服务器被ddos攻击怎么办？怎么预防ddos攻击？

　　DDos是利用大量合理的请求造成资源过载，导致服务不可用。而目前被很多非法谋利者，用来破坏企业服务器正常运作的手段，ddos令人防不胜防。下面为大家讲解一下服务器被ddos攻击怎么办，以及怎么预防ddos攻击。

　　如果您正在遭受重大的ddos攻击，我建议您使用安全狗抗ddos云服务：http://www.safedog.cn/index/publicCloudIndex.html?tab=6

服务器被ddos攻击怎么办

　　一般认为，防御DDoS攻击最有效的方式是使用清洗设备对所有流量进行“清洗”，尽可能的筛去攻击流量，然后，将剩余流量给与到应用服务器。

　　但也不是所有的DDoS攻击都适用清洗方法。需要根据不同种类针对性的分析和解决。

　　对于基于流量的 DDoS 攻击，最好的长期解决方案是在互联网上的许多不同位置托管你的服务，这样对于攻击者来说他的DDoS攻击成本会更高。

　　这方面的策略取决于您需要保护的服务，DNS可以使用多个权威名称服务器，具有备份MX记录和邮件交换器的SMTP，以及使用循环DNS或多宿主的HTTP进行保护(但是在某段时间内可能会出现一些明显的降级)。

　　内容分发网络(CDN)以及专业安全与网络性能公司的DDoS清理服务。这将是缓解这些类型的攻击的积极措施，并且在许多不同的地方拥有大量的可用带宽。请注意：要隐藏服务器的IP。

　　此外，一些vps和云服务提供商、云计算厂商在减轻ddos攻击方面比其他提供商更好。因为规模越大，会拥有更大带宽，自然也会更有弹性。

　　1.减少公开暴露

　　对于企业来说，减少公开暴露是防御 DDoS 攻击的有效方式，对 PSN 网络设置安全群组和私有网络，及时关闭不必要的服务等方式，能够有效防御网络黑客对于系统的窥探和入侵。具体措施包括禁止对主机的非开放服务的访问，限制同时打开的 SYN 最大连接数，限制特定 IP 地址的访问，启用防火墙的防 DDoS 的属性等。

　　2.利用扩展和冗余

　　DDoS 攻击针对不同协议层有不同的攻击方式，因此我们必须采取多重防护措施。利用扩展和冗余可以防患于未然，保证系统具有一定的弹性和可扩展性，确保在 DDoS 攻击期间可以按需使用，尤其是系统在多个地理区域同时运行的情况下。任何运行在云中的虚拟机实例都需要保证网络资源可用。

　　微软针对所有的 Azure 提供了域名系统(DNS)和网络负载均衡，Rackspace 提供了控制流量流的专属云负载均衡。结合 CDN 系统通过多个节点分散流量，避免流量过度集中，还能做到按需缓存，使系统不易遭受 DDoS 攻击。

　　3.充足的网络带宽保证

　　网络带宽直接决定了能抗受攻击的能力，假若仅仅有 10M 带宽的话，无论采取什么措施都很难对抗当今的 SYNFlood 攻击，至少要选择 100M 的共享带宽，最好的当然是挂在1000M 的主干上了。但需要注意的是，主机上的网卡是 1000M 的并不意味着它的网络带宽就是千兆的，若把它接在 100M 的交换机上，它的实际带宽不会超过 100M，再就是接在 100M 的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为 10M，这点一定要搞清楚。

　　4.分布式服务拒绝 DDoS 攻击

　　所谓分布式资源共享服务器就是指数据和程序可以不位于一个服务器上，而是分散到多个服务器。分布式有利于任务在整个计算机系统上进行分配与优化，克服了传统集中式系统会导致中心主机资源紧张与响应瓶颈的缺陷，分布式数据中心规模越大，越有可能分散 DDoS 攻击的流量，防御攻击也更加容易。

