從phpddos源碼談防禦（phpddos攻擊代碼）

• 1、DDoS攻擊有哪些防禦方法？怎麼做好防禦工作
• 2、如何有效防禦DDOS攻擊？
• 3、什麼是DDOS攻擊？如何防禦攻擊？

DDoS攻擊防禦方法

1. 過濾不必要的服務和埠：可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務和埠，即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較，並加以過濾。只開放服務埠成為目前很多伺服器的流行做法，例如WWW伺服器那麼只開放80而將其他所有埠關閉或在防火牆上做阻止策略。

2. 異常流量的清洗過濾：通過DDOS硬體防火牆對異常流量的清洗過濾，通過數據包的規則過濾、數據流指紋檢測過濾、及數據包內容定製過濾等頂尖技術能準確判斷外來訪問流量是否正常，進一步將異常流量禁止過濾。單台負載每秒可防禦800-927萬個syn攻擊包。

3. 分散式集群防禦：這是目前網路安全界防禦大規模DDOS攻擊的最有效辦法。分散式集群防禦的特點是在每個節點伺服器配置多個IP地址（負載均衡），並且每個節點能承受不低於10G的DDOS攻擊，如一個節點受攻擊無法提供服務，系統將會根據優先順序設置自動切換另一個節點，並將攻擊者的數據包全部返回發送點，使攻擊源成為癱瘓狀態，從更為深度的安全防護角度去影響企業的安全執行決策,目前百度雲加速就使用這種方式，提供四到七層的DDoS攻擊防護，包括CC、SYN flood、UDP flood等所有DDoS攻擊方式， 通過分散式高性能防火牆+精準流量清洗+CC防禦+WEB攻擊攔截，組合過濾精確識別，有效防禦各種類型攻擊。相關鏈接

4. 高防智能DNS解析：高智能DNS解析系統與DDOS防禦系統的完美結合，為企業提供對抗新興安全威脅的超級檢測功能。它顛覆了傳統一個域名對應一個鏡像的做法，智能根據用戶的上網路線將DNS解析請求解析到用戶所屬網路的伺服器。同時智能DNS解析系統還有宕機檢測功能，隨時可將癱瘓的伺服器IP智能更換成正常伺服器IP，為企業的網路保持一個永不宕機的服務狀態。

DDoS攻擊的網路流量清洗

當發生DDOS攻擊時，網路監控系統會偵測到網路流量的異常變化並發出報警。在系統自動檢測或人工判斷之後，可以識別出被攻擊的虛擬機公網IP地址。這時，可調用系統的防DDOS攻擊功能介面，啟動對相關被攻擊IP的流量清洗。流量清洗設備會立即接管對該IP地址的所有數據包，並將攻擊數據包清洗掉，僅將正常的數據包轉發給隨後的網路設備。這樣，就能保證整個網路正常的流量通行，而將DDOS流量拒之門外。

採用雲DDoS清洗方式，可以為企業用戶帶來諸多好處。其表現在不僅可以提升綜合防護能力，用戶能夠按需付費，可彈性擴展，而且還能夠基於大數據來分析預測攻擊，同時能夠免費升級。對於企業用戶來說，則可實現零運維、零改造。

11種方法教你有效防禦DDOS攻擊：

1、採用高性能的網路設備

首先要保證網路設備不能成為瓶頸，因此選擇路由器、交換機、硬體防火牆等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關係或協議的話就更好了，當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某種類的DDOS攻擊是非常有效的。

2、盡量避免NAT的使用

無論是路由器還是硬體防護牆設備要盡量避免採用網路地址轉換NAT的使用，因為採用此技術會較大降低網路通信能力，其實原因很簡單，因為NAT需要對地址來迴轉換，轉換過程中需要對網路包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。

3、充足的網路帶寬保證

網路帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論採取什麼措施都很難對抗現在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主幹上了。但需要注意的是，主機上的網卡是1000M的並不意味著它的網路帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等於就有了百兆的帶寬，因為網路服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。

4、升級主機伺服器硬體

在有網路帶寬保證的前提下，請盡量提升硬體配置，要有效對抗每秒10萬個SYN攻擊包，伺服器的配置至少應該為：P42.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存，若有志強雙CPU的話就用它，內存一定要選擇DDR的高速內存，硬碟要盡量選擇SCSI的，別貪圖IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。

