服务器被DDOS攻击最佳解决方案是什么？报网警有用么？

服务器被DDOS攻击最佳解决方案是什么？报网警有用么？

目前，有效缓解DDoS攻击的解决方案可分为 3 大类：

架构优化

服务器加固

商用的DDoS防护服务

架构优化

在预算有限的情况下，建议您优先从自身架构的优化和服务器加固上下功夫，减缓DDoS攻击造成的影响。

部署DNS智能解析通过智能解析的方式优化DNS解析，有效避免DNS流量攻击产生的风险。同时，建议您托管多家DNS服务商。

屏蔽未经请求发送的DNS响应信息

典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中,在DNS服务器对查询请求进行处理之后,服务器会将响应信息返回给DNS解析器。

但值得注意的是,响应信息是不会主动发送的。服务器在没有接收到查询请求之前,就已经生成了对应的响应信息,这些回应就应被丢弃。

丢弃快速重传数据包

即便是在数据包丢失的情况下,任何合法的DNS客户端都不会在较短的时间间隔内向同- -DNS服务器发送相同的DNS查询请求。如果从相同IP地址发送至同一目标地址的相同查询请求发送频率过高,这些请求数据包可被丢弃。

启用TTL

如果DNS服务器已经将响应信息成功发送了，应该禁 止服务器在较短的时间间隔内对相同的查询请求信息进行响应。

对于一个合法的DNS客户端,如果已经接收到了响应信息,就不会再次发送相同的查询请求。

每一个响应信息都应进行缓存处理直到TTL过期。当DNS服务器遭遇大查询请求时,可以屏蔽掉不需要的数据包。

丢弃未知来源的DNS查询请求和响应数据

通常情况下,攻击者会利用脚本对目标进行分布式拒绝服务攻击( DDoS攻击) , 而且这些脚本通常是有漏洞的。因此,在服务器中部署简单的匿名检测机制,在某种程度上可以限制传入服务器的数据包数量。

丢弃未经请求或突发的DNS请求

这类请求信息很可能是由伪造的代理服务器所发送的,或是由于客户端配置错误或者是攻击流量。无论是哪一种情况，都应该直接丢弃这类数据包。

非泛洪攻击(non-flood) 时段,可以创建一个白名单 ,添加允许服务器处理的合法请求信息。

白名单可以屏蔽掉非法的查询请求信息以及此前从未见过的数据包。

这种方法能够有效地保护服务器不受泛洪攻击的威胁,也能保证合法的域名服务器只对合法的DNS查询请求进行处理和响应。

启动DNS客户端验证

伪造是DNS攻击中常用的一种技术。如果设备可以启动客户端验证信任状,便可以用于从伪造泛洪数据中筛选出非泛洪数据包。

对响应信息进行缓存处理如果某- -查询请求对应的响应信息已经存在于服务器的DNS缓存之中,缓存可以直接对请求进行处理。这样可以有效地防止服务器因过载而发生宕机。

使用ACL的权限

很多请求中包含了服务器不具有或不支持的信息,可以进行简单的阻断设置。例如,外部IP地址请求区域转换或碎片化数据包,直接将这类请求数据包丢弃。

利用ACL , BCP38及IP信营功能

托管DNS服务器的任何企业都有用户轨迹的限制,当攻击数据包被伪造,伪造请求来自世界各地的源地址。设置-个简单的过滤器可阻断不需 要的地理位置的IP地址请求或只允许在地理位置白名单内的IP请求。

同时,也存在某些伪造的数据包可能来自与内部网络地址的情况,可以利用BCP38通过硬件过滤清除异常来源地址的请求。

部署负载均衡通过部署负载均衡( SLB )服务器有效减缓CC攻击的影响。通过在SLB后端负载多台服务器的方式,对DDoS攻击中的CC攻击进行防护。

部署负载均衡方案后,不仅具有CC攻击防护的作用,也能将访问用户均衡分配到各个服务器上,减少单台服务器的负担,加快访问速度。

使用专有网络通过网络内部逻辑隔离,防止来自内网肉鸡的攻击。

提供余量带宽通过服务器性能测试,评估正常业务环境下能承受的带宽和请求数,确保流量通道

不止是日常的量,有-定的带宽余量可以有利于处理大规模攻击。

服务器加固

在服务器上进行安全加固,减少可被攻击的点,增大攻击方的攻击成本:

