什么么防火墙能防御DDOS攻击呢？谢谢了，大神帮忙啊

1. 什么么防火墙能防御DDOS攻击呢？谢谢了，大神帮忙啊

用防火墙能防御DDOS流量攻击么？ 回答：防火墙只是起一个访问控制的作用。也就是允许某某访问某某，不允许某某访问某某，所谓的防攻击之类的功能其实是无法实现的，现在的防火墙所宣称的能够防护什么什么攻击，完全是忽悠。就算防火墙中有这样的功能。那也只是另外一种防火墙了，俗称UTM。但是在UTM上如果使用这样的功能的话。一旦遇到了DDOS攻击。。UTM由于自身的芯片处理能力不够（功能太多），一般都会死机。现在真正能做到防御DDOS流量攻击的，有黑洞等硬件设备，它起一个引导作用，会识别那些流量是DDOS流量还是正常的访问流量，从而达到允许正常流量访问。引导DDOS流量进入黑洞。 DDOS流量攻击怎么解释呢？ 回答：DDOS流量攻击也就是分布式拒绝服务攻击，由多台机器多个IP对某个IP进行TCP连接。TCP连接分三步：访问者发出指令；被访问者回应该指令；访问者确认指令。 DDOS就是利用这个原理，不断的向被攻击者发出访问请求，被攻击者由于攻击者的访问请求过多，一直在处理这些无用的请求，导致其他的正常请求无法被处理。也就是无法回应正常的请求，这样就造成正常访问被主机拒绝服务。

麻烦采纳，谢谢!

2. DDOS攻击好恶心啊有没有办法或者防火墙

高防CDN架构，云端防护，商城站和游戏的首选，云盾高防CDN,网站在头像
。
游戏行业一直竞争非常激烈，其中棋牌行业是竞争、攻击最复杂的一个“江湖”。
很多公司对这个行业不了解，贸然进行进入，对自身的系统、业务安全没有很好的认知，被攻击了就会束手无策，尤其是DDoS攻击是什么，怎么防护都不了解。
黑客的主要攻击方式：
1、DDoS 它使用UDP报文、TCP报文攻击游戏服务器的带宽，这一类攻击十分暴力，现象就是服务器带宽异常升高，攻击流量远远大于服务器能承受的最大带宽，导致服务器造成拥塞，正常玩家的请求到达不了服务器。
2、BotAttack（TCP协议类CC攻击） 这种攻击比DDoS更难防御，黑客通过TCP协议的漏洞，利用海量真实肉鸡向服务器发起TCP请求，正常服务器能接受的请求数在3000个／秒左右，黑客通过每秒十几万的速度向服务器发起TCP请求，导致服务器TCP队列满，CPU升高、内存过载，造成服务器宕机，会严重影响客户的业务，这种攻击的流量很小，在真实的业务流量中隐藏，难以发现又很难防御。
3、业务的模拟（深度业务模拟类CC攻击） 棋牌类的游戏通信协议比较简单，黑客进行协议破解几乎没什么难度，目前我们已经发现有黑客会针对棋牌客户的登陆、注册、房间创建、充值等多种业务接口进行协议模拟型的攻击，这种流量相当于正常业务流量，比BotAttck模拟程度更高，防御难度更高！
4、其他针对性手段 除了传统的网络攻击，很多棋牌客户还被有针对性的攻击，例如：数据库数据泄漏、微信恶意举报封域名等非常有针对性的攻击，出现问题会直接影响业务的发展。 游戏公司如何判断自己被攻击呢？ 假设可以确实不是线路和硬件故障，连接服务器突然变得困难，在游戏中的用户掉线等现象，则很有可能是遭受了DDoS攻击。 目前，游戏行业的IT基础设施有两种部署模式：一是采用云计算或托管IDC模式，二是自拉网络专线。由于费用的考虑，绝大多数采用前者。 不管是前者还是后者接入，正常游戏用户可以自由的进入服务器娱乐。如果突然出现这几种现象，就可以判断是“被攻击”状态。
（1）主机的IN/OUT流量较平时有显著的增长。
（2）主机的CPU或者内存利用率出现无预期的暴涨。
（3）通过查看当前主机的连接状态，发现有很多半开连接，或者是很多外部IP地址，都与本机的服务端口建立几十个以上ESTABLISHED状态的连接，就是遭到了TCP多连接攻击。
（4）游戏客户端连接游戏服务器失败或登录过程非常缓慢。
（5）正在游戏的用户突然无法操作或者总是断线。 如何针对这些攻击做好防御呢？ 可以通过高防cdn进行防护。YUNDUN-CDN就是高防cdn的良性服务商。它的节点拥有极大的带宽，各节点承受流量能力很强，网络突发流量增加时能有效应对。YUNDUN-CDN在节点之间建立了智能冗余和动态加速机制，访问流量能实时分配到多个节点上，智能分流。当网站遭受ddos攻击时，加速系统会将攻击流量分散到多个节点，节点与站点服务器压力得到有效分担，网络黑客攻击难度变得很高，服务器管理人员拥有更多的应对时间，可以有效的预防黑客入侵，降低各种ddos攻击对网站带来的影响。YUNDUN-CDN可隐藏服务器源IP，可以有效提升源站服务器的安全系数。如果想通过高防cdn防御ddos攻击，YUNDUN-CDN一定可以帮助到您。

