【內(nèi)容聲明】本文收集整理于互聯(lián)網(wǎng),不確保內(nèi)容真實性和質(zhì)量度,僅供參考!若有服務器產(chǎn)品相關問題,請咨詢[YINGSOO]在線客服,獲取專業(yè)解答!

　　【推薦產(chǎn)品】香港高防御主機丨香港高防服務器租用丨日本高防VPS丨美國高防云服務器

　　【精選文章】國外云服務器如何防止DDOS？丨什么是DDoS攻擊?如何防御DDoS攻擊?

　　服務器被ddos：之前有一個知名博主的博客被DDOS攻擊，導致網(wǎng)站無法訪問而被迫遷移服務器的事情，引起了廣大網(wǎng)友的關注及憤慨，包括小編的個人博客也曾接受過DDOS的“洗禮”，對此感同身受。所以，本文我們一起來了解下DDOS攻擊并分享一些在一定程度范圍內(nèi)的應對方案。

　　關于DDOS攻擊

　　分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。

　　通常，攻擊者將攻擊程序通過代理程序安裝在網(wǎng)絡上的各個“肉雞”上，代理程序收到指令時就發(fā)動攻擊。

　　(DDOS攻擊示意圖)

　　隨著網(wǎng)絡技術發(fā)展，DDOS攻擊也在不斷進化，攻擊成本越來越低，而攻擊力度卻成倍加大，使得DDOS更加難以防范。比如反射型DDoS攻擊就是相對高階的攻擊方式。攻擊者并不直接攻擊目標服務IP，而是通過偽造被攻擊者的IP向全球特殊的服務器發(fā)請求報文，這些特殊的服務器會將數(shù)倍于請求報文的數(shù)據(jù)包發(fā)送到那個被攻擊的IP(目標服務IP)。

　　DDOS攻擊讓人望而生畏，它可以直接導致網(wǎng)站宕機、服務器癱瘓，對網(wǎng)站乃至企業(yè)造成嚴重損失。而且DDOS很難防范，可以說目前沒有根治之法，只能盡量提升自身“抗壓能力”來緩解攻擊，比如購買高防服務。

　　DDoS攻擊簡介

　　分布式拒絕服務攻擊(DDoS攻擊)是一種針對目標系統(tǒng)的惡意網(wǎng)絡攻擊行為，DDoS攻擊經(jīng)常會導致被攻擊者的業(yè)務無法正常訪問，也就是所謂的拒絕服務。

　　常見的DDoS攻擊包括以下幾類：

　　網(wǎng)絡層攻擊：比較典型的攻擊類型是UDP反射攻擊，例如：NTP Flood攻擊，這類攻擊主要利用大流量擁塞被攻擊者的網(wǎng)絡帶寬，導致被攻擊者的業(yè)務無法正常響應客戶訪問。

　　傳輸層攻擊：比較典型的攻擊類型包括SYN Flood攻擊、連接數(shù)攻擊等，這類攻擊通過占用服務器的連接池資源從而達到拒絕服務的目的。

　　會話層攻擊：比較典型的攻擊類型是SSL連接攻擊，這類攻擊占用服務器的SSL會話資源從而達到拒絕服務的目的。

　　應用層攻擊：比較典型的攻擊類型包括DNS flood攻擊、HTTP flood攻擊、游戲假人攻擊等，這類攻擊占用服務器的應用處理資源極大的消耗服務器處理性能從而達到拒絕服務的目的。

　　DDoS攻擊緩解最佳實踐

　　建議阿里云用戶從以下幾個方面著手緩解DDoS攻擊的威脅：

　　縮小暴露面，隔離資源和不相關的業(yè)務，降低被攻擊的風險。

　　優(yōu)化業(yè)務架構，利用公共云的特性設計彈性伸縮和災備切換的系統(tǒng)。

　　服務器安全加固，提升服務器自身的連接數(shù)等性能。

　　做好業(yè)務監(jiān)控和應急響應。香港高防服務器哪里的好

　　DDOS攻擊應對策略

　　這里我們分享一些在一定程度范圍內(nèi)，能夠應對緩解DDOS攻擊的策略方法，以供大家借鑒。

　　1.定期檢查服務器漏洞

　　定期檢查服務器軟件安全漏洞，是確保服務器安全的最基本措施。無論是操作系統(tǒng)(Windows或linux)，還是網(wǎng)站常用應用軟件(mysql、Apache、nginx、FTP等)，服務器運維人員要特別關注這些軟件的最新漏洞動態(tài)，出現(xiàn)高危漏洞要及時打補丁修補。

