ddos攻击成web网站最严重的安全问题之一，如何解决？

很显然离不开执法部门对该类型网络攻击的打压。当地时间周三上午，欧洲刑警组织宣布关闭了Webstresserorg--一个明码标价出售DDoS网络攻击的网站。据欧洲刑警披露，该网站总共有136多万名用户，截止到4月前总共发起了400万起网络攻击。

DDoS攻击通过向目标网站或服务器发出大量请求迫使后者被迫下线。2016年的Dyn攻击中就曾成功地让Twitter、Spotify、Reddit等大型网站被迫暂时关闭。黑客们如果想要发起这样的攻击则需要大量的设备--通常用的是被劫持的IoT设备--但像Webstresserorg等这样的网站却能为愿意付钱的人直接提供这种服务。这意味着犯罪分子不需要技术专家也能发起网络攻击。

联合网络犯罪行动特别工作组荷兰主席JaapvanOss在一份声明中指出，Streeser等这样的网站让强有力的武器落入犯罪分子之中。

欧洲刑警称，Webstreeser曾是全球最大的DDoS服务供应商，在这个网站被捣毁之前它曾攻击过银行、警察局、政府以及游戏网站。去年7月，英国最大的7家银行就遭到了来自Webstresser的网络攻击并最终迫使整个系统关闭造成数十万美元的经济损失。

据《福布斯》披露，美国人是最主要的攻击对象和客户。

除了捣毁网站，警方还逮捕了该网站在英国、克罗地亚、加拿大以及塞尔维亚的四名管理者，另外位于荷兰、意大利、西班牙、澳大利亚等高级客户也被逮捕，而该网站设立在荷兰、美国、德国的基础设施也已被查封。

随着DDOS攻击的成本越来越低，很多人就通过DDOS来实现对某个网站或某篇文章的“下线”功能，某篇文章可能因为内容质量好，在搜索引擎有较高的排名，但如果因为DDOS导致网站长时间无法访问，搜索引擎则会将这篇文章从索引中删除，网站的权重也会降低，因为达到了“下线”文章的目的。
对付DDOS不太容易，首先要找一个靠谱的主机供应商，我之前有个主机供应商，一发现某个IP被DDOS，就主动屏蔽这个IP好几天，实际上就是硬件和技术能力不足的表现。
国外的主机供应商也未必靠谱，比如之前有次被DDOS，我就把博客转到Dreamhost的空间，事实表明Dreamhost的防DDOS的能力不敢恭维，DDOS来了之后，Dreamhost对付DDOS倒是不客气，直接把中国地区的IP全给屏蔽了。
一般来说，DDOS是需要花钱和带宽的，解决DDOS也需要花钱和带宽，那么，如果服务器被DDOS了，我们应该怎么办呢？
1、保证服务器系统的安全
首先要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。
2、隐藏服务器的真实IP地址
不要把域名直接解析到服务器的真实IP地址，不能让服务器真实IP泄漏，服务器前端加CDN中转（免费的CDN一般能防止5G左右的DDOS），如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。
总之，只要服务器的真实IP不泄露，5G以下小流量DDOS的预防花不了多少钱，免费的CDN就可以应付得了。如果攻击流量超过10G，那么免费的CDN可能就顶不住了，需要购买一个高防的盾机来应付了，而服务器的真实IP同样需要隐藏。

一般来说，DDOS是需要花钱和带宽的，解决DDOS也需要花钱和带宽，那么，如果服务器被DDOS了，我们主要从以下两个方面来解决
1、保证服务器系统的安全
首先要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。
2、隐藏服务器的真实IP地址
不要把域名直接解析到服务器的真实IP地址，不能让服务器真实IP泄漏，服务器前端加CDN中转(免费的CDN一般能防止5G左右的DDOS)，如果资金充裕的话，可以购买锐速云高防，用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。
总之，只要服务器的真实IP不泄露，5G以下小流量DDOS的预防花不了多少钱，免费的CDN就可以应付得了。如果攻击流量超过10G，那么免费的CDN可能就顶不住了，需要购买一个高防的盾机来应付了，而服务器的真实IP同样需要隐藏。

检查自己服务器是不是进了什么不太和谐的网站。很有可能是挂马里面绑DDOS。
补丁全部打齐。杀软进行更新。
有可能1433扫了你做肉鸡，拿你去DDOS。
或者可能就是被同行恶意攻击。
要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
尽量避免NAT的使用 。
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的

DDoS都有哪些攻击方式？

DDoS常见的攻击有SYN Flood攻击、ACK Flood攻击、UDP Flood攻击、DNS Flood攻击、CC攻击等。这些攻击方式可分为以下几种：

1、通过使网络过载来干扰甚至阻断正常的网络通讯；
2、通过向服务器提交大量请求，使服务器超负荷；
3、阻断某一用户访问服务器；
4、阻断某服务与特定系统或个人的通讯。

像SYN攻击从早期的利用TCP三次握手原理，伪造的IP源，以小博大，难以追踪，堪称经典的攻击类型。大量的伪造源的SYN攻击包进入服务器后，系统会产生大量的SYN_RECV状态，最后耗尽系统的SYN
Backlog，导致服务器无法处理后续的TCP请求，导致服务器瘫痪。

DDoS攻击如何防御？

1、采用高性能的服务器，CPU处理能力更强；
2、开通更高的网络带宽，带宽决定抗攻击的能力；
3、把网站做成静态页面或者伪静态；
4、启用 SYN 攻击保护；
5、关闭不必要的服务，限制同时打开的Syn半连接数目；
6、开通Anti-DDoS流量清洗，DDoS高防服务；
7、安装专业防CC攻击的Web应用防火墙；
8、>