3. 麻烦帮忙推荐防御DDoS攻击的解决方案

F5公司是业界领先的L4/L7交换机厂商，在不断完善对各类服务器应用的负载均衡的同时，也逐步在内核中引入安全防御的概念，并且通过F5特有的开放系统（提供i-Controller  构架下的API/SDK开发标准），联合业界著名的操作系统厂商、防火墙厂商、防病毒厂商、IDS/IPS厂商  、应用服务软件厂商，构筑起围绕服务器为核心的动态攻击防御系统。
    当大数据流DoS/DDoS攻击进入的时候，服务器可能由于在瞬间接受超过服务器吞吐能力的数据流而直接导致系统崩溃，甚至导致数据丢失或客户资料遗失。而采用F5的BIG-IP保护服务器，通过EAV/ECV精确探测服务器的处理能力，从而在服务器处理能力饱和之前自动屏蔽新建链接。超过服务器吞吐能力的链接将在F5上处于waiting状态，直至有服务器空闲或TCP  timeout。
     与此同时，为进一步防止服务器遭受攻击过载，F5利用“iControl”技术可以帮助服务器通知网络，“此时忙，暂停服务”，然后，网络将停止再向它转发客户请求，而将客户请求继续转发至其它服务器，继续对客户应用请求提供服务。并且，服务器会同时通知3DNS，这个中心可用服务器数量减少一台，应相应减少对这个中心的客户服务请求量。当这台服务器完成所有数据记录的备份后，服务器又会通知BIGIP和3DNS，此时它已恢复正常，可以提供服务。这时，系统又恢复原有的正常状态。
    对于DoS/DDoS攻击，F5对于常用的几种攻击手段，从内核级就予以屏蔽，具体实施如下：
    1．Synflood:
    该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN  ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。
    F5 的策略：
    F5 采用特有的SYN proxy功能，所有与虚拟服务器建立HTTP  SYN的请求均由F5代替服务器响应，F5并不将SYN请求发送到服务器。只有当用于响应了F5的ACK，并真正发送HTTP  GET请求时，F5才与服务器建立链接并发送HTTP GET请求。所以普通的Synflood只会和F5通讯，无法攻击到服务器。而F5  能够轻松支持高达2,000,000个会话的吞吐能力，能够应付绝大多数攻击。而如果攻击数量超过F5的能力，F5 的Reaper功能将自动启动保护系统自身.  
    2．Ping of Death  
     根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping  of Death攻击，该攻击会造成主机的宕机。
    F5 的策略：
     在F5上可以将虚拟服务器的ARP屏蔽，ICMP包系统根本不响应。其次，虚拟服务器的ICMP响应是由F5的管理进程提供响应，当管理进程繁忙时，系统会自动降低虚拟服务器的ICMP响应的优先级甚至不响应，而管理进程与服务器负载均衡是两个完全不同的进程，在F5上其内存和CPU使用时间是严格分离的，所以Ping  of Death丝毫不会影响服务器负载均衡，也就是不会影响真正对外的服务响应端口。
    3．IP欺骗DoS攻击
    这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1.1.1.1再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。  攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。
    F5 的策略：
    F5特有的SYN proxy功能，将TCP的SYN/ACK/SYN ACK三段握手作为判断合法用户的依据，同时所有的SYN/ACK/SYN  ACK均不通服务器链接，只有当用户发送HTTP  GET请求时再与选定的服务器建立链接，所以RST只是拆除与F5建立额链接，并不影响合法用户访问服务器。
    4．带宽DoS攻击  
    如果黑客的连接带宽足够大而服务器又不是很大，黑客可以通过发送大量请求，来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了，配合上SYN一起实施DoS，威力巨大。
    F5 的策略：
     这种攻击发生时，从站点的路由器、交换机、防火墙到服务器的带宽均有可能被占满。所以如果发生该种攻击，首要的任务是通过EAV/ECV保护服务器不要溢出或崩溃。其次，采用F5的i-Control技术配合IDS、防火墙、交换机、服务器、路由器形成整个系统的联动来予以抵御攻击.
    BIG-IP采用动态安全控制架构（DSCA）来实施、加强和加速应用和Web服务的安全交付。它是第一款能够自动对不断变化的安全威胁做出响应、采取措施并加强防范的安全解决方案，筑起了一道协调统一的安全防线，同时还提高了网络中其它安全产品的性能。在基于F5  开放式平台iContol之上，结合F5在业界诸多地合作伙伴，使用F5的API/SDK开发工具，就可以实现L4/L7交换机与入侵检测IDS的互动。由IDS实时检测攻击，当发现有黑客攻击行为时，IDS通过调用iControl的API/SDK动态调整F5上的iRules策略，使得系统能够屏蔽攻击数据的同时还能让合法用户访问服务器。

