如何启用DDoS保护？

DDOS是一系列攻击，它淹没了数据中心的关键系统，包括：

• 托管中心与互联网的网络连接
• 托管中心的内部网络和路由器
• 您的防火墙和负载均衡器
• 您的Web服务器，应用程序服务器和数据库

在开始构建DDOS防御之前，请考虑最坏情况下的风险值。对于小型社区的非关键，免费使用服务，风险总值可能是花生。对于已建立的数十亿美元业务的付费，面向公众，关键任务系统而言，价值可能是公司的价值所在。在后一种情况下，你不应该使用StackExchange :)无论如何，为了防御DDOS，你需要一个深度防御方法：

1. 与您的托管中心合作，了解他们提供的服务，包括通过网络连接到互联网的IP和端口过滤以及他们提供的防火墙服务。这一点至关重要：由于托管公司处理DDOS对一个客户造成的数据中心范围内的中断，许多站点都被托管公司从互联网上撤下。此外，在DDOS攻击期间，您将与托管中心的工作人员密切合作，因此请了解他们的紧急号码并与他们保持良好关系:)他们应该能够阻止整个国际区域，完全阻止特定服务或网络协议和其他广谱防御措施，或者仅允许列入白名单的IP（取决于您的业务模式）
2. 在托管中心 - 使用Content Delivery Network在最终用户附近分发（主要是静态）服务，并从DDOS架构师隐藏真实服务器。完整的CDN太大，DDOS无法取出所有国家的所有节点;如果DDOS专注于一个国家，至少其他用户仍然可以。
3. 使用最新的安全补丁更新所有系统和软件包 - 我的意思是所有这些： 托管交换机 - 是的，有时需要更新 路由器 防火墙 负载平衡器 操作系统 Web服务器 语言及其图书馆
4. 确保您拥有良好的防火墙或安全设备，并由合格的安全专家定期审核。防火墙的强规则可以很好地防御许多简单的攻击。能够管理每个开放服务可用的带宽也很有用。
5. 有良好的network monitoring tools到位 - 这可以帮助您了解： 你受到攻击而不是仅仅处于沉重负荷之下 攻击的来源（可能包括您通常不与之做生意的国家）和 攻击究竟是什么（端口，服务，协议，IP和数据包内容）
6. 攻击可能只是大量使用合法的网站服务（例如，点击运行查询或插入/更新/删除数据的'合法'URI） - 数千或数百万来自数千到数百万不同IP地址的请求将为其带来一个网站膝盖。或者，某些服务运行起来可能非常昂贵，只有少数请求导致DOS - 认为这是一个非常昂贵的报告。所以你需要对正在发生的事情进行良好的应用程序级监控： 已调用哪些服务以及发送了哪些参数/数据（即登录应用程序） 哪些用户正在进行调用以及从哪些IP（即登录您的应用程序） DB正在执行哪些查询和插入/更新/删除操作 系统中所有计算机（和VM）上的负载平均值，CPU利用率，磁盘I / O，网络流量 确保所有这些信息都易于检索，并且您可以关联来自不同计算机和服务的日志（即确保所有计算机使用ntp进行时间同步）。
7. 您的应用中明智的约束和限制。例如，您可能： 使用负载均衡器中的QoS功能将所有匿名会话发送到群集中的单独应用程序服务器，而登录用户使用另一组。这可以防止应用程序级别的匿名DDOS占用有价值的客户 使用强大的CAPCHA来保护匿名服务 会话超时 对某些类型的请求（如报告）设置会话限制或速率限制。确保您可以在必要时关闭匿名访问 确保用户对并发会话数有限制（以防止被黑客入侵的帐户数百万次） 为不同的服务（例如，事务使用与报告使用）使用不同的数据库应用程序用户，并使用数据库资源管理来防止一种类型的Web请求压倒所有其他服务 如果可能，使这些约束动态化，或至少可配置。这样，当您受到攻击时，您可以设置积极的临时限制（“限制”攻击），例如每个用户只有一个会话，而不是匿名访问。这对您的客户来说当然不是很好，但比没有服务要好得多。
8. 最后，但并非最不重要的是，编写DOS响应计划文档，并由所有相关方进行内部审查：业务，管理，SW开发团队，IT团队和安全专家。编写文档的过程将使您和您的团队思考问题，并帮助您做好准备，如果最糟糕的事情发生在您休息日凌晨3点。该文件应涵盖（除其他外）： 什么是风险，以及业务成本 为保护资产而采取的措施 如何检测到攻击 计划的响应和升级程序 使系统和本文档保持最新的过程

