如何有效的避免和防范网络DDoS流量攻击

1、使用CDN加速。当然，这里的CDN并不只有加速这一项优势，关键的关键是CDN可以隐藏你的服务器真实IP，这样就要以避免黑客发起我以你源站IP的DDOS攻击了；

推荐不错的CDN给你。知道创宇加速乐、360网站安全。这些都是可以的，目前使用的是知道创宇加速乐，速度快还很稳定。之前用360网站安全来接入，经常提醒我浏览器安全检查，放弃了；

2、当然，如果你的源站IP已经暴露了，那么使用CDN最多只能起到加速的效果，你只有使用接入第三方安全防御了，因为我使用的是知道创宇加速乐CDN，配套的也是使用的抗D保，之前遇到过50G的DDOS攻击，防住了。当然，DDOS攻击流量越大，费用也会越大，但是流量比较小<2Gbps，是可以免费防的了。

增加带宽，这个成本就太高了，你增加50M，黑客使用51M一样的可以给你的源站打死，而且带宽成本太高，不建议这样做，你又不是BAT或者其它大企业。

1.本地DDos防护设备

一般恶意组织发起DDos攻击时，率先感知并起作用的一般为本地数据中心内的DDos防护设备，金融机构本地防护设备较多采用旁路镜像部署方式。本地DDos防护设备一般分为DDos检测设备、清洗设备和管理中心。首先，DDos检测设备日常通过流量基线自学习方式，按各种和防御有关的维度，比如syn报文速率、http访问速率等进行统计，形成流量模型基线，从而生成防御阈值。学习结束后继续按基线学习的维度做流量统计，并将每一秒钟的统计结果和防御阈值进行比较，超过则认为有异常，通告管理中心。由管理中心下发引流策略到清洗设备，启动引流清洗。异常流量清洗通过特征、基线、回复确认等各种方式对攻击流量进行识别、清洗。经过异常流量清洗之后，为防止流量再次引流至DDos清洗设备，可通过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络，访问目标系统。

2.运营商清洗服务

当流量型攻击的攻击流量超出互联网链路带宽或本地DDos清洗设备性能不足以应对DDos流量攻击时，需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗，运营商通过各级DDos防护设备以清洗服务的方式帮助用户解决带宽消耗型的DDos攻击行为。实践证明，运营商清洗服务在应对流量型DDos攻击时较为有效。

3.云清洗服务

当运营商DDos流量清洗不能实现既定效果的情况下，可以考虑紧急启用运营商云清洗服务来进行最后的对决。依托运营商骨干网分布式部署的异常流量清洗中心，实现分布式近源清洗技术，在运营商骨干网络上靠近攻击源的地方把流量清洗掉，提升攻击对抗能力。具备适用场景的可以考虑利用CNAME或域名方式，将源站解析到安全厂商云端域名，实现引流、清洗、回注，提升抗D能力。进行这类清洗需要较大的流量路径改动，牵涉面较大，一般不建议作为日常常规防御手段。

以上三种防御方式存在共同的缺点，由于本地DDos防护设备及运营商均不具备HTTPS加密流量解码能力，导致针对HTTPS流量的防护能力有限同时由于运营商清洗服务多是基于Flow的方式检测DDos攻击，且策略的颗粒度往往较粗，因此针对CC或HTTP慢速等应用层特征的DDos攻击类型检测效果往往不够理想。

1、屏蔽攻击源ip地址，从源头上堵死流量来源。

2、使用百度加速乐或者360网站卫士。

3、在百度站长平台申请闭站保护。

一.刷网站流量，造成网站带宽耗尽，让用户达不到。很多站长使用的虚拟主机，虚拟主机的流量一旦被刷完，服务提供商可能就会关闭服务器。

二.网站被百度降权，收录减少，排名下降，甚至直接被百度K站。尤其是使用百度统计等相关百度系工具的网站更是会被百度察觉异常并被百度惩罚。即便是没有被百度发觉，大流量可能会影响蜘蛛顺利抓取网站。

三.测试服务器宽带抗压容量和内存处理能力，下一步更大规模的攻击，直接阻塞掉服务器。服务器宽带容量是有限的，垃圾流量堵塞住了正常管道，普通用户的数据请求很可能达不到服务器。主机内存和cpu的处理能力也是有限的，超大批量的数据处理可能让电脑宕机。

四.刷联盟广告的流量，广告联盟如果被刷次数太多的话可能被禁封账号。

---