服务器被攻击的常见手段以及解决方法

第1类：ARP欺骗攻击

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

ARP攻击的局限性

ARP攻击仅能在以太网（局域网如：机房、内网、公司网络等）进行，无法对外网（互联网、非本区域内的局域网）进行攻击。

2

第2类：CC攻击

相对来说，这种攻击的危害大一些。主机空间都有一个参数 IIS 连接数，当被访问网站超出IIS 连接数时，网站就会出现Service Unavailable 。攻击者就是利用被控制的机器不断地向被攻击网站发送访问请求，迫使IIS 连接数超出限制，当CPU 资源或者带宽资源耗尽，那么网站也就被攻击垮了。对于达到百兆的攻击，防火墙就相当吃力，有时甚至造成防火墙的CPU资源耗尽造成防火墙死机。达到百兆以上，运营商一般都会在上层路由封这个被攻击的IP。

针对CC攻击，一般的租用有防CC攻击软件的空间、VPS或服务器就可以了，或者租用章鱼主机，这种机器对CC攻击防御效果更好。

3

第3类：DDOS流量攻击

就是DDOS攻击，这种攻击的危害是最大的。原理就是向目标服务器发送大量数据包，占用其带宽。对于流量攻击，单纯地加防火墙没用，必须要有足够的带宽和防火墙配合起来才能防御

怎么去防御服务器被攻击呢？

用户购买高防IP，把域名解析到高防IP上(web业务只要把域名指向高防IP 即可。非web业务，把业务IP换成高防IP即可)同时在高防上设置转发规则所有公网流量都会走高防机房，通过端口协议转发的方式将用户的访问通过高防IP转发到源站IP，同时将恶意攻击流量在高防IP上进行清洗过滤后将正常流量返回给源站IP，从而确保源站IP稳定访问的防护服务。

2

因而通常高防服务器都是针对ip来进行防御和管理，在租用服务器后，服务商会提供一个高防ip给用户，如果该ip出现异常流量时，高防机房中的硬件防火墙，牵引系统等会对流量进行智能识别，对恶意流量进行过滤，保证正常流量能够对服务器发出请求并得到正常的处理。

当然由于业务的不同，不同的高防IP所受到的保护流量范围也不一样，如果攻击流量过大，超过高防IP的承受范围时，为了保护机房的安全性，会暂时对该IP进行屏蔽。这时可能会造成网络不能正常访问。

3

高防IP包含哪些？

高防IP可以防御的有包括但不限于以下类型： SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、Ping Sweep 等攻击

DDoS的防范到目前为止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻：DDoS就好象有1,000个人同时给你家里打电话，这时候你的朋友还打得进来吗？虽然DDos难于防范，但防止DDoS并不是绝对不可行的事情。互联网的使用者是各种各样的，与DDoS做斗争，不同的角色有不同的任务。我们以下面几种角色为例：企业网管理员ISP、ICP管理员骨干网络运营商（一）企业网管理员网管员做为一个企业内部网的管理者，往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务，因而不可避免地成为DDoS的攻击目标，他该如何做呢？可以从主机与网络设备两个角度去考虑。1．主机上的设置 几乎所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种：关闭不必要的服务限制同时打开的Syn半连接数目缩短Syn半连接的time out 时间及时更新系统补丁2．网络设备上的设置企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对特定的对象来说是否值得。 (1)防火墙 禁止对主机的非开放服务的访问限制同时打开的SYN最大连接数限制特定IP地址的访问启用防火墙的防DDoS的属性严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。 (2).路由器以Cisco路由器为例Cisco Express Forwarding（CEF）使用 unicast reverse-path 访问控制列表（ACL）过滤设置SYN数据包流量速率升级版本过低的ISO 为路由器建立log server（二）ISP / ICP管理员ISP / ICP为很多中小型企业提供了各种规模的主机托管业务，所以在防DDoS时，除了与企业网管理员一样的手段外，还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。客观上说，这些托管主机的安全性普遍是很差的，有的连基本的补丁都没有打就赤膊上阵了，成为黑客最易控制的傀儡机，托管的主机大都是高性能、高带宽的，往往适合用做DDos攻击。 （三）骨干网络运营商他们提供了互联网存在的物理基础。如果骨干网络运营商可以很好地合作的话，DDoS攻击可以很好地被预防。在2000年yahoo等知名网站被攻击后，美国的网络安全研究机构提出了骨干运营商联手来解决DDoS攻击的方案。方法很简单，就是每家运营商在自己的出口路由器上进行源IP地址的验证，如果在自己的路由表中没有到这个数据包源IP的路由，就丢掉这个包。这种方法可以阻止黑客利用伪造的源IP来进行DDoS攻击。不过同样，这样做会降低路由器的效率，这也是骨干运营商非常关注的问题，所以这种做法真正采用起来还很困难。对DDoS的原理与应付方法的研究一直在进行中，找到一个既有效又切实可行的方案不是一朝一夕的事情。但目前至少可以做到把自己的网络与主机维护好，首先让自己的主机不成为别人利用的对象去攻击别人；其次，在受到攻击的时候，要尽量地保存证据，以便事后追查，一个良好的网络和日志系统是必要的。

---