关闭端口DDOS攻击还有效吗？关闭所有端口，或只关闭被攻击端口能否阻止攻击？（个人电脑）

凭我自己的技术知识，认真的告诉你关闭端口可以防止DDOS攻击。

很多人不看问题主题，我发现很多人都这样回答这个问题，端口全部关闭了还叫做服务器吗？你要知道问的是：“端口全部关闭了，DDOS攻击还有效吗”，你只需回答有效和无效就行了！一般我想大家遇到的DDOS攻击大部分都是网站服务器，云主机或者轻量服务器，一般设置安全组即可！网站建设完成后，服务器设置好以后，把所有端口关闭即可，只留一个80端口和一个数据库的端口，数据库端口需要修改成一个别人猜不到的。至于20、21FTP的端口传文件的时候打开，不传文件关闭掉！最好过滤下http头把CC攻击拦截了，包括一些恶意的渗透。一般情况这样的设置几乎没有问题了。如果说你把所有端口禁止了，服务器关机了，或者网线断了，黑客是无法攻击的，留一个80端口可以防止百分之9999的DDOS攻击，一般我们个人的网站不会有专业的人烧钱攻击，这个你可以放心，都是一些小喽啰用的肉机测试啊，或者学习，练习。

1黑客也有可能通过暴力破解的方法来破解超级管理员密码，从而对服务器实行攻击。要预防超级管理员密码被暴力破解，购买到服务器后站长一定要修改超级管理员的默认密码，把密码修改成为一个复杂的英文加数字的组合密码，这样可以加大黑客破解密码的难度。再复杂的密码也有被破解的风险，所以建议超级管理员的密码定期修改一次。　

2端口是病毒、木马入侵的最主要途径，所有端口都有可能是黑客的利用对象，通过端口对服务器实行攻击。具体怎么攻击这里就不细说了，壹基比小喻这里主要讲一下怎么预防，想要预防黑客通过端口攻击服务器，最有效的方法是关闭不必要端口，修改重要端口。对外少开放一个端口，黑客就少一个入侵途径，每开放一个服务就意味着对外多开放一个端口，在关闭端口的同时也要关闭一些不必要的服务。此外，修改一些重要端口可以加大黑客的扫描难度，这样也能有效地保护我们的服务器。　

3DDOS攻击是服务器常见的一种攻击，它的攻击方式有很多，最常见的是通过服务请求来占用服务资源，从而导致用户无法得到服务响应。预防DDOS攻击的最有效的方法是选择设有机房硬防的机房，硬件防火墙能够有效预防DDOS攻击和黑客攻击。硬防虽然能够有效预防DDOS攻击，但对CC攻击的基本无效，CC攻击需要通过软件防火墙来防御。　

4漏洞也是黑客最主要的入侵途径，黑客可以通过系统漏洞、程序漏洞等对服务器实行攻击。每个系统、程序或多或少会存在有一些漏洞，或系统本身就存在的漏洞，或系统管理员配置错误导致的漏洞，站长朋友应该及时给服务器系统打新补丁，及时升级程序新版本。　

以上是关于怎么预防服务器被攻击的分享，虽然服务器容易遭受攻击，但如果做好预防措施，能够最大限度的避免被攻击成本，而且学习了服务器被攻击恢复方法能够最快的解决问题，降低损失是放在首位的。现在网络发展快，另外除了上述的问题与方法，也还需要多留意新的事物，通过不断的更新补丁也能起到很好的预防。希望壹基比小喻的这些可以帮到你们。

当服务器被攻击时，最容易被人忽略的地方，就是记录文件，服务器的记录文件了黑客活动的蛛丝马迹。在这里，我为大家介绍一下两种常见的网页服务器中最重要的记录文件，分析服务器遭到攻击后，黑客在记录文件中留下什么记录。

目前最常见的网页服务器有两种：Apache和微软的Internet Information Server （简称IIS）。这两种服务器都有一般版本和SSL认证版本，方便黑客对加密和未加密的服务器进行攻击。

