服务器怎样做好防御ddos攻击？

可以通过做好隐藏和硬抗两个方面来防御DDoS攻击：

1、做好日常隐藏工作

对于企业来说，减少公开暴露是防御 DDoS 攻击的有效方式。比如说：网站做CDN加速，隐藏真实IP；限制特定IP访问等。

2、硬抗

在遭受DDoS攻击的时间，可以通过扩大出口带宽、购买景安DDOS防护产品。

扩展资料：

DDoS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

参考资料：

百度百科：DDoS

    景安网络：服务器如何做好ddos防御？

将服务器设置为NAT吧，装上server2003后安装路由与远程访问服务，在启用时点选NAT，再在你的网内发布IIS,将IIS 的网站通过端口映射的方式给外网，具体 *** 作可以上网查可以一起讨论哈，用NAT是最简便最有效的方法

我们知道，服务器对外提供服务，基本上都是放置在公网上的。所以说服务器放置在公网上会面临很多攻击，如果不做好必要的防护措施，服务器被人攻击只是时间上的问题。

而我们面临的众多攻击中，DDoS攻击是最常见同时也是影响较大的攻击。DDoS是分布式拒绝服务攻击，发起攻击者会将很多台电脑联在一起对同一台服务器进行请求。因为每一台服务器其实都是有资源、宽带和计算上的瓶颈的，特别是一些带宽小、内存小、CPU计算能力低的服务器在面临较多请求时，服务器负载瞬间上涨、带宽被占满，导致其它服务器无法处理其它合法用户的正常请求。

从本质上说，DDoS带来的请求也是正常请求，所以DDoS防护较难。但是，如果我们把服务器的真实IP隐藏起来，那可以很大程度减小DDoS攻击的可能。

有哪些手段可以隐藏服务器真实的IP呢，我觉得主要有以下几种方案：

1、禁用服务器ICMP回显响应

互联网上的服务器众多，一般情况下我们在公网上的服务器被人发现是要一段时间的，攻击者会通过IP段来扫描存活的机器，一旦扫描到某个IP时有回显，说明此IP是存活的，就会被攻击者记录下来，所以我们要关闭回显功能，这样别人扫描时服务器没有响应，可以避免被人发现。

不管是WindowsServer还是Linux都可以通过防火墙来关闭ICMP回显功能。

WindowsServer *** 作方法：

控制面板》查看方式“大图标”》Windows防火墙》左侧“高级设置”》入站规则》找到“文件和打印机共享(回显请求-ICMPv4-In)”和“文件和打印机共享(回显请求-ICMPv6-In)”双击，然后选中“已启用”和“阻止连接”，示：

Linux服务器 *** 作方法：

#vi/etc/sysconfig/iptables

添加几条规则，示：

2、利用CDN隐藏源站真实IP

CDN本来是内容分发用的，主要用来做资源加速的，但是CDN本身上也算是一种代理服务器，所以可以隐藏源站的IP。另外CDN节点都带有一定的防护功能，所以DDoS攻击时，CDN可以帮我们分担很多的流量，这样对于源站影响就较小了。

3、使用高防IP

通过主防IP转发，这样就能隐藏源服真实IP。

要在linux上配置DNS ，简单说DNS是域名解析服务，可以实现域名到IP的解析，也可以实现IP到域名的反向解析功能。 能够使用户更方便的访问互联网。
1、linux 如何配置dns
DNS 分服务器端和客户端的，现在分别简单说下。
（1）：linux DNS 服务器端配置简要说明
一般互联网公司或域名提供商，都有自己的DNS服务器， 在互联网上99%的DNS服务器都是运行在linux平台上的。
linux上常用bind软件包来搭建DNS Server服务
大致过程是：
安装bind软件包—— 编译DNS 主配置文件namedconf —— 编辑区域配置文件（正反向区域配置文件）—— named-checkconf语法检查以上配置是否正确——正确的话 启动named服务—— 进行互联网测试（一般用nslookup测试解析是否生效）。
也可以用，目前比较流行的unbound 软件包来搭建DNS Server服务器，在配置上跟bind有所差异。
unbound是一款相对简单的DNS服务器软件，相对于bind的复杂配置，更适合新手搭建DNS服务器使用。

（2）：Linux DNS 客服端配置
DNS客户端意思是，本机只作为客户端使用第三方DNS server服务器提供的DNS服务， 客户端机器（linux系统）访问Internet上的web站点，需要做DNS来提供域名的解析。

以centos为例
用来域名解析服务的DNS服务器的IP，配置在/etc/resolvconf这个文件中，如 nameserver 20210222768 表示。
修改linux客户端DNS的ip后，需要重启下网络服务，才能使得DNS功能生效。 可用 "nslookup 域名" 的方式来测试客户端DNS功能是否正常。

2、 高防服务器承载量多大
高防服务器可以抗流量攻击，提高服务器的自身防御能力。比如常见的DDOS攻击，攻击者发送大量的请求 ，占用大量网络资源，以达到瘫痪网络。高防服务器依靠机房智能防火墙系统进行流量清洗，过滤掉异常的请求。
一台服务器的承载量跟服务器的硬件性能和带宽的关系比较大。在服务器硬件一定的情况下， 那服务器的负载，并发数量取决于带宽了。
此外，必须要考虑应用类型。
如视频和普通文本，所使用的网络资源是不一样，所以并发量也不一样的。
比如100M带宽，看视频
100M的独享带宽的理论速度：
100Mbps×1024÷8＝12800KB/S
以视频服务器为例，在用户群较少的情况下，用户源上的沉淀很少，带宽大部分要由100M服务器提供，100M服务器可以支持300人在线点播400K码率的**。所以至少支持并发人数：300
当用户非常多的时候，很多视频一发布很快就有足够的源沉淀下来，这样服务器只需要提供部分带宽，100M服务器可以把冗余带宽用于源少的视频，反而能支持更多用户。这种情况下服务器能满足的同时观看人数就没有上限。
当用户数量一半多的时候，这个时候比较尴尬，因为大部分文件的来源数并没有达到不由服务器提供带宽的地步，然而用户多并且文件占用的多，很多视频都需要服务器提供带宽，用户源那不太多，100M服务器能提供的带宽有限，用户点播视频可能就会有点卡。
企业要根据自身的网站类型和流量预判来选择带宽大小。高防服务器

---