　　2.隱藏服務器真實IP

　　通過CDN節(jié)點中轉(zhuǎn)加速服務，可以有效的隱藏網(wǎng)站服務器的真實IP地址。CDN服務根據(jù)網(wǎng)站具體情況進行選擇，對于普通的中小企業(yè)站點或個人站點可以先使用免費的CDN服務，比如百度云加速、七牛CDN等，待網(wǎng)站流量提升了，需求高了之后，再考慮付費的CDN服務。

　　其次，防止服務器對外傳送信息泄漏IP地址，最常見的情況是，服務器不要使用發(fā)送郵件功能，因為郵件頭會泄漏服務器的IP地址。如果非要發(fā)送郵件，可以通過第三方代理(例如sendcloud)發(fā)送，這樣對外顯示的IP是代理的IP地址。

　　3.關閉不必要的服務或端口

　　這也是服務器運維人員最常用的做法。在服務器防火墻中，只開啟使用的端口，比如網(wǎng)站web服務的80端口、數(shù)據(jù)庫的3306端口、SSH服務的22端口等。關閉不必要的服務或端口，在路由器上過濾假IP。

　　4.購買高防提高承受能力

　　該措施是通過購買高防的盾機，提高服務器的帶寬等資源，來提升自身的承受攻擊能力。一些知名IDC服務商都有相應的服務提供，比如阿里云、騰訊云等。但該方案成本預算較高，對于普通中小企業(yè)甚至個人站長并不合適，且不被攻擊時造成服務器資源閑置，所以這里不過多闡述。YINGSOO電話：400 630 3752

　　5.限制SYN/ICMP流量

　　用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬，這樣，當出現(xiàn)大量的超過所限定的SYN/ICMP流量時，說明不是正常的網(wǎng)絡訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法，雖然目前該方法對于DdoS效果不太明顯了，不過仍然能夠起到一定的作用。

　　6.網(wǎng)站請求IP過濾

　　除了服務器之外，網(wǎng)站程序本身安全性能也需要提升。以小編自己的個人博客為例，使用cms做的。系統(tǒng)安全機制里的過濾功能，通過限制單位時間內(nèi)的POST請求、404頁面等訪問操作，來過濾掉次數(shù)過多的異常行為。雖然這對DDOS攻擊沒有明顯的改善效果，但也在一定程度上減輕小帶寬的惡意攻擊。

　　2.3 部署DNS智能解析

　　通過智能解析的方式優(yōu)化DNS解析，可以有效避免DNS流量攻擊產(chǎn)生的風險。同時，建議您將業(yè)務托管至多家DNS服務商。

　　屏蔽未經(jīng)請求發(fā)送的DNS響應信息

　　丟棄快速重傳數(shù)據(jù)包

　　啟用TTL

　　丟棄未知來源的DNS查詢請求和響應數(shù)據(jù)

　　丟棄未經(jīng)請求或突發(fā)的DNS請求

　　啟動DNS客戶端驗證

　　對響應信息進行緩存處理

　　使用ACL的權限

　　利用ACL，BCP38及IP信譽功能

　　2.4 提供余量帶寬

　　通過服務器性能測試，評估正常業(yè)務環(huán)境下所能承受的帶寬和請求數(shù)。在購買帶寬時確保有一定的余量帶寬，可以避免遭受攻擊時帶寬大于正常使用量而影響正常用戶的情況。

　　3. 服務安全加固

　　對服務器上的操作系統(tǒng)、軟件服務進行安全加固，減少可被攻擊的點，增大攻擊方的攻擊成本：

　　確保服務器的系統(tǒng)文件是最新的版本，并及時更新系統(tǒng)補丁。

　　對所有服務器主機進行檢查，清楚訪問者的來源。

　　過濾不必要的服務和端口。例如，對于WWW服務器，只開放80端口，將其他所有端口關閉，或在防火墻上設置阻止策略。

　　限制同時打開的SYN半連接數(shù)目，縮短SYN半連接的timeout時間，限制SYN/ICMP流量。

　　仔細檢查網(wǎng)絡設備和服務器系統(tǒng)的日志。一旦出現(xiàn)漏洞或是時間變更，則說明服務器可能遭到了攻擊。

　　限制在防火墻外進行網(wǎng)絡文件共享。降低黑客截取系統(tǒng)文件的機會，若黑客以特洛伊木馬替換它，文件傳輸功能將會陷入癱瘓。

　　充分利用網(wǎng)絡設備保護網(wǎng)絡資源。在配置路由器時應考慮針對流控、包過濾、半連接超時、垃圾包丟棄、來源偽造的數(shù)據(jù)包丟棄、SYN閥值、禁用ICMP和UDP廣播的策略配置。