IIS的预设记录文件地址在 c:winntsystem32logfilesw3svc1的目录下，文件名是当天的日期，如yymmddlog。系统会每天产生新的记录文件。预设的格式是W3C延伸记录文件格式（W3C Extended Log File Format），很多相关软件都可以解译、分析这种格式的档案。记录文件在预设的状况下会记录时间、客户端IP地址、method（GET、POST等）、URI stem（要求的资源）、和HTTP状态（数字状态代码）。这些字段大部分都一看就懂，可是HTTP状态就需要解读了。一般而言，如果代码是在200到299代表成功。常见的200状态码代表符合客户端的要求。300到399代表必须由客户端采取动作才能满足所提出的要求。400到499和500到599代表客户端和服务器有问题。最常见的状态代码有两个，一个是404，代表客户端要求的资源不在服务器上，403代表的是所要求的资源拒绝服务。Apache记录文件的预设储存位置在/usr/local/apache/logs。最有价值的记录文件是access_log，不过 ssl_request_log和ssl_engine_log也能提供有用的资料。 access_log记录文件有七个字段，包括客户端IP地址、特殊人物识别符、用户名称、日期、Method Resource Protocol（GET、POST等；要求哪些资源；然后是协议的版本）、HTTP状态、还有传输的字节。

我在这里所用的是与黑客用的相似的模拟攻击网站方式和工具。（注意：在本文中所介绍的方法请大家不要试用，请大家自觉遵守网络准则！）

分析过程

网页服务器版本是很重要的信息，黑客一般先向网页服务器提出要求，让服务器送回本身的版本信息。只要把「HEAD / HTTP/10」这个字符串用常见的netcat utility（相关资料网址：http://wwwl0phtcom/~weld/netcat/）和OpenSSL binary（相关资料网址：http://wwwopensslorg/）送到开放服务器的通讯端口就成了。注意看下面的示范：

C:>nc -n 100255 80

HEAD / HTTP/10

HTTP/11 200 OK

Server: Microsoft-IIS/40

Date: Sun, 08 Mar 2001 14:31:00 GMT

Content-Type: text/html

Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/

Cache-control: private

这种形式的要求在IIS和Apache的记录文件中会生成以下记录：

IIS: 15:08:44 111280 HEAD /Defaultasp 200

Linux: 111280 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/10" 200 0

虽然这类要求合法，看似很平常，不过却常常是网络攻击的前奏曲。access_log和IIS的记录文件没有表明这个要求是连到SSL服务器还是一般的网页服务器，可是Apache的 ssl_request_log和ssl_engine_log（在/usr/local/apache/logs目录下）这两个记录文件就会记录是否有联机到SSL服务器。请看以下的ssl_request_log记录文件：

[07/Mar/2001:15:32:52 -0700] 111150 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/10" 0

第三和第四个字段表示客户端使用的是哪种加密方式。以下的ssl_request_log分别记录从OpenSSL、 Internet Explorer和Netscape客户端程序发出的要求。

[07/Mar/2001:15:48:26 -0700] 111150 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/10" 2692

[07/Mar/2001:15:52:51 -0700] 100255 TLSv1 RC4-MD5 "GET / HTTP/11" 2692

[07/Mar/2001:15:54:46 -0700] 111150 SSLv3 EXP-RC4-MD5 "GET / HTTP/10" 2692

[07/Mar/2001:15:55:34 –0700] 111280 SSLv3 RC4-MD5 “GET / HTTP/10” 2692

另外黑客通常会复制一个网站（也就是所谓的镜射网站。），来取得发动攻击所需要的信息。网页原始码中的批注字段常有目录、文件名甚至密码的有用资料。复制网站常用的工具包括窗口系统的Teleport Pro（网址：http://wwwtenmaxcom/teleport/pro/homehtm）和Unix系统的wget（网址：http://wwwgnuorg/manual/wget/）。在这里我为大家分析wget和TeleportPro这两个软件攻击网页服务器后记录文件中的内容。这两个软件能全面快速搜寻整个网站，对所有公开的网页提出要求。只要检查一下记录文件就知道，要解译镜射这个动作是很简单的事。以下是IIS的记录文件：

