入侵根服务器_根服务器攻击

拒绝服务攻击的原理

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake)，而SYN Flood拒绝服务攻击就是通过三次握手而实现的。

(1) 攻击者向被攻击服务器发送一个包含SYN标志的TCP报文，SYN(Synchronize)即同步报文。同步报文会指明客户端使用的端口以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手。

(2) 受害服务器在收到攻击者的SYN报文后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时TCP序号被加一，ACK(Acknowledgment)即确认，这样就同被攻击服务器建立了第二次握手。

(3) 攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加一，到此一个TCP连接完成，三次握手完成。

具体原理是：TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级(大约为30秒~2分钟)；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址)，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃—— 即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小)，此时从正常客户的角度看来，服务器失去响应，这种情况就称作：服务器端受到了SYN Flood攻击(SYN洪水攻击)。

SYN COOKIE 防火墙是SYN cookie的一个扩展，SYN cookie是建立在TCP堆栈上的，他为linux操作系统提供保护。SYN cookie防火墙是linux的 一大特色，你可以使用一个防火墙来保护你的网络以避免遭受SYN洪水攻击。

下面是SYN cookie防火墙的原理

client firewall server

------ ---------- ------

1. SYN----------- - - - - - - - - - -

2. ------------SYN-ACK(cookie)

3. ACK----------- - - - - - - - - - -

4. - - - - - - -SYN---------------

5. - - - - - - - - - ------------SYN-ACK

6. - - - - - - -ACK---------------

7. ----------- relay the -------

----------- connection -------

1:一个SYN包从C发送到S

2：防火墙在这里扮演了S的角色来回应一个带SYN cookie的SYN-ACK包给C

3：C发送ACK包，接着防火墙和C的连接就建立了。

4：防火墙这个时候扮演C的角色发送一个SYN给S

5：S返回一个SYN给C

6：防火墙扮演C发送一个ACK确认包给S，这个时候防火墙和S的连接也就建立了

7：防火墙转发C和S间的数据

如果系统遭受SYN Flood，那么第三步就不会有，而且无论在防火墙还是S都不会收到相应在第一步的SYN包，所以我们就击退了这次SYN洪水攻击。 攻击静态属性主要包括攻击控制模式、攻击通信模式、攻击技术原理、攻击协议和攻击协议层等。

（1）攻击控制方式

攻击控制方式直接关系到攻击源的隐蔽程度。根据攻击者控制攻击机的方式可以分为以下三个等级：直接控制方式（Direct）、间接控制方式（Indirect）和自动控制方式（Auto）。

最早的拒绝服务攻击通常是手工直接进行的，即对目标的确定、攻击的发起和中止都是由用户直接在攻击主机上进行手工操作的。这种攻击追踪起来相对容易，如果能对攻击包进行准确的追踪，通常就能找到攻击者所在的位置。由于直接控制方式存在的缺点和攻击者想要控制大量攻击机发起更大规模攻击的需求，攻击者开始构建多层结构的攻击网络。多层结构的攻击网络给针对这种攻击的追踪带来很大困难，受害者在追踪到攻击机之后，还需要从攻击机出发继续追踪控制器，如果攻击者到最后一层控制器之间存在多重跳板时，还需要进行多次追踪才能最终找到攻击者，这种追踪不仅需要人工进行操作，耗费时间长，而且对技术也有很高的要求。这种攻击模式，是目前最常用的一种攻击模式。自动攻击方式，是在释放的蠕虫或攻击程序中预先设定了攻击模式，使其在特定时刻对指定目标发起攻击。这种方式的攻击，从攻击机往往难以对攻击者进行追踪，但是这种控制方式的攻击对技术要求也很高。Mydoom蠕虫对SCO网站和Microsoft网站的攻击就属于第三种类型[TA04-028A]。

（2）攻击通信方式

在间接控制的攻击中，控制者和攻击机之间可以使用多种通信方式，它们之间使用的通信方式也是影响追踪难度的重要因素之一。攻击通信方式可以分为三种方式，分别是：双向通信方式（bi）、单向通信方式（mono）和间接通信方式（indirection）。

双向通信方式是指根据攻击端接收到的控制数据包中包含了控制者的真实IP地址，例如当控制器使用TCP与攻击机连接时，该通信方式就是双向通信。这种通信方式，可以很容易地从攻击机查找到其上一级的控制器。