4. ddos防护服务器

ddos防护服务器是HSS对NTPF的访问请求，根据您配置的防护策略进行检测。
如果您配置的防护策略中存在多种常见的防护规则，例如，您可以根据需要配置的精准访问防护规则。配置防护规则后，如果想删除添加的防护规则，请删除原配置的防护规则后重新启用或关闭对应的防护规则。前提条件已完成企业项目管理，并完成购买防护配额。

选择方法
一是类型，DDoS防御分为很多种，比如高防云服务器、高防IP和高防服务器等，可以根据攻击大小和使用习惯选择，区别不大。


二是国内防御价格很贵，其次是香港，美国的防御最便宜(海外DDoS防御服务器避免选择CN2GIA线路)。


三是性能，如果攻击小，为了保障网站服务器的性能，建议选择国内或者香港。
四是防御能力，大型DDoS防御性价比最高的是美国高防服务器，国内防御价格贵，不考虑成本的话，首选国内，其次是香港。

5. 服务器ddos防御

电脑：华为MateBook
系统：Windows10
软件：ddos
1、可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP。

2、通过DDOS硬件防火墙对异常流量的清洗过滤，使用顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。

3、分布式集群防御的特点是在每个节点服务器配置多个IP地址（负载均衡），并且每个节点能承受不低于10G的DDOS攻击。



4、采用云DDoS清洗方式，用户按需付费，可弹性扩展，而且还能够基于大数据来分析预测攻击，同时能够免费升级。

6. 采用了一系列防护DDoS措施却没有效果？这两点你注意了吗？

之所以说防护DDoS刻不容缓，是因为DDoS攻击是一种野蛮的网络攻击方式，它十分简单直接而且初级！网络攻击无小事，一个看似不起眼的攻击就可能会造成百万的经济损失和客户的流失。
  
 
  
                                          
 
  
  
 诸如DDoS拒绝服务攻击，曾经令多少在线游戏和电商行业为之头疼，DDoS能动辄使网站失联、服务器瘫痪，造成巨大影响，而且因为其攻击成本很低，已经形成了黑色产业链。面对常见的DDoS攻击，可能会时常遇到以下问题：
  
 
  
  
  1、服务器无法登陆和连接 
  
 
  
  
 首先应该学会如何去排查这类问题的原因，看是否是因为被封堵，也就是遭受了DDoS攻击。导致服务器无法登录和连接的原因一般从以下几个方面进行排查：排查物理链路通畅情况；查看ping公网IP的通畅情况；排查服务器到网关或路由器的通畅情况；最后查看DNS的通畅情况。如果出现上述现象有可能是IP被封堵导致的，所以在进行排查时可增加查看IP是否被封堵这一排查步骤。
  
 
  
  
 如果应用遭到了DDoS攻击应该怎么办？可以使用DDoS高防IP，在使用时根据业务遭受的攻击流量数据，选择适当的防护DDoS峰值，尽可能地确保最大防护峰值大于攻击峰值。在接入后，根据业务、攻击情况设置防护策略。
  
 
  
  
  2、如何设置合适的  防护DDoS  清洗阈值 
  
 
  