16:28:52 111280 GET /Defaultasp 200

16:28:52 111280 GET /robotstxt 404

16:28:52 111280 GET /header_protecting_your_privacygif 200

16:28:52 111280 GET /header_fec_reqsgif 200

16:28:55 111280 GET /photo_contribs_sidebarjpg 200

16:28:55 111280 GET /g2klogo_white_bgdgif 200

16:28:55 111280 GET /header_contribute_on_linegif 200

注：111280这个主机是Unix系统的客户端，是用wget软件发出请求。

16:49:01 111150 GET /Defaultasp 200

16:49:01 111150 GET /robotstxt 404

16:49:01 111150 GET /header_contribute_on_linegif 200

16:49:01 111150 GET /g2klogo_white_bgdgif 200

16:49:01 111150 GET /photo_contribs_sidebarjpg 200

16:49:01 111150 GET /header_fec_reqsgif 200

16:49:01 111150 GET /header_protecting_your_privacygif 200

注：111150系统是窗口环境的客户端，用的是TeleportPro发出请求。

注意：以上两个主机都要求robotstxt这个档，其实这个档案是网页管理员的工具，作用是防止wget和TeleportPro这类自动抓文件软件对某些网页从事抓取或搜寻的动作。如果有人提出robotstxt档的要求，常常代表是要镜射整个网站。但，TeleportPro和wget这两个软件都可以把要求robotstxt这个文件的功能取消。另一个侦测镜射动作的方式，是看看有没有同一个客户端IP反复提出资源要求。

黑客还可以用网页漏洞稽核软件：Whisker（网址：http://wwwwiretripnet/），来侦查网页服务器有没有安全后门（主要是检查有没有cgi-bin程序，这种程序会让系统产生安全漏洞）。以下是IIS和Apache网页服务器在执行Whisker后产生的部分记录文件。

IIS：

13:17:56 111150 GET /SiteServer/Publishing/viewcodeasp 404

13:17:56 111150 GET /msadc/samples/adctestasp 200

13:17:56 111150 GET /advworks/equipment/catalog_typeasp 404

13:17:56 111150 GET /iisadmpwd/aexp4bhtr 200

13:17:56 111150 HEAD /scripts/samples/detailsidc 200

13:17:56 111150 GET /scripts/samples/detailsidc 200

13:17:56 111150 HEAD /scripts/samples/ctguestbidc 200

13:17:56 111150 GET /scripts/samples/ctguestbidc 200

13:17:56 111150 HEAD /scripts/tools/newdsnexe 404

13:17:56 111150 HEAD /msadc/msadcsdll 200

13:17:56 111150 GET /scripts/iisadmin/bdirhtr 200

13:17:56 111150 HEAD /carbodll 404

13:17:56 111150 HEAD /scripts/proxy/ 403

13:17:56 111150 HEAD /scripts/proxy/w3proxydll 500

13:17:56 111150 GET /scripts/proxy/w3proxydll 500

Apache：

111150 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcachemap HTTP/10" 404 266

111150 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstophtml HTTP/10" 404 289

111150 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/indexcfm HTTP/10" 404 273

111150 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/10" 403 267

111150 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparserexe HTTP/10" 404 277

111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_infhtml HTTP/10" 404 0

111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/10" 404 0

111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdistcgi HTTP/10" 404 0

111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/10" 404 0

111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/10" 404 0

111150 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplaycgi HTTP/10" 404 0

大家要侦测这类攻击的关键，就在于从单一IP地址发出大量的404 HTTP状态代码。只要注意到这类信息，就可以分析对方要求的资源；于是它们就会拼命要求提供 cgi-bin scripts（Apache 服务器的 cgi-bin 目录；IIS服务器的 scripts目录）。

小结

网页如果被人探访过，总会在记录文件留下什么线索。如果网页管理员警觉性够高，应该会把分析记录文件作为追查线索，并且在检查后发现网站真的有漏洞时，就能预测会有黑客攻击网站。