单向通信方式指的是攻击者向攻击机发送指令时的数据包并不包含发送者的真实地址信息，例如用伪造IP地址的UDP包向攻击机发送指令。这一类的攻击很难从攻击机查找到控制器，只有通过包标记等IP追踪手段，才有可能查找到给攻击机发送指令的机器的真实地址。但是，这种通信方式在控制上存在若干局限性，例如控制者难以得到攻击机的信息反馈和状态。

间接通信方式是一种通过第三者进行交换的双向通信方式，这种通信方式具有隐蔽性强、难以追踪、难以监控和过滤等特点，对攻击机的审计和追踪往往只能追溯到某个被用于通信中介的公用服务器上就再难以继续进行。这种通信方式已发现的主要是通过IRC（Internet Relay Chat）进行通信[Jose Nazario]，从2000年8月出现的名为Trinity的DDoS攻击工具开始，已经有多种DDoS攻击工具及蠕虫采纳了这种通信方式。在基于IRC的傀儡网络中，若干攻击者连接到Internet上的某个IRC服务器上，并通过服务器的聊天程序向傀儡主机发送指令。

（3）攻击原理

DoS攻击原理主要分为两种，分别是：语义攻击（Semantic）和暴力攻击（Brute）。

语义攻击指的是利用目标系统实现时的缺陷和漏洞，对目标主机进行的拒绝服务攻击，这种攻击往往不需要攻击者具有很高的攻击带宽，有时只需要发送1个数据包就可以达到攻击目的，对这种攻击的防范只需要修补系统中存在的缺陷即可。暴力攻击指的是不需要目标系统存在漏洞或缺陷，而是仅仅靠发送超过目标系统服务能力的服务请求数量来达到攻击的目的，也就是通常所说的风暴攻击。所以防御这类攻击必须借助于受害者上游路由器等的帮助，对攻击数据进行过滤或分流。某些攻击方式，兼具语义和暴力两种攻击的特征，比如SYN风暴攻击，虽然利用了TCP协议本身的缺陷，但仍然需要攻击者发送大量的攻击请求，用户要防御这种攻击，不仅需要对系统本身进行增强，而且也需要增大资源的服务能力。还有一些攻击方式，是利用系统设计缺陷，产生比攻击者带宽更高的通信数据来进行暴力攻击的，如DNS请求攻击和Smurf攻击，参见4.2.3节以及文献[IN-2000-04]和[CA-1998-01]。这些攻击方式在对协议和系统进行改进后可以消除或减轻危害，所以可把它们归于语义攻击的范畴。

（4）攻击协议层

攻击所在的TCP/IP协议层可以分为以下四类：数据链路层、网络层、传输层和应用层。

数据链路层的拒绝服务攻击[Convery] [Fischbach01][Fischbach02]受协议本身限制，只能发生在局域网内部，这种类型的攻击比较少见。针对IP层的攻击主要是针对目标系统处理IP包时所出现的漏洞进行的，如IP碎片攻击[Anderson01]，针对传输层的攻击在实际中出现较多，SYN风暴、ACK风暴等都是这类攻击，面向应用层的攻击也较多，剧毒包攻击中很多利用应用程序漏洞的（例如缓冲区溢出的攻击）都属于此类型。

（5）攻击协议

攻击所涉及的最高层的具体协议，如SMTP、ICMP、UDP、HTTP等。攻击所涉及的协议层越高，则受害者对攻击包进行分析所需消耗的计算资源就越大。 攻击动态属性主要包括攻击源地址类型、攻击包数据生成模式和攻击目标类型。

（1）攻击源地址类型

攻击者在攻击包中使用的源地址类型可以分为三种：真实地址（True）、伪造合法地址（Forge Legal）和伪造非法地址（Forge Illegal）。

攻击时攻击者可以使用合法的IP地址，也可以使用伪造的IP地址。伪造的IP地址可以使攻击者更容易逃避追踪，同时增大受害者对攻击包进行鉴别、过滤的难度，但某些类型的攻击必须使用真实的IP地址，例如连接耗尽攻击。使用真实IP地址的攻击方式由于易被追踪和防御等原因，近些年来使用比例逐渐下降。使用伪造IP地址的攻击又分为两种情况：一种是使用网络中已存在的IP地址，这种伪造方式也是反射攻击所必需的源地址类型；另外一种是使用网络中尚未分配或者是保留的IP地址（例如192.168.0.0/16、172.16.0.0/12等内部网络保留地址[RFC1918]）。

