idc机房遇到网络攻击怎么处理

机房管理人员应对DDoS攻击措施

如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。

（1）检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。

（2）找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DDoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。

（3）最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。

一般的数据中心机房都配备硬件防火墙。但是针对互联网数据中心机房而言，这个硬件防火墙普通情况下是没有为企业用户的服务器进行防护的，只是对互联网数据中心机房本身的网络核心设备进行防护。根据DDoS攻击的原理和类型，根据DDoS攻击的流量，也同时根据机房所配备的硬件防火墙的功能和过滤带宽，1G-3G的流量机房本身及上游的运营商还是能把这个流量转移掉的。只是如果是机房里的某个企业用户的服务器受到DDoS攻击，机房管理人员所能做的，也就是把这个受到攻击的服务器IP关掉，或者是把受攻击的服务器的网线拔掉。但这不是解决问题的根本的办法。

数据中心机房如何加强防范DDoS攻击

互联网数据中心机房本身是提供服务器托管业务的，如何为企业用户提供更好的服务是很有必要的。试想，你的服务器花了钱托管到某个数据中心机房，但是这个数据中心机房在你的服务器受到DDoS攻击的时候也无能为力只能牺牲你的服务器的时候，你剩下的只有失望。

在机房管理的角度，不仅仅是在机房里的企业用户服务器受到DDoS攻击了之后才去考虑我是否应该升级硬件防火墙。为了更好的预防和防范DDoS攻击，也为了能给企业用户一个安全的保障，机房在综合了受攻击的次数和流量统计后，也是必须去考虑升级硬件防火墙的，甚至可以临时把受攻击的服务器通过硬件防火墙进行防护。

如果你需要用户单独去花费几十万去增加一个千兆以上的硬件防火墙，用户会想，我为什么不能多花几万去选择一个更好服务的数据中心机房。

其实，DDoS攻击是无法避免的，对于数据中心机房来说，升级硬件防火墙是一大成本问题。为了保障自己的服务器的安全，在数据中心机房无法对硬件防火墙进行升级的时候，用户本身也只能采用其他的方式去防范。

用户如何加强防范DDoS攻击

（1）定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

（2）在骨干节点配置防火墙

防火墙本身能抵御DDoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

（3）用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

（4）充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DDoS的攻击。

（5）过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

（6）检查访问者的来源

使用UnicastReversePathForwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用UnicastReversePathForwarding可减少假IP地址的出现，有助于提高网络安全性。

（7）过滤所有RFC1918IP地址

RFC1918IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。

（8）限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。

目前网络安全界对于DdoS的防范还是没有什么好办法的，主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显，即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果，DDoS攻击只能被减弱，无法被彻底消除。不过如果我们按照本文的方法和思路去防范DDoS的话，收到的效果还是非常显著的，可以将攻击带来的损失降低到最小。

服务器的使用方式一般有两种，一种是租用，一种是托管。

 一、什么是服务器租用和托管？

服务器租用

用户无须自己购买主机，只需根据业务需要，提出对硬件配置的要求。主机服务器由IDC服务商配置。用户采取租用的方式，安装相应的系统软件及应用软件，以实现独享专用高性能服务器，实现WEB+FTP+MAIL+VDNS全部网络服务功能。如此一来，用户的初期投资减轻了，便可以更专注于自己业务的研发。

服务器托管

为了提高网站的访问速度，用户将自己的服务器及相关设备托管到IDC服务商，服务商帮用户将服务器放到具有完善机房设施、高品质网络环境、丰富带宽资源和运营经验，以及可对用户的网络和设备进行实时监控的网络数据中心内，以此使系统达到安全、可靠、稳定、高效运行的目的。