　　通過iptable之類的軟件防火墻限制疑似惡意IP的TCP新建連接，限制疑似惡意IP的連接、傳輸速率。

　　4. 業(yè)務監(jiān)控和應急響應

　　4.1 關注基礎DDoS防護監(jiān)控

　　當您的業(yè)務遭受DDoS攻擊時，基礎DDoS默認會通過短信和郵件方式發(fā)出告警信息，針對大流量攻擊基礎DDoS防護也支持電話報警，建議您在接受到告警的第一時間進行應急處理。

　　5.1 Web應用防火墻(WAF)

　　針對網(wǎng)站類應用，例如常見的http Flood(CC攻擊)攻擊，可以使用WAF可以提供針對連接層攻擊、會話層攻擊和應用層攻擊進行有效防御。

　　5.2 DDoS防護包

　　5.3 DDoS高級防護

　　針對大流量DDoS攻擊，建議使用阿里云高防IP服務。

　　應當避免的事項

　　DDoS攻擊是業(yè)內(nèi)公認的行業(yè)公敵，DDoS攻擊不僅影響被攻擊者，同時也會對服務商網(wǎng)絡的穩(wěn)定性造成影響，從而對處于同一網(wǎng)絡下的其他用戶業(yè)務也會造成損失。

　　計算機網(wǎng)絡是一個共享環(huán)境，需要多方共同維護穩(wěn)定，部分行為可能會給整體網(wǎng)絡和其他租戶的網(wǎng)絡帶來影響，需要您注意：

　　避免使用阿里云產(chǎn)品機制搭建DDoS防護平臺

　　避免釋放處于黑洞狀態(tài)的實例

　　避免為處于黑洞狀態(tài)的服務器連續(xù)更換、解綁、增加SLB IP、彈性公網(wǎng)IP、NAT網(wǎng)關等IP類產(chǎn)品

　　避免通過搭建IP池進行防御，避免通過分攤攻擊流量到大量IP上進行防御

　　避免利用阿里云非網(wǎng)絡安全防御產(chǎn)品(包括但不限于CDN、OSS)，前置自身有攻擊的業(yè)務

　　避免使用多個賬號的方式繞過上述規(guī)則

　　小結(jié)

　　目前而言，DDOS攻擊并沒有最好的根治之法，做不到徹底防御，只能采取各種手段在一定程度上減緩攻擊傷害。所以平時服務器的運維工作還是要做好基本的保障，并借鑒本文分享的方案，將DDOS攻擊帶來的損失盡量降低到最小。

　　2)服務器遭到DDoS攻擊?莫慌!這的應對措施請收好!

　　DDoS攻擊是目前最常見的網(wǎng)絡攻擊手段。攻擊者通常使用客戶端/服務器技術將多臺計算機組合到攻擊平臺中，對一個或多個目標發(fā)起DDoS攻擊，從而增加拒絕服務攻擊的威力，是黑客使用的最常見的攻擊方法之一，以下列出了一些服務器遭到DDoS攻擊常用的應對方法。

　　1、定期掃描

　　定期掃描現(xiàn)有網(wǎng)絡主節(jié)點，清點可能存在的安全漏洞，及時清理新漏洞。由于帶寬較高，骨干節(jié)點上的計算機最適合黑客，因此加強這些主機本身的主機安全性非常重要。此外，由于連接到網(wǎng)絡主節(jié)點的服務器是服務器級計算機，因此定期掃描漏洞更為重要。

　　2、在骨干節(jié)點上配置防火墻

　　防火墻本身可以防御DDoS攻擊和其他攻擊。如果發(fā)現(xiàn)攻擊，您可以將攻擊定向到可以阻止來自真實主機的攻擊的受害主機。當然，這些犧牲主機可以選擇Linux或Unix以及其他漏洞和自然防御攻擊很少的系統(tǒng)。

　　3、足夠容量抵御攻擊

　　理想的應對策略。如果具有足夠容量和足夠資源來攻擊黑客的用戶不斷地訪問用戶并占用用戶的資源，則能量逐漸喪失。也許用戶沒有遭到攻擊，黑客無法移動。但是，這種方法需要大量投資，其中大多數(shù)備是空閑的，這與當前SME網(wǎng)絡的實際操作不匹配。