（2）攻击包数据生成模式

攻击包中包含的数据信息模式主要有5种：不需要生成数据（None）、统一生成模式（Unique）、随机生成模式（Random）、字典模式（Dictionary）和生成函数模式（Function）。

在攻击者实施风暴式拒绝服务攻击时，攻击者需要发送大量的数据包到目标主机，这些数据包所包含的数据信息载荷可以有多种生成模式，不同的生成模式对受害者在攻击包的检测和过滤能力方面有很大的影响。某些攻击包不需要包含载荷或者只需包含适当的固定的载荷，例如SYN风暴攻击和ACK风暴攻击，这两种攻击发送的数据包中的载荷都是空的，所以这种攻击是无法通过载荷进行分析的。但是对于另外一些类型的攻击包，就需要携带相应的载荷。

攻击包载荷的生成方式可以分为4种：第一种是发送带有相同载荷的包，这样的包由于带有明显的特征，很容易被检测出来。第二种是发送带有随机生成的载荷的包，这种随机生成的载荷虽然难以用模式识别的方式来检测，然而随机生成的载荷在某些应用中可能生成大量没有实际意义的包，这些没有意义的包也很容易被过滤掉，但是攻击者仍然可以精心设计载荷的随机生成方式，使得受害者只有解析到应用层协议才能识别出攻击数据包，从而增加了过滤的困难性。第三种方式是攻击者从若干有意义载荷的集合中按照某种规则每次取出一个填充到攻击包中，这种方式当集合的规模较小时，也比较容易被检测出来。最后一种方式是按照某种规则每次生成不同的载荷，这种方式依生成函数的不同，其检测的难度也是不同的。

（3）攻击目标类型

攻击目标类型可以分为以下6类：应用程序（Application）、系统（System）、网络关键资源（Critical）、网络（Network）、网络基础设施（Infrastructure）和因特网（Internet）。

针对特定应用程序的攻击是较为常见的攻击方式，其中以剧毒包攻击较多，它包括针对特定程序的，利用应用程序漏洞进行的拒绝服务攻击，以及针对一类应用的，使用连接耗尽方式进行的拒绝服务攻击。针对系统的攻击也很常见，像SYN风暴、UDP风暴[CA-1996-01]以及可以导致系统崩溃、重启的剧毒包攻击都可以导致整个系统难以提供服务。针对网络关键资源的攻击包括对特定DNS、路由器的攻击。而面向网络的攻击指的是将整个局域网的所有主机作为目标进行的攻击。针对网络基础设施的攻击需要攻击者拥有相当的资源和技术，攻击目标是根域名服务器、主干网核心路由器、大型证书服务器等网络基础设施，这种攻击发生次数虽然不多，但一旦攻击成功，造成的损失是难以估量的[Naraine02]。针对Internet的攻击是指通过蠕虫、病毒发起的，在整个Internet上蔓延并导致大量主机、网络拒绝服务的攻击，这种攻击的损失尤为严重。

如何防止服务器被恶意网络攻击？

　1.在各个地区部署代理ip的节点，使访问者能够迅速连接到附近的节点，使访问者能够更快地访问网站，CDN缓存能够进一步提高网站的访问速度，减轻对网站服务器的压力，提高网站服务器的稳定性。

2.代理ip的防御机制并非一种固定的防御策略。针对各种攻击类型，可以更好的阻断清理攻击，针对网站的攻击类型，采取针对性的防御策略。

3.网站服务器隐藏在后端，代理ip节点部署在前端，访问者访问或攻击与代理ip节点连接，代理ip的防御机制自动识别是否为攻击，如果有，则自动清洗过滤。

4.将网站域名分析为代理ip自动生成的CNAME记录值，并修改网站域名分析，网站域名未分析为网站服务器IP，从而使网站服务器IP地址隐藏在公共网络中。

雷网主机Linux服务器被入侵时的处理办法有哪些？

随着Linux企业应用的扩展，有大量的网络服务器使用Linux操作系统。Linux服务器的安全性能受到越来越多的关注，这里根据Linux服务器受到攻击的深度以级别形式列出，并提出不同的解决方案。 对Linux服务器攻击的定义是：攻击是一种旨在妨碍、损害、削弱、破坏Linux服务器安全的未授权行为。攻击的范围可以从服务拒绝直至完全危害和破坏Linux服务器。对Linux服务器攻击有许多种类,本文从攻击深度的角度说明，我们把攻击分为四级。