5、將網站做成靜態頁面或者偽靜態

事實證明，將網站做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現在為止關於HTML的溢出還沒出現。現在很多門戶網站主要都是靜態頁面，若你非要動態腳本調用，那就把它弄到另外一個單獨主機，免的遭受攻擊時連累主伺服器。當然，適當放一些不做資料庫調用腳本還是可以的，此外，最好在需要調用資料庫的腳本中拒絕使用代理的訪問，因為經驗表明使用代理訪問你網站的80%屬於惡意行為。

6、增強操作系統的TCP/IP棧

win2000和win2003作為伺服器操作系統，本身就具備一定的抵抗DDOS攻擊的能力，只是默認狀態下沒有開啟而已，若開啟的話可抵抗約10000個SYN攻擊包，若沒有開啟則僅能抵抗數百個。

7、安裝專業抗DDOS防火牆

8、HTTP請求攔截

如果惡意請求有特徵，對付起來很簡單，直接攔截就可以。HTTP請求的特徵一般有兩種：IP地址和User Agent欄位。

9、備份網站

你要有一個備份網站，或者最低限度有一個臨時主頁。生產伺服器萬一下線了，可以立刻切換到備份網站，不至於毫無辦法。

備份網站不一定是全功能的，如果能做到全靜態瀏覽，就能滿足需求，最低限度應該可以顯示公告，告訴用戶，網站出了問題，正在搶修。這種臨時主頁建議放到Github

Pages或者Netlify，它們的帶寬大，可以應對攻擊，而且都支持綁定域名，還能從源碼自動構建。

10、部署CDN

CDN指的是網站的靜態內容分布到多個伺服器，用戶就近訪問，提高速度。因此，CDN也是帶寬擴容的一種方法，可以用來防禦DDOS攻擊。

網站內容存放在源伺服器，CDN上面是內容的緩存。用戶只允許訪問CDN，如果內容不在CDN上，CDN再向源伺服器發出請求。這樣的話，只要CDN夠大，就可以抵禦很大的攻擊。不過，這種方法有一個前提，網站的大部分內容必須可以靜態緩存。對於動態內容為主的網站，就要想別的辦法，盡量減少用戶對動態數據的請求;本質就是自己搭建一個微型CDN。各大雲服務商提供的高防IP，背後也是這樣做的：網站域名指向高防IP，它提供了一個緩衝層，清洗流量，並對源伺服器的內容進行緩存。

這裡有一個關鍵點，一旦上了CDN，千萬不要泄露源伺服器的IP地址，否則攻擊者可以繞過CDN直接攻擊源伺服器，前面的努力都白費了。

11、其他防禦手段

以上的幾條建議，適合絕大多數擁有自己主機的用戶，但假如採取以上措施後仍然不能解決DDOS問題，就比較麻煩了，可能需要更多投資，增加伺服器數量並採用DNS輪巡或負載均衡技術，甚至需要購買七層交換機設備，從而使得抗DDOS攻擊能力成倍提高，只要投資足夠深入。

DDoS攻擊就是分散式拒絕服務攻擊，指藉助於客戶/伺服器技術，將多個計算機聯合起來作為攻擊平台，對一個或多個目標發動DDoS攻擊，可使目標伺服器進入癱瘓狀態。

簡單點說，就是你家擺攤賣鹹鴨蛋呢，我找一堆二流子圍著你家的鹹鴨蛋攤問東問西，就是不買東西，或者買了東西，又說鹹鴨蛋不好得退貨。讓真正想買鹹鴨蛋的人買不到，讓你家正常的業務沒法進行。

防禦：

1、儘可能對系統載入最新補丁，並採取有效的合規性配置，降低漏洞利用風險；

2、採取合適的安全域劃分，配置防火牆、入侵檢測和防範系統，減緩攻擊。

3、採用分散式組網、負載均衡、提升系統容量等可靠性措施，增強總體服務能力。通俗的說就是，我找保安幫我維持鴨蛋攤的秩序，長得就不像是好人，舉止怪異的根本不讓靠近，並且在鴨蛋攤前面畫條線排隊，每個人只能有半分鐘的買鴨蛋的時間，並且多開幾個窗口賣鴨蛋。