高防服务器如何防御DDoS流量攻击？

1高防服务器标准防御

提供自动DDos流量防御，手工CC防御。

比如当syn报文超过一定数量pps后，会自动进入防御状态。拦截攻击流量，放行正常流量。在没有达到防御阀值前所有攻击由服务器自身防御。另外每个源IP到服务器的最高连接数有限制，对每个连接刷新频率也有限制。考虑一般用户基本不使用UDP业务，对UDP流量有速率限制。内容来自bigone

当客户被CC攻击时候，需要联系机房手工开启CC防御。

标准客户默认防御能力10G流量防御，当攻击流量超过10G后，该IP地址会直接被牵引。

客户可以根据自己的需求增加防御能力。

2UDP业务标准防御

针对有UDP业务的客户。提供自动DDos流量防御，手工CC防御。

开放所有UDP端口，放宽UDP流量限制，UDP防御触发阀值为标准客户的100倍。其他防御参数和标准客户相同

3高性能服务器防御

提供自动DDos流量防御，手工CC防御。

由于高性能的服务器对DDos的抵抗力较强，所以在标准客户防御的基础上调高了防火墙各项DDos防御触发阀值。在没有达到防御阀值前所有攻击由服务器自身防御。可以避免一些客户正常业务被防火墙误屏蔽。对UDP流量速率限制。

4UDP业务高性能防御

针对有UDP业务的客户。提供自动DDos流量防御，手工CC防御。

调高了防火墙各项DDos防御触发阀值。开放所有UDP端口，放宽UDP流量限制。加装透明观测窗，并将驾驶舱地板提高，使领航员获得了更好的视界，且能够更方便的进出观察舱。新的机头里边装配了精确的导航设备，包括光学瞄准具，以确保航空摄影的准确性。

从DDoS攻击的趋势看，未来DDoS攻击的流量约来越大，如果仅仅采用近业务主机的异常流量清洗方案，即使防护设备能力再高，也无法赶上DDoS攻击流量的增长，无法满足防护要求。而采用近源清洗的方式，将异常流量清洗设备分散部署在靠近攻击源的位置，每个清洗设备只清洗一部分，综合起来，就具有了巨量的异常流量清洗能力，且其防护能力具有非常好的d性，不仅可以满足现在的需要，还可以满足抵御更高的大流量DDoS攻击的需要。
实现异常流量清洗需要检测和清洗能力的结合，如果只采用近源流量清洗的方式，由于攻击流量小，告警阀值低，容易产生误判和漏判的问题。因此总体设计思路如下：
1、采用检测和清洗能力分离的方式。从提高检测灵敏度和经济性的角度考虑，尽可能将检测设备靠近业务主机部署，或者在核心网进行检测。而对于清洗设备来说，尽量多的靠近攻击源进行部署。
2、近源和近业务主机清洗方式相结合。通过近源部署清洗设备的方式，可以获得非常大的异常流量清洗能力和d性，同时也可以降低成本。但是，如果每个异常流量清洗点漏洗一部分攻击流量，比如说开启流量清洗动作阀值下的流量，这些流量汇聚到业务主机，也就形成了DDoS攻击，因此还需要近业务主机部署清洗设备，以处理这种情况。
3、双向异常流量清洗。对于某些网络接入点或网络区域的业务主机来说，其可能会受到外部的DDoS攻击，同时其也会向外发送DDoS攻击数据，且这两种情况可能同时发生，因此需要进行双向异常流量清洗。
4、统一管理和协同。对于一次具体的大流量DDoS攻击来说，一旦检测设备检测到攻击，就需要按需调动相应的清洗设备按照统一的策略进行异常流量清洗，因此需要对所有清洗设备进行统一管理，做好动作协同。
另外，为了减少误判、漏判的发生，需要将异常流量检测设备的检测数据汇聚起来，进行筛选、比对和分析，提高检测准确率，减少漏报率，并能够根据攻击来源，明确需要调动的清洗设备。
深圳市锐速云计算有限公司你身边的网络安全专家，主要为客户提供全球范围内抗DDoS攻击、防CC攻击、漏洞扫描、渗透测试、定制cdn加速、WEB应用防火墙、服务器租用、云计算、私有云、互联网疑难杂症解决方案综合服务!