攻击级别一：服务拒绝攻击（DoS）

由于DoS攻击工具的泛滥，及所针对的协议层的缺陷短时无法改变的事实，DoS也就成为了流传最广、最难防范的攻击方式。

服务拒绝攻击包括分布式拒绝服务攻击、反射式分布拒绝服务攻击、DNS分布拒绝服务攻击、FTP攻击等。大多数服务拒绝攻击导致相对低级的危险，即便是那些可能导致系统重启的攻击也仅仅是暂时性的问题。这类攻击在很大程度上不同于那些想获取网络控制的攻击，一般不会对数据安全有影响，但是服务拒绝攻击会持续很长一段时间，非常难缠。

到目前为止，没有一个绝对的方法可以制止这类攻击。但这并不表明我们就应束手就擒，除了强调个人主机加强保护不被利用的重要性外，加强对服务器的管理是非常重要的一环。一定要安装验证软件和过滤功能，检验该报文的源地址的真实地址。另外对于几种服务拒绝可以采用以下措施：关闭不必要的服务、限制同时打开的Syn半连接数目、缩短Syn半连接的time out 时间、及时更新系统补丁。

攻击级别二：本地用户获取了他们非授权的文件的读写权限

本地用户是指在本地网络的任一台机器上有口令、因而在某一驱动器上有一个目录的用户。本地用户获取到了他们非授权的文件的读写权限的问题是否构成危险很大程度上要看被访问文件的关键性。任何本地用户随意访问临时文件目录（/tmp）都具有危险性，它能够潜在地铺设一条通向下一级别攻击的路径。

级别二的主要攻击方法是：黑客诱骗合法用户告知其机密信息或执行任务，有时黑客会假装网络管理人员向用户发送邮件，要求用户给他系统升级的密码。

由本地用户启动的攻击几乎都是从远程登录开始。对于Linux服务器，最好的办法是将所有shell账号放置于一个单独的机器上，也就是说，只在一台或多台分配有shell访问的服务器上接受注册。这可以使日志管理、访问控制管理、释放协议和其他潜在的安全问题管理更容易些。还应该将存放用户CGI的系统区分出来。这些机器应该隔离在特定的网络区段，也就是说，根据网络的配置情况，它们应该被路由器或网络交换机包围。其拓扑结构应该确保硬件地址欺骗也不能超出这个区段。

攻击级别三：远程用户获得特权文件的读写权限

第三级别的攻击能做到的不只是核实特定文件是否存在，而且还能读写这些文件。造成这种情况的原因是：Linux服务器配置中出现这样一些弱点：即远程用户无需有效账号就可以在服务器上执行有限数量的命令。

密码攻击法是第三级别中的主要攻击法，损坏密码是最常见的攻击方法。密码破解是用以描述在使用或不使用工具的情况下渗透网络、系统或资源以解锁用密码保护的资源的一个术语。用户常常忽略他们的密码，密码政策很难得到实施。黑客有多种工具可以击败技术和社会所保护的密码。主要包括：字典攻击（Dictionary attack）、混合攻击（Hybrid attack）、蛮力攻击（Brute force attack）。一旦黑客拥有了用户的密码，他就有很多用户的特权。密码猜想是指手工进入普通密码或通过编好程序的正本取得密码。一些用户选择简单的密码-如生日、纪念日和配偶名字，却并不遵循应使用字母、数字混合使用的规则。对黑客来说要猜出一串8个字生日数据不用花多长时间。

防范第三级别的攻击的最好的防卫方法便是严格控制进入特权，即使用有效的密码。 主要包括密码应当遵循字母、数字、大小写（因为Linux对大小写是有区分）混合使用的规则。 使用象"#"或"%"或"$"这样的特殊字符也会添加复杂性。例如采用"countbak"一词，在它后面添加"#$"（countbak#$），这样您就拥有了一个相当有效的密码。

攻击级别四：远程用户获得根权限

第四攻击级别是指那些决不应该发生的事发生了，这是致命的攻击。表示攻击者拥有Linux服务器的根、超级用户或管理员许可权，可以读、写并执行所有文件。换句话说，攻击者具有对Linux服务器的全部控制权，可以在任何时刻都能够完全关闭甚至毁灭此网络。

