阿里云和腾讯云也不能否定他们无法防御，而是他们由于是外拉带宽的关系，防御成本太高了，很多用户无法承受这么高昂的防御费用，面对大的流量攻击问题，建议大家用直营机房的机器，价格对比某些知名云要低，但是防护效果要好很多，因为直营机房是和电信机房合作，拥有充足的带宽环境做防御，能让你对比某些平台花更少的钱得到更好的防护能力

过去，公有云服务提供商依靠其强大的基础设施和带宽资源，成为饱受DDoS摧残的网站的避风港。但是面对峰值高达665Gbps的物联网DDoS攻击，美国著名云计算服务提供商Akamai的工程师曾经一度尝试“兵来将挡，水来土掩”，但最后全线告急不得不“丢卒保车”，放弃了对Kebs网站的庇护。

据云清联盟安全报告数据显示，物联网已经成为新的重要DDoS攻击源，黑客通过恶意代码传播、扫描企业网站扫描、探测等多种组合的流程化攻击，控制大量僵尸网络；且攻击方式向两极化发展，慢速攻击、混合式攻击占比不断增大，使得检测防御的难度成倍增加；1.5T的峰值记录的被刷新、100G攻击次数增长100%、日均攻击次数增长110%，DDoS攻击的攻击规模及频率呈快速增长的态势。

种种情况表明，单打独斗已然不适用于抗D大战，各安全厂商间的优势互补、聚力联合、共同抵御已然成为抗D参与者的必然选择。因此在2015年由中国电信、华为、青松科技等公司共同成立了对抗云端网络攻击（目前主要的攻击形式为DDoS）的产业联盟——云清联盟。 “云清”指基于云端的流量清洗方案，联盟则旨在将全球运营商，MSSP服务提供商和IDC服务提供商的资源进行整合，构成一个云端的“DDoS防御生态系统”，统一的管理和调度，在上游更加彻底解决大流量DDoS攻击等云端网络攻击问题。

但是“云清”的功效如何，目前还有待观察。首先流量清洗的成本由谁来负担？如果是用户的话，现在动辄数十、上百G的攻击流量清洗费用价格不菲。免费提供的话，云清联盟又可以支持多久这个问题还需要去更进一步进行了解。

目前没有什么特别有效的办法能根除DDos攻击，搞这个的黑客着实有些缺德。

DDos的难以防范来源于它的攻击模式

简单来讲，DDos攻击就像是“占着板凳不吃凉粉”。举个例子，我和张三都是做餐饮的，张三见到他生意做的没我红火，就叫了一批小混混，把我店里的座位都占满却不点菜，让其他想吃饭的顾客也吃不了。但我也没什么办法，因为我分不清哪些是真正来吃饭的消费者，哪些是来捣乱的。

DDos就是这样一种令人崩溃的攻击手段，它会在短时间内向目标主机发送大量申请，而“公正无私”的服务器对于请求信息一视同仁，来一个处理一个。宝贵的主机资源被严重浪费，最终导致目标主机崩溃。近些年来DDos攻击造成的事故屡见不鲜，游戏，金融等行业成了重灾区。

虽然DDos无法根除，但可以做到一定程度的提前防范。

目前业界针对DDos共计主要有以下几种处理方式，咱们还是用先前举的开饭馆的例子：

这个问题在我们2017年撰写过的文章里针对DDoS攻击量级、特点以及本地防御的缺陷有过具体分析，过去了将近两年，DDoS的攻击量级必然有了大幅增长，但是它本身使用的技术手段、常见类型与之前差别是不大的，所以我把那篇文章去掉一些无用信息，贴上来给大家参考下。

过去的2016年，对于全球网络安全来说可能是历史上最黑暗的一年之一。

这一年里，一系列影响重大的安全事件接连曝出，用“令人印象深刻”已不足以形容。

可以使用高防cdn,高防CDN也称做云防御或者云安全，相当部分大攻击目前都是采用这种方式来进行防御，一方面可以通过云进行调度，另一方面操作也非常的简单。对抗DDoS攻击是一个涉及很多层面的问题，面对攻击大家需要具备安全意识，完善自身的安全防护体系才是正解。上海云盾（太极抗d)我上次免费测试了，测试ok后再合作的，值得推荐

