如何防范服务器被攻击

不管哪种DDoS攻击，，当前的技术都不足以很好的抵御。现在流行的DDoS防御手段——例如黑洞技术和路由器过滤，限速等手段，不仅慢，消耗大，而且同时也阻断有效业务。如IDS入侵监测可以提供一些检测性能但不能缓解DDoS攻击，防火墙提供的保护也受到其技术弱点的限制。其它策略，例如大量部署服务器，冗余设备，保证足够的响应能力来提供攻击防护，代价过于高昂。

黑洞技术

黑洞技术描述了一个服务提供商将指向某一目标企业的包尽量阻截在上游的过程，将改向的包引进“黑洞”并丢弃，以保全运营商的基础网络和其它的客户业务。但是合法数据包和恶意攻击业务一起被丢弃，所以黑洞技术不能算是一种好的解决方案。被攻击者失去了所有的业务服务，攻击者因而获得胜利。

路由器

许多人运用路由器的过滤功能提供对DDoS攻击的防御，但对于现在复杂的DDoS攻击不能提供完善的防御。

路由器只能通过过滤非基本的不需要的协议来停止一些简单的DDoS攻击，例如ping攻击。这需要一个手动的反应措施，并且往往是在攻击致使服务失败之后。另外，现在的DDoS攻击使用互联网必要的有效协议，很难有效的滤除。路由器也能防止无效的或私有的IP地址空间，但DDoS攻击可以很容易的伪造成有效IP地址。

基于路由器的DDoS预防策略——在出口侧使用uRPF来停止IP地址欺骗攻击——这同样不能有效防御现在的DDoS攻击，因为uRPF的基本原理是如果IP地址不属于应该来自的子网网络阻断出口业务。然而，DDoS攻击能很容易伪造来自同一子网的IP地址，致使这种解决法案无效。

防火墙

首先防火墙的位置处于数据路径下游远端，不能为从提供商到企业边缘路由器的访问链路提供足够的保护，从而将那些易受攻击的组件留给了DDoS攻击。此外，因为防火墙总是串联的而成为潜在性能瓶颈，因为可以通过消耗它们的会话处理能力来对它们自身进行DDoS攻击。

其次是反常事件检测缺乏的限制，防火墙首要任务是要控制私有网络的访问。一种实现的方法是通过追踪从内侧向外侧服务发起的会话，然后只接收“不干净”一侧期望源头发来的特定响应。然而，这对于一些开放给公众来接收请求的服务是不起作用的，比如Web、DNS和其它服务，因为黑客可以使用“被认可的”协议（如HTTP）。

第三种限制，虽然防火墙能检测反常行为，但几乎没有反欺骗能力——其结构仍然是攻击者达到其目的。当一个DDoS攻击被检测到，防火墙能停止与攻击相联系的某一特定数据流，但它们无法逐个包检测，将好的或合法业务从恶意业务中分出，使得它们在事实上对IP地址欺骗攻击无效。

IDS入侵监测

IDS解决方案将不得不提供领先的行为或基于反常事务的算法来检测现在的DDoS攻击。但是一些基于反常事务的性能要求有专家进行手动的调整，而且经常误报，并且不能识别特定的攻击流。同时IDS本身也很容易成为DDoS攻击的牺牲者。

作为DDoS防御平台的IDS最大的缺点是它只能检测到攻击，但对于缓和攻击的影响却毫无作为。IDS解决方案也许能托付给路由器和防火墙的过滤器，但正如前面叙述的，这对于缓解DDoS攻击效率很低，即便是用类似于静态过滤串联部署的IDS也做不到。

DDoS攻击的手动响应

作为DDoS防御一部份的手动处理太微小并且太缓慢。受害者对DDoS攻击的典型第一反应是询问最近的上游连接提供者——ISP、宿主提供商或骨干网承载商——尝试识别该消息来源。对于地址欺骗的情况，尝试识别消息来源是一个长期和冗长的过程，需要许多提供商合作和追踪的过程。即使来源可被识别，但阻断它也意味同时阻断所有业务——好的和坏的。

服务器会被攻击的原因可能是同行的恶意竞争或者一些黑客的攻击练习对象。

要怎么防御呢？

1、确保系服务器统安全；

2、购买防火墙，云防护等防御产品；

3、使用高防服务器，自带防御，更好地防御攻击。

高防服务器属于服务器的一种，只是高防服务器所在的机房是有硬件防火墙的，可以防御恶意攻击；可以分为以下几种类型：

1、电信高防服务器

众所周知，中国的电信运营商向来带宽不但大，而且多，所以机房的服务器防御能力最强的， 电信机房的出口带宽种类多，无论是大小还是独享或共享，还有就是防御的大小，都能够根据客 户的需要进行选择，找到最合适自己的，这个是很不错的。

2、网通高防服务器

网通的带宽呢，是没有电信的多，因此国内大部分的网通机房带宽和防御能力都很一般，当然 只是说大部分。一些机房如果说当客户有攻击的时候，愿意为你死扛，其实还是解决不了根本问 题，死扛肯定会影响机房，机房也不会那么傻为你影响别的客户，国内的网通机房并不多，基本 都在北方，正所谓“南电信，北网通”。

3、双线高防服务器

电信高防服务器再好，也无法解决北方网通用户的访问慢问题，但是客户的业务不可能放弃北方的市场，所以国内诞生了双线服务器，顾名思义就是电信网通两条线路都有，解决了南北互通问题， 但是大部分双线服务器的网通防御能力还是会比电信防御低一点。

4、海外高防服务器

只要不是中国大陆的机房统称海外机房，走的都是国际带宽，要想让国内访问快，就用复杂昂 贵的BGP技术，由此保证国内电信网通访问都一样，但是国际带宽距离远，各种问题都要解决，所以还是推荐国内用户选择国内的高防服务器资源。

高防服务器指的是防御能力在50G以上，这里的G是流量的大小。例如独立单个硬防防御10G,15G，20G，25G，30G，35G，40G左右，可以为单个客户提供安全维护的;集群防御120G，300G，甚至是T级防御，可以为整个集群内部的所有服务器提供安全防护。

G数越大，服务器的防御越高。防御多少G是指的防御等级。一般最常见攻击为DDOS流量攻击，流量攻击是通过 G 这个单位衡量的。防御多少G是指这个服务器多大能防御多大的攻击。超过这个防御值的攻击就防御不了。

游戏服务器因玩游戏的用户众多，需要更稳定的服务器性能，同时游戏类服务器也是极易受到网络攻击的，一旦宕机损失巨大，因此游戏服务器一定要选择高防服务器，同时防御能力要够强，配置够高，带宽也要足够大。

DDoS往往会以大流量攻击为基础，其流量通常为几十G以上，甚至还可能会超过机房的防御能力。但是大流量DDoS攻击也需要一定的成本，因而一般行业也不会受到特别大的流量攻击。

一般网站10G防御能力够用。DDoS攻击可能需要软件或者肉鸡作为攻击的支持，一般来说，日常的DDoS攻击在流量上都不会很大。一般的网站来说，受到的流量攻击往往是低于10G。一个10G硬防的高防服务器往往会够