攻击级别四主要攻击形式是TCP/IP连续偷窃，被动通道听取和信息包拦截。TCP/IP连续偷窃，被动通道听取和信息包拦截，是为进入网络收集重要信息的方法，不像拒绝服务攻击，这些方法有更多类似偷窃的性质，比较隐蔽不易被发现。一次成功的TCP/IP攻击能让黑客阻拦两个团体之间的交易，提供中间人袭击的良好机会，然后黑客会在不被受害者注意的情况下控制一方或双方的交易。通过被动窃听，黑客会操纵和登记信息，把文件送达，也会从目标系统上所有可通过的通道找到可通过的致命要害。黑客会寻找联机和密码的结合点，认出申请合法的通道。信息包拦截是指在目标系统约束一个活跃的听者程序以拦截和更改所有的或特别的信息的地址。信息可被改送到非法系统阅读，然后不加改变地送回给黑客。

TCP/IP连续偷窃实际就是网络嗅探，注意如果您确信有人接了嗅探器到自己的网络上，可以去找一些进行验证的工具。这种工具称为时域反射计量器(Time Domain Reflectometer，TDR)。TDR对电磁波的传播和变化进行测量。将一个TDR连接到网络上，能够检测到未授权的获取网络数据的设备。不过很多中小公司没有这种价格昂贵的工具。对于防范嗅探器的攻击最好的方法是：

1、安全的拓扑结构。嗅探器只能在当前网络段上进行数据捕获。这就意味着，将网络分段工作进行得越细，嗅探器能够收集的信息就越少。

2、会话加密。不用特别地担心数据被嗅探，而是要想办法使得嗅探器不认识嗅探到的数据。这种方法的优点是明显的：即使攻击者嗅探到了数据，这些数据对他也是没有用的。

特别提示：应对攻击的反击措施

对于超过第二级别的攻击您就要特别注意了。因为它们可以不断的提升攻击级别，以渗透Linux服务器。此时，我们可以采取的反击措施有： 首先备份重要的企业关键数据。 改变系统中所有口令，通知用户找系统管理员得到新口令。 隔离该网络网段使攻击行为仅出现在一个小范围内。 允许行为继续进行。如有可能，不要急于把攻击者赶出系统，为下一步作准备。

记录所有行为，收集证据。这些证据包括：系统登录文件、应用登录文件、AAA（Authentication、Authorization、 Accounting，认证、授权、计费）登录文件，RADIUS（Remote Authentication

Dial-In User Service） 登录，网络单元登录（Network Element Logs）、防火墙登录、HIDS（Host-base IDS，基于主机的入侵检测系统） 事件、NIDS（网络入侵检测系统）事件、磁盘驱动器、隐含文件等。收集证据时要注意：在移动或拆卸任何设备之前都要拍照；在调查中要遵循两人法则，在信息收集中要至少有两个人，以防止篡改信息；应记录所采取的所有步骤以及对配置设置的任何改变，要把这些记录保存在安全的地方。检查系统所有目录的存取许可，检测Permslist是否被修改过。

进行各种尝试(使用网络的不同部分)以识别出攻击源。

为了使用法律武器打击犯罪行为，必须保留证据，而形成证据需要时间。为了做到这一点，必须忍受攻击的冲击(虽然可以制定一些安全措施来确保攻击不损害网络)。对此情形，我们不但要采取一些法律手段，而且还要至少请一家有权威的安全公司协助阻止这种犯罪。这类操作的最重要特点就是取得犯罪的证据、并查找犯罪者的地址，提供所拥有的日志。对于所搜集到的证据，应进行有效地保存。在开始时制作两份，一个用于评估证据，另一个用于法律验证。

找到系统漏洞后设法堵住漏洞，并进行自我攻击测试。

网络安全已经不仅仅是技术问题，而是一个社会问题。企业应当提高对网络安全重视，如果一味地只依靠技术工具，那就会越来越被动；只有发挥社会和法律方面打击网络犯罪，才能更加有效。我国对于打击网络犯罪已经有了明确的司法解释，遗憾的是大多数企业只重视技术环节的作用而忽略法律、社会因素，这也是本文的写作目的。

拒绝服务攻击（DoS）

DoS即Denial Of Service，拒绝服务的缩写，可不能认为是微软的DOS操作系统！DoS攻击即让目标机器停止提供服务或资源访问，通常是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，使正常的用户请求得不到应答，以实现攻击目的。

服务器如何防止攻击

服务器被攻击 跟 服务器被黑，两者是完全不一样的概念。造成的结果也不一样。

服务器被黑一般是被入侵了，被挂马，中毒等表现，这种情况，要么是服务器权限太简单，没任何安全部署才导致黑客有入侵的机会，也有可能是服务器上的程序有漏洞导致。被黑的服务器，一般必须要重装系统才行，重装好系统后，必须要做好基本的安全策略，给服务器权限设置复杂些，注意下里面所安装程序是否有漏洞等问题。