　　4、利用網(wǎng)絡設計備保護網(wǎng)絡資源

　　所謂的網(wǎng)絡設計備是指負載均衡器備，如路由器和防火墻，可以有效保護網(wǎng)絡。如果網(wǎng)絡受到攻擊，路由器首先死亡，但另一臺計算機沒有死亡。重啟后，死路由器恢復正常，啟動非常快，沒有任何損失。

　　如果另一臺服務器死機，數(shù)據(jù)將丟失，重新啟動服務器的過程需要很長時間。具體來說，該公司使用負載平衡備，因此如果一個路由器受到攻擊，另一個路由器將立即運行。這可以最大限度地減少DDoS攻擊。

　　5、過濾不必要的服務和端口

　　不必要的服務和端口，即進行路由器上的虛假IP過濾。

　　6、檢查訪客的來源

　　要在反向路由器查詢中檢查訪問者的IP地址是否為真，請使用單播反向路由轉(zhuǎn)發(fā)，如果為false，則將阻止。許多黑客經(jīng)常使用假的IP地址來混淆用戶，這使得很難找到源。因此，單播反向路由轉(zhuǎn)發(fā)將有助于降低虛假IP地址的發(fā)生率并提高網(wǎng)絡安全性。高防服務器價格受哪些因素影響

　　7、過濾所有RFC1918 IP地址

　　RFC1918 IP地址是來自內(nèi)部網(wǎng)絡(如10.0.0.0,192.168.0.0和172.16.0.0)的IP地址，必須進行過濾，因為它們是為Internet保留的本地IP地址，而不是特定網(wǎng)段的靜態(tài)IP地址。丟棄此方法不會過濾內(nèi)部員工的訪問權限，但您可以通過過濾掉攻擊期間生成的大量虛假內(nèi)部IP來緩解DDoS攻擊。

　　8、SYN/ICMP流量限制

　　用戶必須在路由器上配置SYN/ICMP的最大流量，以限制SYN/ICMP數(shù)據(jù)包占用的最大帶寬，這意味著大量的SYN/ICMP流量超過了指定的SYN/ICMP流量，這不是正常的網(wǎng)絡訪問，說明有黑客攻擊。SYN/ICMP流量的初始限制是防止DOS的最佳方法，但這種方法對DDoS效果不明顯，但仍然可以起到一點作用。

　　上述方法可以緩解一些小的流量攻擊。如果您受到大量流量的攻擊，超級盾建議通過借助專業(yè)的高防服務以抵御DDOS攻擊。超級盾可以自動識別攻擊流量，智能清洗惡意攻擊流量。解決因流量攻擊導致的各種服務器性能異常問題，確保服務器穩(wěn)定運行。

　　關鍵詞：服務器被ddos,服務器被ddos怎么辦

　　YINGSOO提供優(yōu)質(zhì)的香港云服務器以及其他境外服務器產(chǎn)品，品類包括站群服務器、高防服務器、云主機等，配置齊全，有多種套餐可供選擇，企業(yè)可以按照自身的業(yè)務需求來選擇相應的服務器租用和套餐，YINGSOO服務器機房線路穩(wěn)定可靠，提供7*24小時技術服務，如您有需求，歡迎在頁面右方咨詢在線QQ客服。全國統(tǒng)一服務熱線：400-630-3752

　　YINGSOO服務器托管海外優(yōu)惠中!注冊有禮,免費試用!

　　YINGSOO,專業(yè)服務器托管海外服務商,超過1200家企業(yè)共同選擇,五星機房品質(zhì),帶控制臺.服務器托管海外3天免費試用,高級別DDOS安全防護,專業(yè)數(shù)據(jù)災備方案,24小時貼心服務

　　http://www.sddonglingsh.com/products/dedicated-us.html

　　YINGSOO租國外服務器多少錢_免備案_可試用_品質(zhì)看得見

　　租國外服務器多少錢,選YINGSOO,自主平臺更可靠,海外知名云服務品牌,可在線免費試用,專業(yè)租國外服務器多少錢,1200家企業(yè)共同的選擇,高達95%的續(xù)約率印證YINGSOO品質(zhì)

　　http://www.sddonglingsh.com/products/dedicated-us.html

版權聲明：本站文章來源標注為YINGSOO的內(nèi)容版權均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內(nèi)容涉嫌侵權，請聯(lián)系alex-e#qq.com處理。