DDoS 攻击简介

分布式拒绝服务攻击（DDoS 攻击）是一种针对目标系统的恶意网络攻击。 DDoS攻击往往会导致攻击者的业务无法正常访问，也就是所谓的拒绝服务。

常见的DDoS攻击包括以下几类：

网络层攻击：典型的攻击类型是UDP反射攻击，例如NTP Flood攻击。此类攻击主要利用大流量来拥塞攻击者的网络带宽，导致攻击者的业务无法正常响应客户访问。

传输层攻击：典型的攻击类型包括SYN Flood攻击、连接数攻击等，这些攻击通过占用服务器的连接池资源来达到拒绝服务的目的。

会话层攻击：典型的攻击类型是SSL连接攻击。此类攻击通过占用服务器的SSL会话资源来达到拒绝服务的目的。

应用层攻击：典型的攻击类型包括DNS Flood攻击、HTTP Flood攻击、游戏假人攻击等，这些攻击占用服务器的应用处理资源，极大消耗服务器的处理性能，从而达到拒绝服务的目的。

缓解DDoS 攻击的最佳技巧

建议阿里云用户从以下几个方面来缓解DDoS攻击的威胁：

减少暴露面，隔离资源和不相关业务，降低被攻击的风险。

优化业务架构，利用公有云的特点，设计弹性伸缩和容灾切换的系统。

服务器安全性得到加强，服务器本身的连接数等性能得到提高。

开展业务监控和应急响应。 DDOS攻击应对策略

1.定期检查服务器漏洞

定期检查服务器软件安全漏洞是保证服务器安全的最基本措施。无论是操作系统（Windows或Linux）还是常用的网站应用软件（mysql、Apache、nginx、FTP等），服务器运维人员都必须特别关注这些软件的最新漏洞动态，并及时打补丁及时发现高危漏洞。

2.隐藏服务器真实IP

通过CDN节点传输加速服务，可以有效隐藏网站服务器的真实IP地址。根据网站具体情况选择CDN服务。对于普通的中小企业网站或者个人网站，可以先使用免费的CDN服务，比如百度云加速、七牛CDN等，等网站流量增加、需求量大之后，就可以考虑付费了。对于CDN服务，还可以考虑小蚁云安全团队的立体防御，隐藏源IP，多个防御节点，实现自动防御。

其次，为了防止服务器对外传输信息时泄露IP地址，最常见的情况是服务器不应该使用发送电子邮件功能，因为电子邮件标头会泄露服务器的IP地址。如果一定要发送邮件，可以通过第三方代理（如sendcloud）发送，这样对外显示的IP就是代理的IP地址。

3.关闭不必要的服务或端口

这也是服务器运维人员最常见的做法。在服务器防火墙中，仅开放使用的端口，如网站Web服务的80端口、数据库的3306端口、SSH服务的22端口等。关闭不需要的服务或端口，并在路由器上过滤假IP。

4.购买高防提高承受能力

该措施是通过购买高防盾机、增加服务器带宽等资源来提高其抵御攻击的能力。一些知名的IDC服务商提供了相应的服务，如阿里云、腾讯云等，但这种方案成本预算较高，不适合普通中小企业甚至个人站长。这里推荐小蚁云安全团队的高防IP产品。价格是这些大厂家的十分之一，而且效果也很好。这里不过不做过多阐述。