2020年上半年网络攻击多集中在DDOS方面。一般来说，DDOS攻击主要是通过消耗服务器的内存，CPU资源使得云服务器出现死机，断网的情况。针对不同的DDOS类型（SYN flood，ssl flood，udp food，DNS flood）需用用到不同的防御方法，总的来说有以下几种。

1、知道服务器IP可以在防火墙服务器设置ACL（访问控制列表) 来阻断某些IP的访问。
ACL由一系列的表项组成，我们称之为接入控制列表表项(Access Control Entry：ACE)。每个接入控制列表表项都申明了满足该表项的匹配条件及行为。在设置访问列表规则可以针对数据流的源目MAC、源目IP地址、TCP/UDP上层协议，时间区域等信息做对应阻断。

2、对于带宽消耗型攻击，最有效的办法那就是增加带宽。
服务器带宽每时每刻都需要用到，在遇到攻击时提高带宽后也可以后期再降速。

3、提高服务器的服务能力，增加负载均衡，多地部署等。
负载均衡后可在多个实例间自动分配应用程序的对外服务能力，通过消除单点故障提升应用系统的可用性，实现更高水平的应用程序容错能力，从而无缝提供分配应用程序流量所需的负载均衡容量，保证服务器稳定高效。

4、优化资源使用提高Web Server的负载能力。
例如，使用 apache 可以安装 ApacheBooster 插件，该插件与 varnish 和 nginx 集成，可以应对突增的流量和内存占用。（推荐：如何判断服务器“80端口”是否可用 ）

5、使用高防CDN。
高防cdn是通过高防DNS来实现的，目的是为了更好的服务网络。高防cdn通过智能化的系统判断来路，再反馈给用户，可以减轻用户使用过程的复杂程度。通过智能DNS解析，能让网站访问者连接到响应的服务器上，以避免某个服务器因访问者过多而瘫痪。

6、启用路由器或防火墙的反IP欺骗功能。
侵入过滤或包过滤传入的IP，从体制外的使用技术是一种有效方式，防IP地址欺骗，因为这种技术可以判断如果数据包是来自内部或外部的制度。 因此，路由器出口过滤也可以阻止假冒IP地址的数据包从退出制度和发动攻击。（可能你想知道：windos7系统的服务器如何配置机房IP地址）

7、监控网络和web的流量。
时刻观察流量变化，在正常工作时间段流量如果突然增大就需要马上检查服务器，开启防火墙，避免流量不正常导致业务受到影响。