为了对抗DDoS（分布式拒绝服务）攻击，你需要对攻击时发生了什么有一个清楚的理解。简单来讲，DDoS攻击可以通过利用服务器上的漏洞，或者消耗服务器上的资源(例如内存、硬盘等等)来达到目的。DDoS攻击主要要两大类：带宽耗尽攻击和资源耗尽攻击。

为了有效遏制这两种类型的攻击，下面列出一些操作步骤来做：

1、如果只有几台计算机是攻击的来源，并且你已经确定了这些来源的IP地址，可以在防火墙服务器上放置一份ACL（访问控制列表)来阻断这些来自这些IP的访问。如果可能的话将web服务器的IP地址变更一段时间，但是如果攻击者通过查询DNS服务器解析到你新设定的IP，那这一措施就不再有效了。

2、如果确定攻击来自一个特定的国家，可以考虑将来自那个国家的IP阻断，至少要阻断一段时间。

3、监控进入的网络流量。通过这种方式可以知道谁在访问你的网络，可以监控到异常的访问者，可以在事后分析日志和来源IP。在进行大规模的攻击之前，攻击者可能会使用少量的攻击来测试你网络的健壮性。

4、对付带宽消耗型的攻击来说，最有效（也很昂贵）的解决方案是购买更多的带宽。

5、也可以使用高性能的负载均衡软件，使用多台服务器，并部署在不同的数据中心。

6、对web和其他资源使用负载均衡的同时，也使用相同的策略来保护DNS。

7、优化资源使用提高webserver的负载能力。例如，使用apache可以安装apachebooster插件，该插件与varnish和nginx集成，可以应对突增的流量和内存占用。

8、使用高可扩展性的DNS设备来保护针对DNS的DDOS攻击。可以考虑购买Cloudfair的商业解决方案，它可以提供针对DNS或TCP/IP3到7层的DDOS攻击保护。

9、启用路由器或防火墙的反IP欺骗功能。在CISCO的ASA防火墙中配置该功能要比在路由器中更方便。在ASDM（CiscoAdaptiveSecurityDeviceManager）中启用该功能只要点击“配置”中的“防火墙”，找到“anti-spoofing”然后点击启用即可。也可以在路由器中使用ACL（accesscontrollist）来防止IP欺骗，先针对内网创建ACL，然后应用到互联网的接口上。

10、使用第三方的服务来保护你的网站。有不少公司有这样的服务，提供高性能的基础网络设施帮你抵御拒绝服务攻击。你只需要按月支付几百美元费用就行。

11、注意服务器的安全配置，避免资源耗尽型的DDOS攻击。

12、听从专家的意见，针对攻击事先做好应对的应急方案。

13、监控网络和web的流量。如果有可能可以配置多个分析工具，例如：Statcounter和Googleanalytics，这样可以更直观了解到流量变化的模式，从中获取更多的信息。

14、保护好DNS避免DNS放大攻击。

15、在路由器上禁用ICMP。仅在需要测试时开放ICMP。在配置路由器时也考虑下面的策略：流控，包过滤，半连接超时，垃圾包丢弃，来源伪造的数据包丢弃，SYN阀值，禁用ICMP和UDP广播。

最后多了解一些DDOS攻击的类型和手段，并针对每一种攻击制定应急方案。

80%的人都看过的文章

• 大量WordPress网站被挂上了恶意代码
• WordPress如何禁用admin用户名尝试登录？
• 知名网站Cloudflare大规模网络故障
• WordPress网站健康检查分数达到100%的12个技巧
• 2018年十大数据泄露事件盘点
• 如何保证WordPress网站免受DDoS攻击和其他安全风险
• 通过强制跳转HTTPS来提升网站安全等级
• 2018年DDoS攻击和移动欺诈剧增