确保服务器的系统文件是最新的版本,并及时更新系统补丁。

对所有服务器主机进行检查,清楚访问者的来源。

过滤不必要的服务和端口。例如, WWW服务器,只开放80端口,将其他所有端口关闭,或在防火墙上做阻止策略。

限制同时打开的SYN半连接数目,缩短SYN半连接的timeout时间,限制SYN/ICMP流量。

仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更,则说明服务器可能遭到了攻击。

限制在防火墙外与网络文件共享。降低黑客截取系统文件的机会,若黑客以特洛伊木马替换它，文件传输功能无疑会陷入瘫痪。

充分利用网络设备保护网络资源。在配置路由器时应考虑以下策略的配置:流控、包过滤、半连接超时、垃圾包丢弃,来源伪造的数据包丢弃, SYN阀值,禁用ICMP和UDP广播。

通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接,限制疑似恶意IP的连接、传输速率。

识别游戏特征,自动将不符合游戏特征的连接断开。

防止空连接和假人攻击,将空连接的IP地址直接加入黑名单。

配置学习机制，保护游戏在线玩家不掉线。例如,通过服务器搜集正常玩家的信息,当面对攻击时,将正常玩家导入预先准备的服务器,并暂时放弃新进玩家的接入,以保障在线玩家的游戏体验。

商用的DDoS防护服务

针对超大流量的攻击或者复杂的游戏CC攻击,可以考虑采用专业的DDoS解决方案。目前，阿里云、磐石云、腾讯云有针对各种业务场景的DDOS攻击解决方案。

目前，通用的游戏行业安全解决方案做法是在IDC机房前端部署防火墙或者流量清洗的一些设备, 或者采用大带宽的高防机房来清洗攻击。

当宽带资源充足时,此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈:例如单点的IDC很容易被打满,对游戏公司本身的成本要求也比较高。

您可根据自己的预算和遭受攻击的严重程度,来决定采用哪些安全措施。

安全防护有日志留存的可以选择报网警,前提是你自己的业务没有涉灰问题。

报网警有用吗？

至于报警，肯定有用，你不报警,警方没有线索,怎么抓人

但是，这个作用不一定立即体现,警方需要时间侦查,需要取证。

DDoS的特点决定了,如果不在攻击时取证,证据很快就没了。因此要攻击者反复作案,才好抓。

对一一个被害人，只作案一次,或者随机寻找被害人的情况，最难抓。

而且调查涉及多方沟通、协调,比如被利用的主机的运营者,被害人,可能涉及多地警方的合作等等。

指望警方减少犯罪分子是可以的,但是指望通过报警拯救你的业务,只能说远水解不了近渴。

针对目前各大传奇私服站长受到盛大或者某些卑鄙小人的无耻行为，我特地整理了防止DDOS的攻击资料！

绝对可以防止针对传奇端口，或者WEB的大流量的DDOS承受大约40万个包的攻击量

设置保护80700071007200等你的传奇端口的。

然后按下面整理的注册表修改或者添加下面的数值。

请注意，以下的安全设置均通过注册表进行修改，该设置的性能取决于服务器的配置，尤其是CPU的处理能力。如按照如下进行安全设置，采用双路至强24G的服务器配置，经过测试，可承受大约1万个包的攻击量。

接下来你就可以高枕无忧了。

一部份DDOS我们可以通过DOS命令netstat -an|more或者网络综合分析软件：sniff等查到相关攻击手法、如攻击某个主要端口、或者对方主要来自哪个端口、对方IP等。这样我们可以利用w2k自带的远程访问与路由或者IP策略等本身自带的工具解决掉这些攻击。做为无法利用这些查到相关数据的我们也可以尝试一下通过对服务器进行安全设置来防范DDOS攻击。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