感请！

DDoS攻击是一种最常见的网络攻击，它是通过TCP/IP协议的三次握手进行攻击的。是通过伪造大量的源IP地址，然后分别向服务器端发送大量的SYN包，这个时候服务器端会返回SYN/ACK 包，而伪造的IP端不会应答，服务器端没有收到伪造的IP的回应，会进行重试机制，3~5次并等待一个SYN的时间（30s-2min），如果超时则丢弃。通过大量的网络请求，消耗服务器的资源。完全防护这种攻击还是蛮有难度的。一般会有几种方式：

方法1：

路由器、交换机、硬件防火墙等设备采用一些知名度高、口碑好、质量高的产品，假如攻击发生的时候用流量限制来对抗这些攻击是可行的方法。另外使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP

方法二

在应用程序中对每个“客户端”做一个请求频率的限制，或者从网站的代码上实行优化。将数据库压力转到内存中，及时的释放资源。显示每个IP地址的请求频率，根据IP 地址和 User Agent 字段，进行过滤。

方法三

部署CDN,CDN可以把网站的静态内容分发到多个服务器，可以进行带宽扩容，增大访问量，提高承受攻击的能力。

说起对DDOS防御问题，这个对很多站长来说都是很头疼的事儿，以为一旦被DDOS攻击，除了关闭服务器好像都没有很好的办法。这时候站长们会发现网上各个平台所谓的世界先进软防/硬防都是摆设了。

其实，就我自己的经验（我自己去年一直被人恶意CC/DDOS攻击），在被DDOS攻击后，最好的办法就是停掉DNS解析，让DDOS的攻击变成没有意义的攻击，这样攻击者购买来的攻击流量也就白白浪费了（免费的攻击流量一般都很好拦截，拦截防御不了的基本可以断定是购买来的代理流量了），然后有条件的话就变更一下服务器的IP地址，重新上线网站，不过，在上线直接一定要部署好服务器本地的防火墙安全策略，还要给新的IP地址的服务器上个免费的 CDN 服务（当然，收费的最好了！），比如：百度云加速、360网站卫士、又拍云等等这些有WAF功能的 CDN 服务。这样主要是起到隐藏服务器真实IP的目的，攻击者没有服务器的真实IP就只能针对域名来实施攻击，因为用了 CDN 加速，所以攻击也就是造成某个 CDN 节点失效而已，不会对网站整体访问率有多大的影响。服务器本身的防火墙策略也可以阻挡一部分针对域名的攻击行为，结合 CDN 自身的WAF防御就分解了攻击流量，服务器的负载会逐步下降。基本上我就是这么应对几次的CC/DDOS攻击的，实践证明是成功的！

关于平时的防御你可以看看【博客网站由内而外的安全防御思路】我的博客文章，其实最重要的就是隐藏自己真实的IP地址，只有隐藏了真实的IP地址才能真正的阻挡DDOS攻击，这是基础，这也为什么我一直给站长们讲的，能用 CDN 就一定要用个 CDN ！在互联网这个“黑暗森林”里隐藏自己才是活下去的第一要素呀！

• 参考资料【博客网站由内而外的安全防御思路】
  

觉得可以是加大出口带宽，而是不公布带宽（人家可以测），分布式部署。web服务器备份，并且与数据库服务器分开。在安全设备上设置规则，过滤僵尸网络可疑数据泛洪。哈哈

1、部署边界网络防火墙和IPS，过滤网络层的DDoS攻击;

2、部署Web应用防火墙(WAF)，防御对应用层的DDoS攻击进行防护，前提是部署的WAF需要支持对僵尸(主机)网络攻击的识别和防护、慢客户端攻击的防护、匿名者攻击的防护。

现如今网络安全的重要性愈发明显，虽然黑客攻击需要成本，需要技术，但仍避免不了遭遇恶意的攻击。而作为防御方却也只能尽其所能防患于未然，目前来说解决服务器被DDOS攻击最普遍的方法莫过于使用硬件防火墙，也即是常见的高防服务器。众所周知，高防服务器都会带有一定量的硬防，或大或小，却存在一个问题，高防服务器起到的作用只是说能够撑住一定量的DDOS，而对于如今五花八门的DDoS攻击来说，那些出口才几个G的二三线机房是明显是撑不住多久的，而像某云那样的大企业也不会给你调整他有数千个客户的共用防火墙。其实应对DDOS最有效的办法，不是一个防御方案，也不是一个什么高防服务器，而是一个可以快速应变、分析能力強、能深度理解你们程序架构的可靠团队。以下就是优与云科技技术团队给大家提供的应对方法：

1、定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

2、在骨干节点配置防火墙

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。