所以，除了序言，这里有一些具体的答案：

DDOS通常在服务器级别被阻止，对吗？

事实并非如此 - 大多数最糟糕的DDOS攻击都是低级别的（在IP数据包级别）并且由路由规则，防火墙和为处理DDOS攻击而开发的安全设备处理。

有没有办法在PHP级别阻止它，或者至少减少它？

一些DDOS攻击针对应用程序本身，发送有效的URI和HTTP请求。当请求率上升时，您的服务器开始挣扎，您将遇到SLA中断。在这种情况下，您可以在PHP级别执行以下操作：

• 应用程序级别监视：确保每个服务/页面以可以查看正在进行的操作的方式记录请求（以便您可以采取措施来缓解攻击）。一些想法： 有一个日志格式，您可以轻松加载到日志工具（或Excel或类似），并使用命令行工具（grep，sed，awk）进行解析。请记住，DDOS将生成数百万行日志。您可能需要对日志进行切片（特别是关于URI，时间，IP和用户）以确定正在发生的事情，并且需要生成如下数据： 正在访问哪些URI 哪些URI以高速率失败（可能是攻击者正在攻击的特定URI的指示） 哪些用户正在访问该服务 每个用户访问该服务的IP数量 匿名用户访问的URI是什么 用于给定服务的参数是什么 审核特定用户操作 记录每个请求的IP地址。不要反对DNS这一点 - 具有讽刺意味的是，这样做的成本使攻击者更容易使用DDOS 记录整个URI和HTTP方法，例如“GET http://example.com/path/to/service?arg1=ddos” 记录用户ID（如果存在） 记录重要的HTTP参数
• 合理的速率限制：您可以对给定IP或用户在给定时间段内可以发出的请求数量进行限制。合法客户每秒可以发出超过10个请求吗？匿名用户可以访问昂贵的报告吗？
• 用于匿名访问的CAPTCHA：为所有匿名请求实施CAPTCHA，以验证用户是否为人，而不是DDOS僵尸程序。

什么是阻止DDOS攻击的最快和最常见的方法？

最快的可能是放弃勒索，尽管这可能不太可取。

否则，您要做的第一件事就是联系您的托管和/或CDN提供商并与他们合作（如果他们没有联系您已经问过他们到底发生了什么......）。当DDOS发生时，它可能会对托管服务提供商的其他客户产生附带影响，并且提供商可能面临相当大的压力，只是为了保护他们的资源而关闭您的网站。准备好与提供商分享您的日志（任何和所有信息）;这些日志与其网络监视器相结合，可以共同提供足够的信息来阻止/缓解攻击。

如果您期望DDOS，那么在您提供的保护级别上对您的托管服务提供商进行资格认证是一个非常好的主意。他们应该拥有DDOS经验和工具来减轻它 - 了解他们的工具，流程和升级程序。还要询问托管服务提供商从其上游提供商那里获得的支持。这些服务可能意味着更多的前期或每月费用，但将其视为保险单。

在受到攻击时，你需要抓住你的日志并挖掘它们 - 尝试找出攻击的模式。您应该考虑关闭匿名访问并限制受攻击的服务（即降低应用程序对服务的速率限制）。

如果幸运的话，您有一个小的，固定的客户群，您可能能够确定有效的客户IP地址。如果是这种情况，您可能会在短时间内切换到白名单方法。确保所有客户都知道这是正在进行的，以便他们可以在需要从新IP访问时调用:)

Doug McClean在：https://stackoverflow.com/a/1029613/1395668有一些很好的建议

反DDOS步骤：

• 第一件重要的事情是首先识别ddos攻击。更早识别ddos攻击意味着对您的服务器更好。
• 为您的服务器提供更好的带宽。始终保持足够的带宽，这是您的服务器所需的。这不会阻止DDOS攻击，但需要更长的时间。通过它您将获得一些额外的时间来采取行动。
• 如果您拥有自己的Web服务器，那么您可以通过速率限制路由器来保护网络参数，添加过滤器以将数据包丢弃到不同的攻击源，更加积极地超时半开连接。同时设置较低的SYN，ICMP和UDP泛洪阈值。
• 如果您对这些内容不太了解，请快速联系您的托管服务提供商。他们可以尽力防止DDOS攻击。
• Cloudflare和许多其他公司也提供特殊的DDOS缓解服务。通过它他们可以帮助您防止DDOS攻击。此外，许多公司提供廉价的ddos保护和dos保护。

根据问题的PHP部分;

虽然我不依赖于PHP，但它可以实现，但需要考虑所有这些可能性或更多;

1. 攻击者可能会为每个请求更改IP
2. 攻击者可以将参数传递给目标站点不关心这些参数的URI
3. 攻击者可能会在到期前重启会话...

