我們知道，伺服器對外提供服務，基本上都是放置在公網上的。所以說伺服器放置在公網上會面臨很多攻擊，如果不做好必要的防護措施，伺服器被人攻擊只是時間上的問題。

而我們面臨的眾多攻擊中，DDoS攻擊是最常見同時也是影響較大的攻擊。DDoS是分散式拒絕服務攻擊，發起攻擊者會將很多臺電腦聯在一起對同一臺伺服器進行請求。因為每一臺伺服器其實都是有資源、寬頻和計算上的瓶頸的，特別是一些頻寬小、記憶體小、CPU計算能力低的伺服器在面臨較多請求時，伺服器負載瞬間上漲、頻寬被佔滿，導致其它伺服器無法處理其它合法使用者的正常請求。

從本質上說，DDoS帶來的請求也是正常請求，所以DDoS防護較難。但是，如果我們把伺服器的真實IP隱藏起來，那可以很大程度減小DDoS攻擊的可能。

有哪些手段可以隱藏伺服器真實的IP呢，我覺得主要有以下幾種方案：

1、禁用伺服器ICMP回顯響應

網際網路上的伺服器眾多，一般情況下我們在公網上的伺服器被人發現是要一段時間的，攻擊者會透過IP段來掃描存活的機器，一旦掃描到某個IP時有回顯，說明此IP是存活的，就會被攻擊者記錄下來，所以我們要關閉回顯功能，這樣別人掃描時伺服器沒有響應，可以避免被人發現。

不管是Windows Server還是Linux都可以透過防火牆來關閉ICMP回顯功能。

* Windows Server 操作方法：

控制面板 》檢視方式“大圖示”》Windows 防火牆 》左側“高階設定”》入站規則 》找到“檔案和印表機共享(回顯請求-ICMPv4-In)”和“檔案和印表機共享(回顯請求-ICMPv6-In)”雙擊，然後選中“已啟用”和“阻止連線”，如下圖示：

* Linux伺服器操作方法：

# vi /etc/sysconfig/iptables

新增幾條規則，如下圖示：

2、利用CDN隱藏源站真實IP

CDN本來是內容分發用的，主要用來做資源加速的，但是CDN本身上也算是一種代理伺服器，所以可以隱藏源站的IP。另外CDN節點都帶有一定的防護功能，所以DDoS攻擊時，CDN可以幫我們分擔很多的流量，這樣對於源站影響就較小了。

3、使用高防IP

實際上隱藏真實伺服器地址也是阻擋不了ddos，ddos攻擊也是正常請求訪問伺服器，只是訪問量比較大導致系統壓力暴增，嚴重導致宕機，實際生產環境專案部署都會使用nginx等反向代理伺服器做負載均衡，也就是說客戶訪問的是負載均衡伺服器的ip而不是真實的伺服器ip，即nginx隱藏真實伺服器ip。防禦ddos的方法有很多種，常見的有ip限流，例如：監控ip請求訪問量，若訪問暴增超過指定閾值，可限制該IP訪問，拉入訪問黑名單，並進行相關提示，黑名單可按業務設定有效期解禁。限制措施還可以是驗證碼。例如訪問量比較大的介面可透過簡訊，圖形驗證碼等形式格擋，可減少介面的併發訪問量，最常見的例如12306的變態驗證碼，可緩解登入、提交訂單相關介面的訪問壓力

現在這個網際網路環境很難保證自己不會被DDOS攻擊，為了保證伺服器的正常穩定執行，隱藏伺服器真實IP是個不錯的方法，這可以讓攻擊者找不到攻擊目標，從而有效地保護網站的安全。現在天下資料IDC就給大家分享一下如何透過隱藏伺服器真實IP來防禦DDOS攻擊？ 1、使用高防IP服務高防IP服務的原理：透過利用兩臺高硬防的單線伺服器作為埠對映到雙線伺服器的兩個IP，將虛設的IP對映在真實IP的主機上，這樣就能夠首先避免被直接威脅的絕對目標，這樣也讓攻擊者無法正確的找到雙線伺服器的真實IP，並且單線的硬防也更高。簡單的說就是把真實IP隱蔽，將虛設IP對映到真實IP上，這樣對DDoS的威脅進行絕對的防禦。進行虛設IP對映的處理，是沒有遠端登陸的許可權。 2、使用CDN技術簡單的來說，內容釋出網(CDN)是一個經策略性部署的整體系統，其包括四個重要部分，分別是分散式儲存、負載均衡、網路請求的重定向和內容管理。其中內容管理和全域性的網路流量管理是CDN技術的核心所在。透過對使用者的就近性以及伺服器負載的判斷，CDN能夠保障內容是以一種極為高效的形式為使用者提供服務。使用CDN技術隱藏真實IP也是有所不足的，在伺服器上釋出的內容無法及時的進行更新，CDN是存在地區限制的。例如只是做了國內的CDN，而沒有做海外的CDN，這樣攻擊者使用美國伺服器的IP，在使用ICMP工具ping 的域名或其它地址那麼你的伺服器真實IP真實就出現在攻擊者面前了。 3、使用域名導向

該技術是相對較新的，與其他的方法都是有相同點的。其與URL的隱藏轉發是有相同點的(但url隱性轉發已經被國家禁止了);和CDN技術的相同點就是將伺服器的IP進行隱藏等。另外，為了防止伺服器的IP被傳送資訊洩露，還可以選擇不使用伺服器傳送郵件的功能，若必須要進行郵件傳送，可以選擇使用第三方的代理傳送，這樣對外顯示的IP也就是代理的IP，不是伺服器的IP就不會出現洩露。

web叢集部署（提升網站的可用性和訪問量）負載均衡2臺最少（做應用和鏈路負載）CDN加速（加速使用者訪問，抵禦小規模攻擊）waf安全裝置zabbix等軟體監控伺服器，網路，應用狀態。（觸發器指令碼使故障自愈）日誌採集分析工具，實時檢視惡意訪問來源。

能安排上的通通安排上，做好規範和管理制度。做到可用性99.99%還是沒啥問題的！如果發生不可抗因素的話，就沒啥辦法了一定要做災備。

當然是用cdn了，當然要用靠譜的，再分享一個技巧，本地除錯好需要上線時，先把CDN準備好，直接解析到CDN，這樣可以避免暴露源IP，遭到追溯解析記錄。至於DDOS或CC攻擊，就需要專業的抗DDOS的企業，如果是備案域名用百度或360的就可以。免費的。未備案域名首選就是CF了。Cloudflare功能強大，支援證書，唯一就是不支援泛域名解析。再有就是直接選擇OVH的主機，號稱不死高防。前段時間黑五和雙十一優惠力度都很大。最優惠的美國節點機器，一個月不到3刀。