'关闭无效网关的检查。当服务器设置了多个网关，这样在网络不通畅的时候系统会尝试连接

'第二个网关，通过关闭它可以优化网络。

"EnableDeadGWDetect"=dword:00000000

'禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。

"EnableICMPRedirects"=dword:00000000

'不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。

'注意系统必须安装SP2以上

"NonameReleaseOnDemand"=dword:00000001

'发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态，

'不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里设置时间为5分钟。

"KeepAliveTime"=dword:000493e0

'禁止进行最大包长度路径检测。该项值为1时，将自动检测出可以传输的数据包的大小，

'可以用来提高传输效率，如出现故障或安全起见，设项值为0，表示使用固定MTU值576bytes。

"EnablePMTUDiscovery"=dword:00000000

'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后

'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值

'设定的条件来触发启动了。这里需要注意的是，NT40必须设为1，设为2后在某种特殊数据包下会导致系统重启。

"SynAttackProtect"=dword:00000002

'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态

'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。

"TcpMaxHalfOpen"=dword:00000064

'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。

"TcpMaxHalfOpenRetried"=dword:00000050

'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。

'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。

'微软站点安全推荐为2。

"TcpMaxConnectResponseRetransmissions"=dword:00000001

'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。

"TcpMaxDataRetransmissions"=dword:00000003

'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。

"TCPMaxPortsExhausted"=dword:00000005

'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的

'源路由包，微软站点安全推荐为2。

"DisableIPSourceRouting"=dword:0000002

'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。

"TcpTimedWaitDelay"=dword:0000001e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]

'增大NetBT的连接块增加幅度。缺省为3，范围1-20，数值越大在连接越多时提升性能。每个连接块消耗87个字节。

"BacklogIncrement"=dword:00000003

'最大NetBT的连接快的数目。范围1-40000，这里设置为1000，数值越大在连接越多时允许更多连接。

"MaxConnBackLog"=dword:000003e8

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters]

'配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为1，表示允许动态Backlog。

"EnableDynamicBacklog"=dword:00000001

'配置最小动态Backlog。默认项值为0，表示动态Backlog分配的自由连接的最小数目。当自由连接数目

'低于此数目时，将自动的分配自由连接。默认值为0，对于网络繁忙或者易遭受SYN攻击的系统，建议设置为20。

"MinimumDynamicBacklog"=dword:00000014

'最大动态Backlog。表示定义最大"准"连接的数目，主要看内存大小，理论每32M内存最大可以

'增加5000个，这里设为20000。

"MaximumDynamicBacklog"=dword:00002e20

'每次增加的自由连接数据。默认项值为5，表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击

'的系统，建议设置为10。

"DynamicBacklogGrowthDelta"=dword:0000000a

以下部分需要根据实际情况手动修改

'-------------------------------------------------------------------------------------------------

'[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

'启用网卡上的安全过滤

'"EnableSecurityFilters"=dword:00000001

'

'同时打开的TCP连接数，这里可以根据情况进行控制。

'"TcpNumConnections"=

'

'该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上，增加该设置可以提高 SYN 攻击期间的响应性能。

'"TcpMaxSendFree"=

'

'[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{自己的网卡接口}]

'禁止路由发现功能。ICMP路由通告报文可以被用来增加路由表纪录，可以导致攻击，所以禁止路由发现。

"PerformRouterDiscovery "=dword:00000000

1．确保所有服务器采用最新系统，并打上安全补丁。计算机紧急响应协调中心发现，几乎每个受到DDoS攻击的系统都没有及时打上补丁。

2．确保管理员对所有主机进行检查，而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么？谁在使用主机？哪些人可以访问主机？不然，即使黑客侵犯了系统，也很难查明。

3．确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞，黑客通过根攻击就能获得访问特权系统的权限，并能访问其他系统甚至是受防火墙保护的系统。

4．确保运行在Unix上的所有服务都有TCP封装程序，限制对主机的访问权限。

5．禁止内部网通过Modem连接至PSTN系统。否则，黑客能通过电话线发现未受保护的主机，即刻就能访问极为机密的数据

6．禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp，以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传送口令，而Telnet和Rlogin则正好相反，黑客能搜寻到这些口令，从而立即访问网络上的重要服务器。此外，在Unix上应该将rhost和hostsequiv文件删除，因为不用猜口令，这些文件就会提供登录访问！

7．限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件，并以特洛伊木马替换它，文件传输功能无异将陷入瘫痪。

8．确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备，还应该包括网络边界、非军事区（DMZ）及网络的内部保密部分。

9．在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的，使DoS/DDoS攻击成功率很高，所以定要认真检查特权端口和非特权端口。

10．检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更，几乎可以肯定：相关的主机安全受到了危胁。

11．利用DDoS设备提供商的设备。

遗憾的是，目前没有哪个网络可以免受DDoS攻击，但如果采取上述几项措施，能起到一定的预防作用

容易被ddos的服务器一般是私服，BC，钓鱼站等非法站也容易被ddos,建议使用高防服务器。

整体来说，防御DDoS攻击是一个系统化的工程，仅仅依靠某种操就实现全垒打很傻很天真。下面我从三个方面（网络设施、防御方案、预防手段）来分享几个防御DDoS攻击的方法