我们知道，服务器对外提供服务，基本上都是放置在公网上的。所以说服务器放置在公网上会面临很多攻击，如果不做好必要的防护措施，服务器被人攻击只是时间上的问题。

而我们面临的众多攻击中，DDoS攻击是最常见同时也是影响较大的攻击。DDoS是分布式拒绝服务攻击，发起攻击者会将很多台电脑联在一起对同一台服务器进行请求。因为每一台服务器其实都是有资源、宽带和计算上的瓶颈的，特别是一些带宽小、内存小、CPU计算能力低的服务器在面临较多请求时，服务器负载瞬间上涨、带宽被占满，导致其它服务器无法处理其它合法用户的正常请求。

从本质上说，DDoS带来的请求也是正常请求，所以DDoS防护较难。但是，如果我们把服务器的真实IP隐藏起来，那可以很大程度减小DDoS攻击的可能。

有哪些手段可以隐藏服务器真实的IP呢，我觉得主要有以下几种方案：

1、禁用服务器ICMP回显响应

互联网上的服务器众多，一般情况下我们在公网上的服务器被人发现是要一段时间的，攻击者会通过IP段来扫描存活的机器，一旦扫描到某个IP时有回显，说明此IP是存活的，就会被攻击者记录下来，所以我们要关闭回显功能，这样别人扫描时服务器没有响应，可以避免被人发现。

不管是WindowsServer还是Linux都可以通过防火墙来关闭ICMP回显功能。

WindowsServer *** 作方法：

控制面板》查看方式“大图标”》Windows防火墙》左侧“高级设置”》入站规则》找到“文件和打印机共享(回显请求-ICMPv4-In)”和“文件和打印机共享(回显请求-ICMPv6-In)”双击，然后选中“已启用”和“阻止连接”，示：

Linux服务器 *** 作方法：

#vi/etc/sysconfig/iptables

添加几条规则，示：

2、利用CDN隐藏源站真实IP

CDN本来是内容分发用的，主要用来做资源加速的，但是CDN本身上也算是一种代理服务器，所以可以隐藏源站的IP。另外CDN节点都带有一定的防护功能，所以DDoS攻击时，CDN可以帮我们分担很多的流量，这样对于源站影响就较小了。

3、使用高防IP

通过主防IP转发，这样就能隐藏源服真实IP。

据美国最新的安全损失调查报告，DDoS攻击所造成的经济损失已经跃居第一。传统的网络设备和周边安全技术，例如防火墙和IDSs(Intrusion Detection Systems)， 速率限制，接入限制等均无法提供非常有效的针对DDoS攻击的保护，需要一个新的体系结构和技术来抵御复杂的DDoS拒绝服务攻击。 DDoS攻击揭秘 DDoS攻击主要是利用了internet协议和internet基本优点——无偏差地从任何的源头传送数据包到任意目的地。 DDoS攻击分为两种：要么大数据，大流量来压垮网络设备和服务器，要么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。有效防止DDoS攻击的关键困难是无法将攻击包从合法包中区分出来：IDS进行的典型“签名”模式匹配起不到有效的作用；许多攻击使用源IP地址欺骗来逃脱源识别，很难搜寻特定的攻击源头。 有两类最基本的DDoS攻击： ● 带宽攻击：这种攻击消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器和防火墙；带宽攻击的普遍形式是大量表面看合法的TCP、UDP或ICMP数据包被传送到特定目的地；为了使检测更加困难，这种攻击也常常使用源地址欺骗，并不停地变化。 ● 应用攻击：利用TCP和>