接下来我要向大家示范两种常见的网页服务器攻击方式，分析服务器在受到攻击后黑客在记录文件中痕迹。

（1）MDAC攻击

MDAC攻击法可以让网页的客户端在IIS网页服务器上执行命令。如果有人开始攻击IIS服务器，记录文件就会记下客户端曾经呼叫msadcsdll文档：

17:48:49 12128 GET /msadc/msadcsdll 200

17:48:51 12128 POST /msadc/msadcsdll 200

（2）利用原始码漏洞

第二种攻击方式也很普遍，就是会影响ASP和Java网页的暴露原始码漏洞。最晚被发现的安全漏洞是 +htr 臭虫，这个bug会显示ASP原始码。 如果有人利用这个漏洞攻击，就会在IIS的记录文件里面留下这些线索：

17:50:13 111280 GET /defaultasp+htr 200

网页常会只让有权限的使用者进入。接下来我们要让各位看 Apache的access_log记录文件会在登录失败时留下什么线索：

12128 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/10" 401 462

注：第三栏里面的使用者名称是「user」。还有要注意HTTP的状态代号是401，代表非法存取。

解决问题方法，

1、关闭所有交换机、路由、集线器

2、对单独的电脑进行清理（可能存在破坏服务的恶意攻击）

3、打开主服务器，然后打开一台测试，在打开几台测试

4、安装防火墙，对现实IP频繁的进行主要检查

攻击的常见的类型有三种：ddos、cc以及arp攻击

arp攻击是局域网攻击，可以安装arp防火墙防护，或者可以绑定mac

ddos攻击是利用带宽堵塞你的网络，对于这种攻击，需要采用硬防服务器或者硬件防火墙 才能防御。硬防越高，防御就越强。

cc攻击是利用肉鸡模仿用户大量访问你的网站，占用你的iis的攻击方式。如果规模小的 话可以通过重启服务器的方式解决如果攻击量较大需要做一些安全策略来过滤伪装用户 的肉鸡甚至可以通过输入验证码的方式来避免非正常用户的访问这些需要机房懂技术的 人才可以处理

群英服务器为您诚意解答

1减少公开暴露

对于企业来说，减少公开暴露是防御 DDoS 攻击的有效方式，对 PSN 网络设置安全群组和私有网络，及时关闭不必要的服务等方式，能够有效防御网络黑客对于系统的窥探和入侵。具体措施包括禁止对主机的非开放服务的访问，限制同时打开的 SYN 最大连接数，限制特定 IP 地址的访问，启用防火墙的防 DDoS 的属性等。

2利用扩展和冗余

DDoS 攻击针对不同协议层有不同的攻击方式，因此我们必须采取多重防护措施。利用扩展和冗余可以防患于未然，保证系统具有一定的弹性和可扩展性，确保在 DDoS 攻击期间可以按需使用，尤其是系统在多个地理区域同时运行的情况下。任何运行在云中的虚拟机实例都需要保证网络资源可用。

微软针对所有的 Azure 提供了域名系统(DNS)和网络负载均衡，Rackspace 提供了控制流量流的专属云负载均衡。结合 CDN 系统通过多个节点分散流量，避免流量过度集中，还能做到按需缓存，使系统不易遭受 DDoS 攻击。

3充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅仅有 10M 带宽的话，无论采取什么措施都很难对抗当今的 SYNFlood 攻击，至少要选择 100M 的共享带宽，最好的当然是挂在1000M 的主干上了。但需要注意的是，主机上的网卡是 1000M 的并不意味着它的网络带宽就是千兆的，若把它接在 100M 的交换机上，它的实际带宽不会超过 100M，再就是接在 100M 的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为 10M，这点一定要搞清楚。

4分布式服务拒绝 DDoS 攻击

所谓分布式资源共享服务器就是指数据和程序可以不位于一个服务器上，而是分散到多个服务器。分布式有利于任务在整个计算机系统上进行分配与优化，克服了传统集中式系统会导致中心主机资源紧张与响应瓶颈的缺陷，分布式数据中心规模越大，越有可能分散 DDoS 攻击的流量，防御攻击也更加容易。

5实时监控系统性能

除了以上这些措施，对于系统性能的实时监控也是预防 DDoS 攻击的重要方式。不合理的 DNS 服务器配置也会导致系统易受 DDoS 攻击，系统监控能够实时监控系统可用性、API、CDN 以及 DNS 等第三方服务商性能，监控网络节点，清查可能存在的安全隐患，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机加强监控是非常重要的。

当然最好的办法还是选择使用香港的高防服务器。