如何解除防御DDoS的疑难问题？

随着互联网的快速发展，互联网生态越来越混乱，流量攻击也越来越频繁。5G时代，万物互联，DDoS攻击规模迈入T级时代，一切防御DDoS手段也只是减轻攻击伤害。那将来该如何防御呢？
 
DDoS攻击本身是无解的。无论是正规的企业网站、棋牌游戏网站、电子商务网站还是娱乐网站，很多站长都因各种网络攻击而导致网站崩溃，服务器被迫切断网络，使正常用户无法访问，造成重大损失。下面介绍一些防御DDoS攻击的手段，从DDoS攻击本身的特点来看，要想提高防御能力。可以从下面几点来着手：
 
1、增强主机安全能力
 
在部署网络服务时，不要把设备性能掐算得那么死。可以多预留一点CPU、内存、网络带宽等处理能力。这样，就算有DDoS攻击，目标系统也能多支撑一会儿。加强主机的安全策略，及时更新操作系统的安全补丁，尤其是关于TCP/IP协议堆栈方面的修复补丁。对主机上安全的互联网程序应该尽量保持更新，web网站尽量用全静态页面，并可配置iptables和nginx的反向代理来增强防御能力。数据库尽量拒绝使用代理访问。
 
2、部署专业安全设备
 
专业的安全设备一般会集成反DDoS功能，它们会对常见的DDoS攻击包进行识别。一旦识别成功，会主动丢去这些攻击包，并拒绝攻击者的连接。安全系统也还可以部署蜜罐假目标，让DDoS攻击的攻击流量流向了假目标。同时，安全系统发现攻击会联动防火墙做各种限制措施。
 
应急防御DDoS攻击的措施
 
DDoS攻击属于拒绝服务攻击。黑客通常利用庞大的“僵尸主机”对目标发起大量的连接。导致连接数量超出目标设备所能承受的极限范围。最终设备无法对外提供服务。面对这种情况，一般有以下防御应急措施。
 
1、限制连接数：在安全设备上限制对目标主机的访问连接数，即限制每秒新建的连接数。这可以有效减轻目标主机的压力。
 
2、限制IP：因为黑客发起DDoS攻击经常会伪造IP，所以可以通过发起sync包反向探测源IP地址是否真实存在，如果真实存在，立即封禁该IP。
 
3、限制递归查询：适用于类似针对DNS查询发起DDoS攻击。因为运营商的主DNS的查询有很多是来自其他DNS服务器的递归查询。如果服务器扛不住DDoS攻击，可以临时先关闭递归查询，减轻主DNS压力。
 
以上3条可以减轻被攻击主机的压力，但没法完全防御DDoS攻击。要想更好地防御DDoS攻击，还是要提前做好各种安全防御措施。
   
没有绝对的防御DDoS攻击措施，但通过上面的安全措施，可以减少被攻击的风险。如果不幸被攻击后，也可以有效减轻被攻击造成的压力。目前针对DDoS流量攻击的防护方法中CDN防御也分为自建CDN防御，这种情况防御能力较好，但是成本较高，需要部署多节点，租用各个节点服务器，如果应用较少的话，造成资源浪费。另外就是租用别人现成的CDN防御，可以极大的节省成本，并且防御能力很少非常好。