二、优势区别

1.价格成本

服务器托管的价格比租用便宜。因为托管是由用户自行购买服务器，IDC服务商仅提供机位和日常维护等服务，所以费用相对低一些。

2.性能拓展

服务器托管在性能拓展方面，优于服务器租用。因为用户使用自己的硬件，线路可以灵活更改。

3.人力投入

服务器租用的前期人力投入小于服务器托管。服务器租用只需要向IDC服务商提供公司的基本信息和要求，即可得到相应的制定方案。

三、适用群体

服务器租用

1.发展初期的中小企业用户，公司对外网站、应用业务需要寻找数据中心合作。

2.考虑控制初期投放成本的企业与个人用户。

3.缺乏服务器系统维护经验的企业与个人用户。

服务器托管

1.公司发展有一定规模，有专业维护人员，公司对外网站、应用业务需要寻找数据中心合作。

2.数据保密型企业或用户。

四、收费标准

服务器租用这样收费

机型配置、网络带宽、防御能力等，是重点影响服务器租用价格的因素。

1.配置收费

服务器的配置选择包括了CPU型号、内存大小、硬盘空间容量，不同的配置会有不同的价格。

2.网络带宽收费

目前，网络带宽分为独享和共享两种类型。独享带宽比共享带宽贵，这是因为独享带宽是自己一个人享用一定容量的带宽；另外，随着带宽容量的增加，收费价格也将变得不同，容量越大，价格也就越贵。

3.防御能力收费

目前，很多行业会受到网络攻击的威胁，因此很多企业会选择带有防御能力的服务器，防御能力越强，价格也越贵。

服务器托管这样收费

机房服务器机架的位置费用是重点影响服务器托管价格的因素，此外便是以上提到的网络带宽和防御能力的费用。

机架费用根据用户自己服务器的规格进行收费，目前服务器规格分为1u、2u、4u等不同的规格。规格不同，占用机架的位置大小就不同，价格也随之不同。

五、线路带宽

无论服务器是租用，还是托管，其线路带宽皆可遵循以下分类规则：

线路分为电信、联通、移动三家运营商，以及BGP线路。

单线：单电信、单联通、单移动，共一个IP地址。

双线：电信联通双线、电信移动双线、联通移动双线，共两个IP地址，每家运营商各一个。

三线：电信联通移动，共三个IP地址，每家运营商各一个。

BGP：有BGP三线、BGP五线。主要用于互联网AS（自治系统）之间的互联，BGP最主要的功能在于控制路由的传播和选择最好的路由。使用BGP协议互联后，网络运营商的所有骨干路由设备将会判断到IDC机房IP段的最佳路由，以保证不同网络运营商用户的高速访问。

带宽：10M、20M以此类推；百兆共享；G口；万兆口。

六、IP（普通、BGP）

无论服务器是租用，还是托管，其IP皆可遵循以下分类规则：

普通IP：即三家基础运营商提供的IP地址，由三家运营商管理的四段数字，每段最多3位数且不超过255，如 113.107.96.104。

BGP：不管是三线还是五线都只有一个IP地址。

唯一网络作为2018年IDC产业最具影响力企业，2019-2020年度数据中心行业优秀创新企业，为客户提供服务器托管、租用服务。

唯一网络目前拥有80多个数据中心资源，单线、双线、三线、CN2、BGP等线路接入，能够稳定地满足客户业务的需求，让客户放心托管。

客户若是租用服务器，则可根据业务场景按需购买，按量付费，满足高性能及高可用的需求，并与云产品，弹性网络专线灵活搭配，构建混合云，使用户快速构建低成本的基础IT架构。

DDOS 攻击 也查不到对方是谁，除非他主动联系你，敲诈你！流量攻击一般都是同行恶意竞争的不良行为，这个IDC公司是没有什么责任的，当然这在洽谈合作的时候 要看是否有咨询过这方面的问题，有的机房是承诺不封IP 或者多大的攻击之内不封IP。

但不封你网站一直被攻击，也打不开，你封了IP，攻击才会停，你再打开网站！或者换下IP，但如果是对方盯住你了，你就算换IP 他还是能查得到。

所以，要想具体解决，一个可以报警，（基本没有用）

二，是找对方协商，（当然你要知道对方是谁）

三，是换一家高硬防的机房（高硬防的机房费用比较贵）

希望可以帮到您

---