服务器被DDoS攻击？如何缓解DDoS攻击？

DDoS攻击是目前最常见的一种网络恶意攻击行为，中文翻译为分布式拒绝服务攻击。常见的DDoS攻击类型又分为网络层攻击、传输层攻击、会话层攻击、应用层攻击等，主要都是利用大流量僵尸网络拥塞被攻击者的网络带宽和服务器资源，导致被攻击者的业务无法正常响应客户访问。当服务器被DDOS攻击时不要惊慌，墨者安全通过多年的高防经验总结了一些缓解DDoS攻击的有效措施，企业可以通过以下几个方面来缓解DDoS攻击威胁：

一、缩小暴露面

1、配置安全组

尽量避免将非业务必须的服务端口暴露在公网上，从而避免与业务无关的请求和访问。通过配置安全组可以有效防止系统被扫描或者意外暴露。

2、使用专有网络（VPC）

通过专有网络VPC实现网络内部逻辑隔离，防止来自内网肉鸡的攻击。

二、优化业务架构

1、科学评估业务架构性能

在业务部署前期或运营期间，技术团队应该对业务架构进行压力测试，以评估现有架构的业务吞吐处理能力，为DDoS防御提供详细的技术参数指导信息。

2、弹性和冗余架构

通过负载均衡架构、或异地多中心的架构避免业务架构中出现单点故障，如果你的服务器接入了墨者高防IP，可以使用灵活的负载均衡服务实现多台服务器的多点并发处理业务访问，将用户访问流量均衡分配到各个服务器上，降低单台服务器的压力，这样可以有效缓解大流量范围内的连接层DDoS攻击。

3、部署弹性伸缩

弹性伸缩（Auto Scaling），是根据用户的业务需求和策略，经济地自动调整弹性计算资源的管理服务。通过部署弹性伸缩，系统可以有效的缓解会话层和应用层攻击，在遭受攻击时自动增加服务器，提升处理性能，避免业务遭受严重影响。

4、优化DNS解析

屏蔽未经请求发送的DNS响应信息

丢弃快速重传数据包

启用TTL

丢弃未知来源的DNS查询请求和响应数据

丢弃未经请求或突发的DNS请求

启动DNS客户端验证

对响应信息进行缓存处理

使用ACL的权限

利用ACL，BCP38及IP信誉功能

5、提供余量带宽

通过服务器性能测试，评估正常业务环境下所能承受的带宽和请求数。在购买带宽时确保有一定的余量带宽，可以避免遭受攻击时带宽大于正常使用量而影响正常用户的情况。

三、服务器安全加固

1、对服务器上的操作系统、软件服务进行安全加固，减少可被攻击的点，增大攻击方的攻击成本：

确保服务器的系统文件是最新的版本，并及时更新系统补丁，对所有服务器主机进行检查，清楚访问者的来源。

2、过滤不必要的服务和端口

例如，对于WWW服务器，只开放80端口，将其他所有端口关闭，或在防火墙上设置阻止策略。限制同时打开的SYN半连接数目，缩短SYN半连接的timeout时间，限制SYN/ICMP流量。

3、仔细检查网络设备和服务器系统的日志

一旦出现漏洞或是时间变更，则说明服务器可能遭到了攻击。限制在防火墙外进行网络文件共享。降低黑客截取系统文件的机会，若黑客以特洛伊木马替换它，文件传输功能将会陷入瘫痪。

4、充分利用网络设备保护网络资源。

在配置路由器时应考虑针对流控、包过滤、半连接超时、垃圾包丢弃、来源伪造的数据包丢弃、SYN阀值、禁用ICMP和UDP广播的策略配置。通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接，限制疑似恶意IP的连接、传输速率。

以上这几点就是墨者安全总结的一些DDOS防护经验，当企业服务器遭到DDOS攻击时，服务商为了避免同一网络下的其他用户服务器受到影响，可能会直接进行黑洞处理。所以企业的运维人员要提前做好各种应急技术预案，关键数据信息做好双重备份，尽量将DDOS攻击对企业造成的影响降到最低，保障企业的业务正常运行。