防ddos攻击的服务器,服务器被攻击怎么办

这也是服务器运维人员最常用的做法。在服务器防火墙中，只开启使用的端口，比如网站web服务的80端口、数据库的3306端口、SSH服务的22端口等。关闭不必要的服务或端口，在路由器上过滤假IP。

随着DDOS攻击在互联网上的肆虐泛滥，使得DDoS的防范工作变得更加困难。数据显示，今年Q2，DDoS攻击活动创下新纪录，同比增长了132%。其中，最大规模的DDoS攻击峰值流量超过了，持续了13个小时以上。目前而言，黑客甚至对攻击进行明码标价，打1G的流量到一个网站一小时，只需50块钱。DDoS的成本如此之低，而且攻击了也没人管，那么，广大的网站用户应该采取怎样的措施进行有效的防御呢?下面我就介绍一下防御DDoS的基本方法。

作为互联网最基础、最核心的服务，DNS自然也是DDoS攻击的重要目标之打垮DNS服务能够间接打垮一家公司的全部业务，或者打垮一个地区的网络服务。前些时候风头正盛的黑客组织也曾经宣布要攻击全球互联网的13台根DNS服务器，不过最终没有得手。

第一类以力取胜，海量数据包从互联网的各个角落蜂拥而来，堵塞IDC入口，让各种强大的硬件防御系统、快速高效的应急流程无用武之地。这种类型的攻击典型代表是和，现在已不常见。

总之，只要服务器的真实IP不泄露，10G以下小流量DDOS的预防花不了多少钱，免费的CDN就可以应付得了。如果攻击流量超过20G，那么免费的CDN可能就顶不住了，需要购买一个高防的盾机来应付了，而服务器的真实IP同样需要隐藏。

除了服务器之外，网站程序本身安全性能也需要提升。以小编自己的个人博客为例，使用cms做的。系统安全机制里的过滤功能，通过限制单位时间内的POST请求、404页面等访问操作，来过滤掉次数过多的异常行为。虽然这对DDOS攻击没有明显的改善效果，但也在一定程度上减轻小带宽的恶意攻击。

前面的攻击方式，多多少少都需要一些傀儡机，即使是也需要搜索大量的匿名代理。如果有一种攻击，只需要发出一些指令，就有机器自动上来执行，才是完美的方案。这种攻击已经出现了，那就是来自P2P网络的攻击。

答案很简单，就是设法把这些请求都消化掉。30个人的餐厅来了300人，那就想办法把餐厅扩大（比如临时再租一个门面，并请一些厨师），让300个人都能坐下，那么就不影响正常的用户了。对于网站来说，就是在短时间内急剧扩容，提供几倍或几十倍的带宽，顶住大流量的请求。这就是为什么云服务商可以提供防护产品，因为他们有大量冗余带宽，可以用来消化DDOS攻击。

则是使用服务器的内存资源，换取更大的等待队列长度，让攻击数据包不至于占满所有连接而导致正常用户无法完成握手。net.ipv是降低服务器SYN+ACK报文重试次数，尽快释放等待资源。这三种措施与攻击的三种危害一一对应，完完全全地对症下药。但这些措施也是双刃剑，可能消耗服务器更多的内存资源，甚至影响正常用户建立TCP连接，需要评估服务器硬件资源和攻击大小谨慎设置。

到64字节时，SYN数据包已经填充完成，准备开始传输了。攻击数据包很小，远远不够最大传输单元（MTU）的1500字节，因此不会被分片。那么这些数据包就像生产流水线上的罐头一样，一个包连着一个包紧密地挤在一起传输吗？事实上不是这样的。

目前服务器防御DDOS攻击并没有什么比较有效的方法，大多数的服务器也就只能够硬扛这种攻击，也就是说来了多少流量全部都把这些流量承担下来，这样一来就可以抵御住这种攻击造成的破坏，第一种常见的办法就是把自己的宽带增加，因为这种攻击是模拟的自然访问的原理，所以说根本就不知道这些访问究竟是不是真实有效的访问，面对这种攻击的时候比较笨的办法就是把自己的宽带增加，搞一个一百g的宽带，看一看这些攻击在单位时间里面能不能够超过一百个g的带宽，这种方法其实效果还是蛮好的，尤其是现在宽带本来价格也并不是特别的高，所以如果你的网站特别的有价值，同时又非常怕这种攻击的话，那么不妨就把你的带宽适当的调高一些。

互联网的架构追求扩展性本质上是为了提高并发能力，各种SQL性能优化措施：消除慢查询、分表分库、索引、优化数据结构、限制搜索频率等本质都是为了解决资源消耗，而CC大有反其道而行之的意味，占满服务器并发连接数，尽可能使请求避开缓存而直接读数据库，读数据库要找最消耗资源的查询，最好无法利用索引，每个查询都全表扫描，这样就能用最小的攻击资源起到最大的拒绝服务效果。

CDN防DDoS攻击。如果cdn存在被ddos攻击的情况，Cdn整个系统就能够将被攻击的流量分散开，节省了站点服务器的压力以及节点压力。但是cdn防ddos主要通过流量分散，增加攻击难度，如果是有针对性的攻击，

就您的博客来看的话，大量是静态的资源，可以不用服务器吧，直接放cdn上，后台博客管理可以设置ip白名单之类的，来过滤。最后最有可能被攻击的就是留言系统了，不过这不影响网站的主要访问。留言系统可以做个简单的ddos防御，分布式DDOS攻击代价是很大的，留言系统可以随便攻击，只要对方舍得烧钱。您可以把网站换成，感觉要好看一点。

另外，为了防止服务器的IP被传送信息泄露，还可以选择不使用服务器发送邮件的功能，若必须要进行邮件发送，可以选择使用第三方的代理发送，这样对外显示的IP也就是代理的IP，不是服务器的IP就不会出现泄露。