像APP、游戏、软件之类的都适用高防IP，一样可以防御DDOS/CC攻击，所以高防IP使用得比较广泛。

3 360网站卫士收费版

360网站卫士跟百度云加速一样都是做免费起家，不过去年开始提供收费版了，据使用的用户反馈效果还不错，定价比百度贵些，但相对整体市场来说还是挺便宜的，不过目前为止360收费版还是限用户使用的，而且内容方面跟百度一样，审核得比较死，跟百度云加速一样，要求服务器换新IP再接入。

4 高防服务器

如果你的服务器没办法换新IP，那么你还是考虑下更换个服务器吧，因为往往换新服务器的成本远低于你直接在原空间商买高防服务便宜得多，以阿里云为例，不支持换IP，被攻击后都是推荐你购买他们家的高防IP，一个月费用高达6800元，还只是10G防御而以，相当不划算，所以你可以考虑换个高防服务器。

---

针对ddos攻击有什么比较好的办法？视频