如何防御DDos攻击

我们知道，服务器对外提供服务，基本上都放置在公网上的。所以说服务器放置在公网上会面临许多攻击，如果不做好必要的防护措施，服务器被攻击只是时间上的问题。
而面临的众多攻击中，DDos攻击是最常见的同时也是影响较大的攻击。DDos是分布式拒绝服务攻击，发起攻击者会将许多台电脑连在一起对同一台服务器进行请求。因为每一台服务器其实都是有资源，带宽和计算瓶颈的，特别是一些带宽小，内存小，CPU计算能力低的服务器在面临较多请求时，服务器负载瞬间上涨，带宽被占满，导致其他服务器无法处理其他合法用户的正常请求。

从本质上说，DDos带来的请求也是正常的请求，所以DDos防护较为困难。但是，如果我们把真实服务器的IP隐藏起来，那就可以很大程度减小DDOS攻击的可能性。

有哪些手段可以隐藏真实服务器的IP呢，我觉得主要有以下几种方案：
1.禁用服务器ICMP回显响应
互联网上的服务器众多，一般情况下我们在公网上的服务器要被人发现是要一段时间的，攻击者会通过IP段来扫描存活的机器，一旦扫描到某个IP有回显，说明此IP是存活的，就会被攻击者记录下来，所以我们要关闭回显功能，这样别人扫描服务器没有响应，可以避免被人发现。
不管是Windows还是Linux都可以通过防火墙来关闭ICMP回显功能
*Windows server的操作方法
控制面板》查看方式大图标》window防火墙》左侧 ‘高级设置 ’》入站规则》找到“文件和打印机共享（回显请求ICMP-in）”和文件打印机共享（回显请求-ICMPv6-in）双击选中“已启用”和“阻止链接”
如下图所示

image.png

image.png

*Linux系统则需要打出如下指令

image.png

2.也可以通过如下方法
实际上隐藏真实服务器地址也是阻挡不了ddos，ddos攻击也是正常请求访问服务器，只是访问量比较大导致系统压力暴增，严重导致宕机，实际生产环境项目部署都会使用nginx等反向代理服务器做负载均衡，也就是说客户访问的是负载均衡服务器的ip而不是真实的服务器ip，即nginx隐藏真实服务器ip。防御ddos的方法有很多种，常见的有ip限流，例如：监控ip请求访问量，若访问暴增超过指定阈值，可限制该IP访问，拉入访问黑名单，并进行相关提示，黑名单可按业务设定有效期解禁。限制措施还可以是验证码。例如访问量比较大的接口可通过短信，图形验证码等形式格挡，可减少接口的并发访问量，最常见的例如12306的变态验证码，可缓解登录、提交订单相关接口的访问压力
3.增加服务器的带宽，增强服务器的性能

'''当然这些方法可能是不全面的，欢迎大家批评指正'''