相信不少站长或多或少都经历过DDoS攻击（DDoS攻击是通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的），一旦你的网站被人DDoS攻击后，网站就会无法被访问了，严重时服务器都能卡死。

如果网站遇到DDoS攻击时，该如何解决呢？相信大家都知道，要靠防火墙（防火墙是位于内网和外网之间的屏障隔离技术）来处理一部分攻击流量。 这是不是就说明防火墙可以防御DDoS呢？其实没有这么简单。

首先我要说的是，不是有所防火墙都可以有效抵御DDoS攻击。DDoS攻击和其它攻击不同，它本身也算是一种合法的网络请求！

防火墙种类很多，主要有：软件防火墙（软防）、硬件防火墙。这两类防火墙在对待DDoS时的表现也不同。

1、软件防火墙（软防）

我们一般用户都接触过软件防火墙，像Windows上的“防火墙”、Linux上的“iptables”等。它们以软件的形式时刻检查系统上的所有数据包，然后决定放行哪些数据包或者拦截哪些数据包。

软防在应对小流量DDoS时，可以搞得住。但一旦遇到大流量的DDoS，软防是抗不住的，可以把系统资源消耗尽，服务器直接卡死。

从成本上说，软防成本很低。

2、硬件防火墙（硬防）

和防软不同，硬防是把防火墙程序做到硬件芯片中，由单独的硬件执行防护功能，减少了CPU的负担，性能上比软防高出很多，当然了，成本也比软防高得多。

综上，不管是软防还是硬防，其原理上都差不多；但是软防是基于系统的，硬防是基于硬件的。在面对稍大的DDoS时，软防基本上是无能为力的，而硬防也不是能抗得住所有的DDoS，不同配置的硬防能承受的DDoS流量不同。假设硬防只能抗住1G的流量，而你的网站受到了2G的DDoS流量，硬防也是白搭！

最后，结合我近10年的从业经验，将一些经验分享给大家，尽可能减少网站被DDoS的可能，主要措施有：

• 禁用服务器的ICMP响应，这样别人无法通过Ping来判断你的服务器IP是否存活；

• 网站启用CDN来隐藏后端服务器的真实IP，CDN本身也带有一定的抗洪能力；

• 一旦受到DDoS时，将域名解析至 127.0.0.1 ，你懂的 ~

我是科技领域创作者，十年互联网从业经验，欢迎关注我了解更多科技知识！如果大家有不同看法，欢迎在下方评论区发表自己的观点 ~

给服务器加了防火墙只能防住小流量，真正的大流量洪水DDOS来袭，防火墙会马上耗尽系统资源，什么防火墙都顶不住的，而且大部分DDOS都是模拟真实用户数据，防火墙都不一定检测的到，所以想要保障网络安全，还是接入高防更靠谱，像墨者/安全高防可以抗1000G以上流量，国内DDOS一般最多几十到几百G左右吧

当我们发现网站服务器被攻击的时候不要过度惊慌失措，先查看一下服务器是不是被黑了，找出网站存在的黑链，然后做好网站的安全防御，开启IP禁PING，可以防止被扫描，关闭不需要的端口。这些是只能防简单的攻击，对于大流量DDOS攻击，必须要有足够的带宽和防火墙配合起来才能防御，你的防御能力大于攻击者的攻击流量那就防住了。不过单独硬防的成本挺高的，企业如果对成本控制有要求的话可以选择墨者.安全的集群防护，防御能力是很不错的，成本也比阿里云网易云这些大牌低。