我们知道，服务器对外提供服务，基本上都是放置在公网上的。所以说服务器放置在公网上会面临很多攻击，如果不做好必要的防护措施，服务器被人攻击只是时间上的问题。

而我们面临的众多攻击中，DDoS攻击是最常见同时也是影响较大的攻击。DDoS是分布式拒绝服务攻击，发起攻击者会将很多台电脑联在一起对同一台服务器进行请求。因为每一台服务器其实都是有资源、宽带和计算上的瓶颈的，特别是一些带宽小、内存小、CPU计算能力低的服务器在面临较多请求时，服务器负载瞬间上涨、带宽被占满，导致其它服务器无法处理其它合法用户的正常请求。

从本质上说，DDoS带来的请求也是正常请求，所以DDoS防护较难。但是，如果我们把服务器的真实IP隐藏起来，那可以很大程度减小DDoS攻击的可能。

有哪些手段可以隐藏服务器真实的IP呢，我觉得主要有以下几种方案：

1、禁用服务器ICMP回显响应

互联网上的服务器众多，一般情况下我们在公网上的服务器被人发现是要一段时间的，攻击者会通过IP段来扫描存活的机器，一旦扫描到某个IP时有回显，说明此IP是存活的，就会被攻击者记录下来，所以我们要关闭回显功能，这样别人扫描时服务器没有响应，可以避免被人发现。

不管是Windows Server还是Linux都可以通过防火墙来关闭ICMP回显功能。

* Windows Server 操作方法：

开始程序 》Windows系统 》右上角查看方式“大图标” 》Windows 防火墙 》左侧“高级设置”》找到“文件和打印机共享(回显请求-ICMPv4-In)”和“文件和打印机共享(回显请求-ICMPv6-In)”双击，然后选中“已启用”和“阻止连接”，如下图示：

* Linux服务器操作方法：

# vi /etc/sysconfig/iptables

添加几条规则，如下图示：

-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP

-A INPUT -p icmp -j DROP

1. 利用CDN隐藏源站真实IP

CDN：当一个服务器被不同地方的客户端大量访问的时候，服务器可能会出现压力，为了减小这些压力，就有CDN的出现。还有一个作用就是隐藏真实IP。

原理

让CDN转发合法的http或者https流量来达到隐藏的目的。

效果

受害主机上只会有跟CDN的IP通信的流量，不会有跟真实C2通信的流量，可以保护C2的IP，但是域名还是会暴露。

1. 使用高防IP

  什么是高防IP？高防IP是指高防机房所提供的ip段，主要是针对互联网服务器遭受大流量DDoS攻击时进行的保护服务。高防IP目前最常用的一种防御DDoS攻击的手段，用户可以通过配置DDoS高防IP，将攻击流量引流到高防IP，防护系统进行流量过滤清洗，再把正常的流量返回给服务器，确保源站的正常可用

通过主防IP转发，这样就能隐藏源服真实IP。