最近一直在普及ddos和cc攻击

ddos攻击

甚么是DDoS？

“你开了一间饭馆，我花钱雇了很多人冲进你的饭馆，占了你的餐位，纠缠你的服务员，但就是不点吃的。这样一来，真正想消费的顾客进不去，你就没有办法提供服务。”

——DDoS

cc攻击

CC攻击（Challenge Collapsar）是DDOS（散布式谢绝服务）的一种，也是一种常见的网站攻击方法，攻击者通过代理服务器或肉鸡向向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。

那末哪种攻击对服务器的伤害大呢？

ddos攻击主要是针对IP，针对IP进行发送大量报文进行攻击，致使服务器过载，一个IP的正常流量是有限的，如果被长时间占用带宽过大那末就会直接致使服务器直接宕机，那末正经常使用户干脆直接访问不了服务器，也没有办法进行正常业务

cc攻击呢主要就是模仿真人去访问服务器的数据库，致使服务器内存直接爆炸，其实在业内来讲，cc攻击比ddos还难处理一些，cc攻击有很多种攻击的方式而且多样化，致使cc防护有时候要花更多的钱去做防御，而且就算花很多的钱去防护也不一定防御的住，一定要要找小刀君来抓包定制策略。

现如今ddos的危害愈来愈大，很多创业者刚开始的时候可能会由于控制本钱问题而不舍的接入防御，从而致使项目中支，今天小刀君就给大家介绍几个低本钱的防御方案：

1.如果只有几台计算机是攻击的来源，并且你已肯定了这些来源的 IP 地址, 你就在防火墙服务器上放置一份ACL（访问控制列表) 来阻断这些来自这些 IP 的访问。如果可能的话 将 web 服务器的 IP 地址变更一段时间，但是如果攻击者通过查询你的 DNS 服务器解析到你新设定的IP，那这一措施及不再有效了。

2.如果你肯定攻击来自一个特定的国家，可以斟酌将来自那个国家的 IP 阻断，最少要阻断一段时间.

3.监控进入的网络流量。通过这类方式可以知道谁在访问你的网络，可以监控到异常的访问者，可以在事后分析日志和来源IP。在进行大范围的攻击之前，攻击者可能会使用少许的攻击来测试你网络的硬朗性。

4.对付带宽消耗型的攻击来讲，最有效（也很昂贵）的解决方案是租赁更多的带宽。通过DDoS硬件防火墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量会不会正常，进一步将异常流量制止过滤。单台负载每秒可防御800⑼27万个syn攻击包。

5.也能够使用高性能的负载均衡软件，使用多台服务器，并部署在区别的数据中心。

6.对Web和其他资源使用负载均衡的同时，也使用相同的策略来保护DNS。

7.优化资源使用提高web server的负载能力。例如，使用apache可以安装apachebooster插件，该插件与varnish和nginx集成，可以应对突增的流量和内存占用。

8.使用高可扩大性的DNS装备来保护针对DNS的DDoS攻击。可以斟酌租赁Cloudflare的商业解决方案，它可以提供针对DNS或TCP/IP3到7层的DDoS攻击保护。如果想取得更多的服务支持（海外的安全服务通常为没有售后的，如果遇到问题只能提交工单进行解决，效力很低。），可以斟酌选择国内的云安全公司。推荐小刀云安全、腾讯云和阿里云。

9.启用路由器或防火墙的反IP欺骗功能。在CISCO的ASA防火墙中配置该功能要比在路由器中更方便。在 ASDM（Cisco Adaptive Security Device Manager）中启用该功能只要点击“配置”中的“防火墙”，找到“anti-spoofing”然后点击启用便可。也能够在路由器中使用 ACL（access control list）来避免 IP 欺骗，先针对内网创建 ACL，然后利用到互联网的接口上。

10.使用第三方的服务来保护你的网站。有很多公司有这样的服务，提供高性能的基础网络设施帮你抵抗谢绝服务攻击。你只需要按月支付几百美元费用就行。

11.注意服务器的安全配置，避免资源耗尽型的 DDoS 攻击。

12.听从专家的意见，针对攻击事前做好应对的应急方案。

13.监控网络和 web 的流量。如果有可能可以配置多个分析工具，例如：Statcounter 和 Google analytics，这样可以更直观了解到流量变化的模式，从中获得更多的信息。

14.保护好 DNS 避免 DNS 放大攻击。

15.在路由器上禁用 ICMP。仅在需要测试时开放 ICMP。在配置路由器时也斟酌下面的策略：流控，包过滤，半连接超时，垃圾包抛弃，来源捏造的数据包抛弃，SYN 阀值，禁用 ICMP 和 UDP 广播。

16. 散布式集群防御：这是目前网络安全界防御大范围DDoS攻击的最有效办法。散布式集群防御的特点是在每一个节点服务器配置多个IP地址，并且每一个节点能承受不低于10G的DDOS攻击，如一个节点受攻击没法提供服务，系统将会根据优先级设置自动切换另外一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更加深度的安全防护角度去影响企业的安全履行决策。

17.云防御：目前，许多的企业面对大攻击时都是采取这类方式来进行防御，一方面可以通过云进行调度，另外一方面操作也非常的简单，并且面对各种类型来势汹汹的DDoS攻击都能及时响应。但缺点是攻击量大时是价格会比较高，这个要看企业对DDoS攻击的衡量，是被打垮了损失的费用更大或者花钱抗D花费的费用更大。

四川小刀安盾网络技术有限公司（简称“小刀网络”）成立于2014年，公司总部位于杭州，旗下在成都、上海、重庆、深圳、北京等多个独立运营公司，已服务超过12万家客户，员工总数近300名，业务遍及全国26个省市。是一家致力于为企业提供APP定制，小程序开发，网站定制，网络安全公司。公司花重金打造WAF防护、漏洞扫描、入侵检测、网络安全态势感知、立体防御、小刀游戏盾、高防IP、高防CDN等产品。为企业提供专业的全方位信息化综合解决方案。客户群主要包括网络游戏、视频网站、电子商务平台、互联网门户、政府及企业网站、金融、区块链等帮助企业取得最新最快最全面的互联网信息和保障用户互联网数据的安全和稳定。我们秉持"客户第一、诚信创新"的经营理念。

Qq：3568756813微信：15273892565（电话同号）

旗下小刀云安全品牌专业为客户提供DDoS流量监控、WAF防护、漏洞扫描、入侵检测、网络安全态势感知、主机加固、等保整改建设等安全业务服务。接入简单、秒级生效。为政府、金融、高校、医疗、支付、游戏、直播等各行业客户保驾护航。www.ddos5.com全国服务热线：