　　5.实时监控系统性能

　　除了以上这些措施，对于系统性能的实时监控也是预防 DDoS 攻击的重要方式。不合理的 DNS 服务器配置也会导致系统易636f70797a686964616f31333431353963受 DDoS 攻击，系统监控能够实时监控系统可用性、API、CDN 以及 DNS 等第三方服务商性能，监控网络节点，清查可能存在的安全隐患，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机加强监控是非常重要的。

　　实现与边缘路由器之间的速率限制。这将限制每个IP可以做的损害。

　　如果可能，利用上游路由协议(例如BGP)来指示您的ISP在到达边缘之前阻止IP。

　　实施区域阻止 - 按地区查找最大的合法客户群，并阻止所有其他区域。

　　减少 Web 服务器级别和操作系统级别的打开连接的超时限制。此外，如果您的 Web 服务器支持，请实施智能 keepalive(如NGINX)。

　　部署代理或 CDN 以卸载站点的大型资源密集型部分。

　　如果使用 Linux，则降低 sysctl.conf 中 SYN，ICMP 和 UDP 请求的丢弃阈值。

　　增加最大客户端(Apache)或同等数量，以处理您的应用程序或网站将获得的额外合法和非法流量。

　　这些步骤对时间至关重要。大多数都需要先进的准备工作，以及特定的基础设施。因此，建议您的技术团队时刻注意持续监控服务器的性能，并能够识别出攻击的迹象。

　　在攻击期间以及在服务器上进行这些更改的同时，您应该第一时间联系您的独立服务器租用服务商或上游 ISP，以便了解情况。他们很可能已经意识到这次攻击，并已经开始发挥特长为您提供接下来的防御措施。因此，您的独立服务器租用服务商必须拥有强大的产品和可靠的支持，以便在发生攻击时为您提供保护。

　　如果你是医疗或者金融行业，以上的处理方法依旧满足不了现状，毕竟被攻击之后会丢包，许多机密资料也会丢失，造成无法挽回的局面。这时可以试着用一下安全狗的抗ddos云服务http://www.safedog.cn/index/publicCloudIndex.html?tab=6，注册即可免费试用。

怎么预防ddos攻击

　　DDoS 必须透过网络上各个团体和使用者的共同合作，制定更严格的网络标准来解决。每台网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防 毒和防火墙软件、随时注意系统安全，避免被黑客和自动化的 DDoS 程序植入攻击程序，以免成为黑客攻击的帮凶。

　　有些 DDoS 会伪装攻击来源，假造封包的来源 ip，使人难以追查，这个部份可以透过设定路由器的过滤功能来防止，只要网域内的封包来源是其网域以外的 ip，就应该直接丢弃此封包而不应该再送出去，如果网管设备都支持这项功能，网管人员都能够正确设定过滤掉假造的封包，也可以大量减少调查和追踪的时间。

　　网域之间保持联络是很重要的，如此才能有效早期预警和防治 DDoS 攻击，有些 ISP会在一些网络节点上放置感应器侦测突然的巨大流量，以提早警告和隔绝 DDoS 的受害区域，降低顾客的受害程度。

　　保证服务器系统的安全

　　首先要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。

　　隐藏服务器的真实IP地址

　　不要把域名直接解析到服务器的真实IP地址，不能让服务器真实IP泄漏，服务器前端加CDN中转(免费的CDN一般能防止5G左右的DDOS)，如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。

　　采用高性能的网络设备

　　首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

　　尽量避免NAT的使用

　　无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。

　　充足的网络带宽保证

　　网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。

　　升级主机服务器硬件

　　在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P4 2.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

　　把网站做成静态页面

　　大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧!新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。

　　专业抗DDOS防火墙

　　最安全最省心的办法是通过使用第三方专业抗CC攻击的防火墙进行防范，例如安全狗的抗ddos云服务http://www.safedog.cn/index/publicCloudIndex.html?tab=6，注册即可免费试用。

　　关于服务器被ddos攻击怎么办，以及怎么预防ddos攻击就为大家介绍到这里，安全狗是专业的服务器安全服务公司，有多年的网络安全经验，如果您在网络安全上有遇到问题，可以和安全狗联系，我们会尽全力为您服务。