扩充带宽硬抗

使用硬件防火墙

选用高性能设备

CDN流量清洗

分布式集群防御

过滤不必要的服务和端口

限制特定的流量

ddoS的攻击方式有很多种，最基本的ddoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。单一的ddoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝服务攻击手段（DDoS）就应运而生了。DDoS就是利用更多的傀儡机（肉鸡）来发起进攻，以比从前更大的规模来进攻受害者。

当受到DDoS攻击时，可以选择用一些防火墙来进行防御，或者选择机房进行流量迁移和清洗，这种两种方法对于小流量攻击的确有效，而且价格也便宜。但是当攻击者使用大流量DDoS攻击时，这两种方法就完全防御不住了，这种情况就必须考虑更换更高防护的高防服务器了，高防的优势还是很明显的，配置简单，接入方便见效快，对于大流量攻击也完全不在话下。

1 Ethpool（Ethermine）ETHpoolorg是第一个官方的以太坊矿池。此前由于工作量超负荷，该矿池不接受新用户，只接受老客户。因此，许多新矿工被迫转向单独挖矿，因为那时还没有其他可替代的矿池。在Ethpool上挖矿，必须安装以太坊的C++ETH版本。 市场占有率：23％ 当前矿池算力：3991GH / s 挖矿奖励结算模式：PPLNS 费率：10％ 网址：https://ethpoolorg/2 NanopoolNanopool虽然是新矿池，但已经是目前以太坊上最大的矿池之一。份额（Share）的复杂性是静态的，相当于50亿。在该矿池上进行挖矿的最低哈希率仅为5 Mhesh / s。此外，此矿池根据PPLNS方案计算挖矿奖励，其中N是最近10分钟内所有接受的份额。（注：PPLNS全称Pay Per Last N Shares，即根据最近的N个股份来支付收益。）Nanopool的服务器遍及全球，官网页面简洁直观。但是这个矿池的最低支付门槛相对较高，建议连接3个服务器，避免等待长时间的付款期。 市场占有率：8％ 当前矿池算力：16,1763GH / s 挖矿奖励结算模式：PPLNS 费用：10％ 网址：https://ethnanopoolorg/3 F2Pool（鱼池）F2Pool是2019年最受欢迎的矿池之一。F2pool的服务器主要位于中国、其他亚洲国家和美国。F2poolcom因其开放性，可访问性和易用性而备受矿工喜爱。矿工在F2Pool上注册后才可以挖矿。以太坊挖矿需要一个显卡矿机。 市场占有率：10％ 当前矿池算力：1938TH / s 挖矿奖励结算模式：PPS+ 费率：25％ 网址：https://wwwf2poolcom/4 Sparkpool（星火矿池）在ETH，GRIN和BEAM生态系统中，最强大的中国资源库是Sparkpool，它是与全球矿工合作的开放资源。在挖矿之前，你需要配置矿机。基于AMD GPU处理器的以太坊挖矿收益更高。它需要闪存改进的BIOS并调整MSI Afterburner或AMD驱动程序设置中的超频选项。 市场占有率：29％ 当前矿池算力：5696TH / s 挖矿奖励结算模式：PPS + 费用：10％ 网址：https://wwwsparkpoolcom/5 Dwarfpool在DwarfPool，矿工的信用等级分为RBPPS或HBPPS。使用RBPPS，只要有A值，你就可以获得对应奖励（死块除外）。HBPPS计提算法是基于时间的股份支付。每小时计算一次所有推广和发现的区块。该矿池具有经过优化的最佳挖矿引擎，拒绝率较低，透明且详细的统计信息。每小时进行一次支付结算，服务器遍布世界各地。 市场占有率：6％ 当前矿池算力：2377109 MH / s 挖矿奖励结算模式：HBPPS 费用：10％ 网址：https://dwarfpoolcom/6 MiningPoolHubMiningPoolHub允许矿工通过挖矿获利，并根据不同支付系统的汇率来交易数字货币。该矿池使用PPLNS算法确定用户奖励。提款手续费为09％。 市场份额：37％ 当前矿池算力：705T / s 挖矿奖励类型：PPLNS 费用：10％