服务器被攻击，一般是因为行业竞争激烈，被同行通过技术手段做恶意攻击，或有人恶意攻击勒索钱财。被攻击的服务器，基本是对访问服务器的真实用户有影响，造成服务器无法正常运行，但是如果服务器有防御，是可以直接防御住攻击。

被攻击跟被黑，现象是不一样的。楼主要弄清楚自己服务器到底是怎么回事的。

海腾数据，10年老牌IDC企业，希望向飞的分享对楼主有所帮助。

服务器被ddos打死了怎么办，如何应对ddos攻击

服务器被ddos攻击，就会导致的网站访问页面打不开。服务器进行远程控制很困难，有的用户们在对远程服务器进行连接的时候，存在操作困难，内存占用几率高，整个网站系统处于疲惫的状态。

如果你现在使用的服务器，遭受到ddos攻击的话，一般这种情况，是可以利用一些知名的软件来对服务器进行更好的防御。也就是利用防御的形式，针对目前网站上更多的防御软件，来进行防御软件安装，选择正确的系统软件进行安装即可。

有效的抵御DDOS的攻击的途径：

1.采用高性能的网络设备引。首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、 口碑好的产品。 再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS 攻击是非常有效的。

2、尽量避免 NAT 的使用。无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换 NAT 的使用， 因为采用此技术会较大降低网络通信能力。因为 NA T 需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多 CPU 的时间。

3、充足的网络带宽保证。网络带宽直接决定了能抗受攻击的能力， 假若仅仅有 10M 带宽的话， 无论采取什么措施都很难对抗当今的 SYNFlood 攻击， 至少要选择 100M 的共享带宽，最好的当然是挂在1000M 的主干上了。但需要注意的是，主机上的网卡是 1000M 的并不意味着它的网络带宽就是千兆的， 若把它接在 100M 的交换机上， 它的实际带宽不会超过 100M， 再就是接在 100M的带宽上也不等于就有了百兆的带宽， 因为网络服务商很可能会在交换机上限制实际带宽为10M。

4、升级主机服务器硬件。在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒 10 万个 SYN 攻击包，服务器的配置至少应该为：P4 2.4G/DDR512M/SCSI-HD。起关键作用的主要是 CPU 和内存， 若有志强双 CPU 的话就用它吧， 内存一定要选择 DDR 的高速内存， 硬盘要尽量选择SCSI 的，别只贪 IDE 价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用 3COM 或 Intel 等名牌的，若是 Realtek 的还是用在自己的 PC 上吧。

5、把网站做成静态页面：大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到为止关于 HTML 的溢出还没出现。若你非需要动态脚本调用， 那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器。

此外，最好在需要调用数据库的脚本中拒绝使用代理的访问， 因为经验表明使用代理访问你网站的80%属于恶意行为。

希望可以帮到您，谢谢！

当海外服务器被恶意攻击了如何应对？

第一，对网站受到攻击状况进行评估。

评估网站被攻击后的状况，比如DDOS攻击的次数及大小，然后做出相应的决策，确定是进行数据牵引还是关闭操作，又或者是需要找到相关的漏洞打补丁。Windows系统打上最新的补丁，然后就是mysql或者sql数据库补丁，还有php以及IIS，serv-u就更不用说了，经常出漏洞的东西，还有就是有些IDC们使用的虚拟主机管理软件。

第二，隐藏网站服务器的IP地址。

使用CDN要求将网站域名解析为CDN自动生成的cname记录值，而网站域名不解析为网站服务器的IP地址。这样，网站服务器的IP地址就不会自然地暴露在公共网络上，从而避免了对网站服务器的有针对性的攻击，提高了网站服务器的安全性。

第三，建立镜像网站。

一些大型网站在服务器受到攻击时会建立一个镜像网站，这样可以通过设置301跳转让用户可以正常的跳转访问，但是这个对搜索引擎并不友好，只是以防万一出现被攻击的状况。

第四，建立预防DDOS策略。

被攻击的类型比较多，建站DDOS防御策略是从根本上解决网站被攻击的问题。

第五，选择高防服务器。

高防服务器的安全性较普通服务器要高很多，选择高防服务器可以有效的避免网站被攻击的情况。