简单伪;

<?php
// Assuming session is already started
$uri = md5($_SERVER['REQUEST_URI']);
$exp = 3; // 3 seconds
$hash = $uri .'|'. time();
if (!isset($_SESSION['ddos'])) {
    $_SESSION['ddos'] = $hash;
}

list($_uri, $_exp) = explode('|', $_SESSION['ddos']);
if ($_uri == $uri && time() - $_exp < $exp) {
    header('HTTP/1.1 503 Service Unavailable');
    // die('Easy!');
    die;
}

// Save last request
$_SESSION['ddos'] = $hash;
?>

php级别在请求链中为时已晚。

将您的apache服务器放在开源设备后面可能是一个不错的选择。

http://tengine.taobao.org/有一些文档和源代码，更多的模块旨在预防DDOS。它是nginx的扩展，因此您可以轻松地将其设置为apache实例的反向代理。

请参阅：http://blog.zhuzhaoyuan.com/2012/01/a-mechanism-to-help-write-web-application-firewalls-for-nginx/如何对抗碰撞有DoS攻击。

完全忘了，http://www.cloudflare.com是顶级的免费网络应用程序防火墙之一，他们有免费和付费的计划，并将从DDOS中保存你的屁股，我们将它用于我们的高流量网站，仅仅是因为它的缓存功能。太棒了！

DDoS最好由非常昂贵的专用网络设备处理。主机通常不擅长DDoS保护，因为它们的性能相对较低，状态耗尽，带宽有限等。如果您无法访问DDoS缓解硬件，在某些情况下使用iptables，apache mod和类似服务会有所帮助或DDoS缓解服务，但它远非理想，仍然存在攻击风险。

在PHP方面这样的事情怎么样：

//if user does not change IP, then ban the IP when more than 10 requests per second are detected in 1 second
$limitps = 10;
if (!isset($_SESSION['first_request'])){
    $_SESSION['requests'] = 0;
    $_SESSION['first_request'] = $_SERVER['REQUEST_TIME'];
}
$_SESSION['requests']++;
if ($_SESSION['requests']>=10 && strtotime($_SERVER['REQUEST_TIME'])-strtotime($_SESSION['first_request'])<=1){
    //write the IP to a banned_ips.log file and configure your server to retrieve the banned ips from there - now you will be handling this IP outside of PHP
    $_SESSION['banip']==1;
}elseif(strtotime($_SERVER['REQUEST_TIME'])-strtotime($_SESSION['first_request']) > 2){
    $_SESSION['requests'] = 0;
    $_SESSION['first_request'] = $_SERVER['REQUEST_TIME'];
}

if ($_SESSION['banip']==1) {
    header('HTTP/1.1 503 Service Unavailable');
    die;
}

你不能在PHP级别这样做。 DDOS是一种向您的网络服务器发送过多请求的攻击。您的网络服务器会在调用您的PHP脚本之前拒绝请求。

如果您使用的是Apache，那么以下是Apache的一些提示：http://httpd.apache.org/docs/trunk/misc/security_tips.html

你可以在apache中使用ddos / dos插件。在这里开始http://www.debianadmin.com/how-to-protect-apache-against-dosddos-or-brute-force-attacks.html

如果你在LEMP，你可以在这里查看。 http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html

这些都是很便宜的起点。

不要使用基于PHP的保护，它太可怕了，几乎不会产生任何影响！将您的网络服务器配置为速率限制请求，例如在Nginx中使用limit_req模块（http://nginx.org/en/docs/http/ngx_http_limit_req_module.html）

虽然，我建议使用CloudFlare来对抗第4层 - 但不是基于第7层的攻击，除非你愿意支付。

DDOS通常在服务器级别被阻止，请在您的服务器级别启用DDOS保护。请查看以下有关DDOS保护的说明。

Apache HTTP Server配置设置可以帮助防止DDOS问题：

RequestReadTimeout指令允许限制客户端发送请求所花费的时间。

允许10秒钟接收包括标题的请求，以及30秒接收请求正文：

RequestReadTimeout header=10 body=30

至少需要10秒钟才能收到请求正文。如果客户端发送数据，则每收到1000个字节，超时时间增加1秒，超时没有上限（LimitRequestBody间接给出的限制除外）：

RequestReadTimeout body=10,MinRate=1000

RequestReadTimeout header=10-30,MinRate=500
RequestReadTimeout header=20-40,MinRate=500 body=20,MinRate=500

KeepAliveTimeout指令也可能会在受到DoS攻击的网站上降低。有些网站甚至通过KeepAlive完全关闭了Keepalive，这当然还有其他性能上的缺点。应检查其他模块提供的各种超时相关指令的值。

应仔细配置LimitRequestBody，LimitRequestFields，LimitRequestFieldSize，LimitRequestLine和LimitXMLRequestBody指令，以限制客户端输入触发的资源消耗。调整MaxRequestWorkers指令以允许服务器处理最大数量的并发连接，而​​不会耗尽资源。