  
 使用过DDoS高防包的用户会有关于清洗阈值的问题，比如DDoS清洗阈值与DDoS防护能力的区别。DDoS清洗阈值是高防实例触发DDoS清洗的阈值，当访问流量小于设置的阈值时，即使检测到攻击也不会进行清洗操作。DDoS防护能力是接入的高防实例能够抵御DDoS攻击流量的能力。
  
 
  
  
 提到防护DDoS的阈值问题，就要顺便说一下CC防护阈值和CC防护能力峰值的问题了。CC防护阈值其实就是HTTP/HTTPS请求数阈值，表示的是高防系统统计的HTTP/HTTPS请求量超过设定的【http/https请求数阈值】时，将会自动触发 HTTP/HTTPS的CC防护。CC防护能力峰值则是表示遭受攻击时，DDoS高防实例每秒可防护的CC攻击请求数。
  
 
  
                                          
 
  
  
 企业做好防护DDoS攻击措施的重要性已经不言而喻了，从经济上看，当今攻击者的成本越来越低，而受害者的防御成本却不断飙升，DDoS攻击显然更有利于攻击者，而不是防御者。这就是为什么DDoS攻击不会消失，事实上还会越来越多的原因存在。
  
 
  
  
 本文来自：https://www.zhuanqq.com/News/Industry/301.html

7. 防攻击服务器的DDOS攻击解决防御方案

DDOS全名是Distributed Denial of service (分布式拒绝服务攻击)，很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击，DDOS 最早可追溯到1996年最初，在中国2002年开始频繁出现，2003年已经初具规模。目前网络安全界对于DDOS的防范最有效的防御办法:分布式集群防御:由分布在全世界各个国家以及地区的服务器组成一个庞大的网络系统，每个服务器相当于一个节点，每个节点服务器可配置多个IP地址，用户访问也通过这些分布在不同地方的节点访问，而真实数据所在的服务器IP是不对外公布的；这样不仅起到像CDN一样有就近访问加速和带宽分流的作用，最重要的是让网络攻击者也无法检测到真实服务器IP，因此遭受攻击只是我们节点服务器IP；我们的智能DNS解析系统，不仅能分地区、分运营商线路设置访问，还能针对不通的网络应用服务设置监测端口，当遭受攻击使一个节点不能提供服务后会根据优先级设置自动切换到另一个节点，这样只要有一个节点能正常提供服务就能让用户正常访问；为了能防御大规模的DDOS攻击，为用户提供优质的服务，我司精选了一些IDC合作伙伴，组建了分布式集群防御网络，每个节点能承受不低于10G的DDOS攻击，且可根据需求来增加节点无限扩展防御能力。无论遭受SYN小包攻击，还是肉鸡的UDP攻击，使用我们分布式集群防御在保障您服务器或者数据安全的状态下，只影响一个线路，一个地区，一个省或者一个省的一条线路的用户。宕机检测系统会在一分钟内更换已经瘫痪的节点服务器保证网站正常状态。还可以把攻击者发出的数据包全部返回到发送点，使攻击源变成瘫痪状态，从而削减攻击能力。　　按上述方法和思路去防范DDOS攻击，效果是非常显著的，可将攻击带来的损失降低到最小。　　注:DDOS攻击只能被减弱，无法被彻底消除。

8. ddos防火墙的介绍

DDoS防火墙其自主研发的独特抗攻击算法，高效的主动防御系统可有效防御DoS/DDoS、SuperDDoS、DrDoS、代理CC、变异CC、僵尸集群CC、UDPFlood、变异UDP、随机UDP、ICMP、IGMP、SYN、SYNFLOOD、ARP攻击，传奇假人攻击、论坛假人攻击、非TCP/IP协议层攻击、等多种未知攻击。各种常见的攻击行为均可有效识别，并通过集成的机制实时对这些攻击流量进行处理及阻断，具备远处网络监控和数据包分析功能，能够迅速获取、分析最新的攻击特征，防御最新的攻击手段。同时，天鹰DDoS防火墙又是一款服务器安全卫士，具有多种服务器入侵防护功能，防止黑客嗅探，入侵篡改，真正做到了外防内保，为您打造一台安全省心免维护的服务器。 作为国内网络防火界的新兴力量、后起之秀，天鹰抗DDoS防火墙的3D防护结构，高效的主动防御，以简约（操作）而不简单（功能）的思想， 提供防护优秀、功能实用、操作简单、占用资源低的抗DDoS防火墙。