分布式拒绝服务攻击（DDoS攻击）是一种常见的网络安全威胁，通过大量恶意流量使目标服务器无法提供正常服务。DDoS攻击可能导致服务器宕机，严重影响业务的正常运行。本文将详细介绍如何检测和防御DDoS攻击，防止服务器宕机，并提供一些实用的代码示例。

一、DDoS攻击的类型

1. 体积型攻击：通过发送大量无意义的数据包，耗尽目标服务器的带宽资源。

   • UDP Flood：发送大量UDP数据包。
   • ICMP Flood：发送大量ICMP数据包。
   • TCP Flood：发送大量TCP SYN请求。

2. 协议型攻击：通过利用网络协议的漏洞，耗尽目标服务器的资源。

   • SYN Flood：发送大量TCP SYN请求，使服务器的连接队列饱和。
   • ACK Flood：发送大量TCP ACK请求，干扰正常的TCP连接。

3. 应用层攻击：通过发送大量合法的HTTP请求，耗尽目标服务器的资源。

   • HTTP Flood：发送大量HTTP GET或POST请求。
   • Slowloris：通过缓慢的HTTP请求，占用服务器的连接资源。

二、检测DDoS攻击

1. 监控网络流量

通过监控网络流量，可以及时发现异常流量。

• 使用iftop监控流量：

  sudo apt-get update
  sudo apt-get install iftop
  sudo iftop -i eth0
  

• 使用netstat监控连接：

  sudo netstat -anp | grep ESTABLISHED
  

2. 检查系统日志

通过检查系统日志，可以发现异常的登录记录和命令执行记录。

• Linux系统日志：

  sudo tail -f /var/log/syslog
  sudo tail -f /var/log/auth.log
  

• Windows系统日志：

  Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4624 } | Select-Object TimeCreated, Message
  

3. 使用安全工具扫描

使用专业的安全工具扫描服务器，可以发现隐藏的恶意流量。

• 使用Fail2Ban监测和阻止恶意IP：

  sudo apt-get update
  sudo apt-get install fail2ban
  sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
  sudo vi /etc/fail2ban/jail.local
  # 添加规则
  [http-get-dos]
  enabled  = true
  port     = http,https
  filter   = http-get-dos
  logpath  = /var/log/apache2/access.log
  maxretry = 200
  findtime = 600
  bantime  = 1800
  action   = iptables[name=http-get-dos, port=http, protocol=tcp]
  sudo service fail2ban restart
  

三、防御DDoS攻击

1. 使用CDN和反向代理

CDN（内容分发网络）和反向代理可以有效地分散流量，减轻服务器的压力。

• 配置CDN：

  # 使用Cloudflare配置CDN
  curl -X POST "https://api.cloudflare.com/client/v4/zones/{zone_id}/purge_cache" \
  -H "X-Auth-Email: your_email@example.com" \
  -H "X-Auth-Key: your_api_key" \
  -H "Content-Type: application/json" \
  --data '{"purge_everything":true}'
  

• 配置Nginx反向代理：

  server {listen 80;server_name example.com;location / {proxy_pass http://backend_server;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;}
  }
  

2. 配置防火墙和WAF

使用防火墙和WAF（Web应用防火墙）可以有效过滤恶意流量。

• 配置iptables：

  # 限制每个IP的连接数
  sudo iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT# 限制每个IP的请求速率
  sudo iptables -A INPUT -p tcp --dport 80 -m recent --set --name http_flood --rsource
  sudo iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 60 --hitcount 20 --name http_flood --rsource -j DROP
  

• 配置ModSecurity WAF：

  # 安装ModSecurity
  sudo apt-get update
  sudo apt-get install libapache2-mod-security2# 配置ModSecurity规则
  sudo vi /etc/modsecurity/modsecurity.conf# 添加规则
  SecRule REQUEST_HEADERS:User-Agent "@rx ^$|^-$" "id:1000,phase:1,deny,status:403,msg:'Empty User Agent'"
  

3. 使用负载均衡

通过负载均衡，可以将流量分散到多个服务器，提高系统的健壮性和弹性。

• 配置Nginx负载均衡：

  upstream backend {server 192.168.1.100;server 192.168.1.101;
  }server {listen 80;location / {proxy_pass http://backend;}
  }
  

• 使用AWS Elastic Load Balancer：

  # 创建负载均衡器
  aws elb create-load-balancer --load-balancer-name my-elb --listeners "Protocol=HTTP,LoadBalancerPort=80,InstanceProtocol=HTTP,InstancePort=80" --subnets subnet-12345678 --security-groups sg-12345678 --region us-west-1# 注册EC2实例
  aws elb register-instances-with-load-balancer --load-balancer-name my-elb --instances i-12345678 i-87654321
  

4. 使用DDoS防护服务

使用专业的DDoS防护服务，群联AI云防护等，可以提供强大的防护能力。

5. 优化应用性能

通过优化应用性能，提高服务器的处理能力，减少被攻击的风险。

• 缓存静态资源：

  location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {expires 30d;add_header Cache-Control "public, no-transform";
  }
  

• 使用Redis缓存：

  # 安装Redis
  sudo apt-get update
  sudo apt-get install redis-server# 配置Redis
  sudo vi /etc/redis/redis.conf
  # 启动Redis
  sudo systemctl start redis-server
  sudo systemctl enable redis-server
  

四、总结

DDoS攻击可能导致服务器宕机，严重影响业务的正常运行。通过监控网络流量、检查系统日志、使用安全工具扫描，可以及时发现DDoS攻击。通过使用CDN和反向代理、配置防火墙和WAF、使用负载均衡、使用专业的DDoS防护服务、优化应用性能等方法，可以有效防御DDoS攻击，防止服务器宕机。希望本文能为读者提供实用的指导，帮助大家更好地保护服务器的安全。