服务器ddos防御是一项很让所有站长玩家头疼欲裂的深渊，服务器ddos防御不是防一种攻击，而是一大类攻击，你可能要面临几十种类型的攻击模式，新型攻击还在进化。而且网站运行的各个环节，都可以是攻击目标。只要把一个环节攻破，使得整个流程跑不起来，就达到了瘫痪服务的目的。

ddos防御服务器：http://www.hkt4.com/dedicated/hk-ddos.html

ddos防御。最常见的流量攻击是大量正常的请求，超出服务器的最大承受量，导致网站服务器宕机。可能你的网站平时一天四五百个IP，突然有一天，用户请求像洪水一样涌来，几百个不同的IP同时访问，几分钟的时间，日志文件的体积就大了100MB。说实话，小到几个G大到几十个G的流量，这种情况下如何做好服务器ddos防御，cdn防护和高防服务器哪个更适合网站?

服务器防御ddos的五个段位：

1、青铜段位：做好网站备份

对于任何突发事件多有退路，防范 服务器DDOS防御更重要，就是你要有一个备份网站，或者最低限度有一个临时主页。万一服务器被打死了，攻击结束后可以切换到备份网站，毕竟任何攻击多不可能是永远的，ddos攻击成本也非常高。

备份网站不一定是全功能的，如果能做到全静态浏览，就能满足需求。最低限度应该可以显示公告，告诉用户，网站出了问题，正在全力抢修。我的个人网站下线的时候，我就做了一个临时主页，很简单的几行 HTML 代码。这种临时主页建议放到 Github Pages 或者 Netlify，它们的带宽大，可以应对攻击，而且都支持绑定域名，还能从源码自动构建。

2、白银段位：网络节点配置防火墙

我们使用的网络设备包含了路由器、防火墙以及负载均衡等设备，它们实际可以将网络保护起来，最大限度的降低DDoS攻击，以此达到防御的目的。而且我们使用的防火墙本身是可以防御DDoS攻击的。我们在配置策略的时候，可以将出现的攻击，通过防火墙技术引向部分作为牺牲的主机，来保护我们使用的服务器不受到攻击。

3、黄金段位：拦截限制流量、过滤地址

HTTP 请求的拦截，如果恶意请求有特征，对付起来很简单：直接拦截它就行了。HTTP 请求的特征一般有两种：IP 地址和 User Agent 字段。比如，恶意请求都是从某个 IP 段发出的，那么把这个 IP 段封掉就行了。或者，它们的 User Agent 字段有特征(包含某个特定的词语)，那就把带有这个词语的请求拦截。

拦截可以在三个层次

(1)专用硬件：Web 服务器的前面可以架设硬件防火墙，专门过滤请求。这种效果最好，但是价格也最贵。

(2)本机防火墙：操作系统都带有软件防火墙，Linux 服务器一般使用 iptables。比如，拦截 IP 地址1.2.3.4的请求，可以执行下面的命令。

$ iptables -A INPUT -s 1.2.3.4 -j DROP

iptables 比较复杂，我也不太会用。它对服务器性能有一定影响，也防不住大型攻击。

(3)、Web 服务器，Web 服务器也可以过滤请求。拦截 IP 地址1.2.3.4，nginx 的写法如下。

location / {

deny 1.2.3.4;

}

Apache 的写法是在.htaccess文件里面，加上下面一段。

Require all granted

Require not ip 1.2.3.4

如果想要更精确的控制(比如自动识别并拦截那些频繁请求的 IP 地址)，就要用到 WAF。这里就不详细介绍了，nginx 这方面的设置可以参考这里和这里。Web 服务器的拦截非常消耗性能，尤其是 Apache。稍微大一点的攻击，这种方法就没用了。

4、白金段位：关闭端口、定期扫描

我们需要定期对服务器使用的网络节点进行扫描，检查存在的安全漏洞，并及时对漏洞进行处理。另外，我们需要关闭掉服务器上不常使用的端口，降低被网络攻击的几率。目前这类方法是普遍采用的方式。

5、砖石段位：利用网络设备资源抵御攻击

①、增加服务器带宽： DDOS 攻击是没有特征的，它的请求看上去跟正常请求一样，而且来自不同的 IP 地址，所以没法拦截。这就是为什么 DDOS 特别难防的原因。当然，这样的 DDOS 攻击的成本不低，普通的网站不会有这种待遇。不过，真要遇到了该怎么办呢，有没有根本性的防范方法呢?

答案很简单，就是设法把这些请求都消化掉。对于网站来说，就是在短时间内急剧扩容，提供几倍或几十倍的防御。顶住大流量的请求。这就是为什么云服务商可以提供防护产品，因为他们有大量冗余带宽，可以用来消化 DDOS 攻击。

4、增加防御CDN

CDN 指的是网站的静态内容分发到多个服务器，用户就近访问，提高速度。因此，CDN 也是带宽扩容的一种方法，可以用来防御 DDOS 攻击。

网站内容存放在源服务器，CDN 上面是内容的缓存。用户只允许访问 CDN，如果内容不在 CDN 上，CDN 再向源服务器发出请求。这样的话，只要 CDN 够大，就可以抵御很大的攻击。不过，这种方法有一个前提，网站的大部分内容必须可以静态缓存。对于动态内容为主的网站(比如论坛)，就要想别的办法，尽量减少用户对动态数据的请求。

上一节提到的镜像服务器，本质就是自己搭建一个微型 CDN。各大云服务商提供的高防 IP，背后也是这样做的：网站域名指向高防 IP，它提供一个缓冲层，清洗流量，并对源服务器的内容进行缓存。这里有一个关键点，一旦上了 CDN，千万不要泄露源服务器的 IP 地址，否则攻击者可以绕过 CDN 直接攻击源服务器，前面的努力都白费。搜一下"绕过 CDN 获取真实 IP 地址"，你就会知道国内的黑产行业有多猖獗。

上一篇：盘点一下高级玩家，为什么普遍用香港ip代理？
下一篇：cdn加速价格受什么影响？给你3个答案