服务器怎么用

　　第一，接入的交换机层

　　机房的布网一般都是路由，接千兆交换机，然后到百兆交换机层，最到再到机柜交换机，一台服务器到路由器中间到底有多少个路由，也许只有机房的工程师才知道，正规的机房，是不允许客人进入主交换机房，也不允许打开别人的机柜，你这个公司只能打开你所在的机柜。

　　第二，共享机数

　　作为IDC，他们恨不得把服务器做成笔记本的大小，这样他就可以在一个机柜里面多放几台机子。还好，现在的服务器不是技术做不到这么小，而是做成这样的成本高，用了反而赚不了钱，所以也就没用了。按现在机房的机柜，一般是48U机柜，可以放24台机子，机与机之间有个架子托着，中间留有散热的地方，所以就24台了，但我不担保最多就24台。有黑心IDC，连那点空间也不放过，直接放他30台的服务器。如果你所在机房刚好有两台做下载和**站的，交换机又不能控量，那样你还不如接入家里的ADSL算了，

第三，机房总出口

　　我以前经常取笑联通的百独，为什么呢，其实很简单，我所了解到的，大多数的地级市联通机房与省网接入的速度只有155M，机房总出口才155M，推出的百独到底有多少呢，自己想想。其实百独最大的优点不是快，而是稳定，别人跟你争不了带宽与流量。水桶装水，如果有缺口，水只能装到缺口那个位置，其它最高也没有用。服务器也是这样，如果机房的给你的只有5M的带宽，你的服务器最高也是浪费。算一下数字，让你5M跑尽，5M除以8等于640K，一个网页文件如果是1K，那么同时间给人下载支持在线人数就是640人。实际上，一个页面真的只有1K吗(此段内容可能会出问题，因为我一直都搞不清楚的，没办法，书读得少。)如果把台双至强的服务器托管到这带宽得不到保证的机房，有用吗请根据自己的需求选择机房，再选择服务器硬件配置。

　　第四，租用服务器

　　我以前是一个黑心IDC，当时做的是美国客，对方不懂电脑，装的都是LINUX/FREEBSD，老外都是那样不管里面的东西，只管能做到他想要的就可以。我说自己黑心，因为我给他的东西算不上服务器，他还是选择了我，在我这要了三十多台服务器，因为我的技术和服务填补了这一缺点。他想要的，我能给。嘻嘻。

　　我黑，因为我当时用来做服务器的材料除了些CPU找不到旧的外，其它都是旧的，40G的SCSI硬盘，180元一个，这个硬盘足足有五公斤重，比一个砖头还大，占了两个光驱位。主板是SIS芯片的，当时用的还是P4 18的CPU，用964的板就可以了，便宜，也是200块钱不到，双P3的板130元一块。。。。。。别以为高配置的就没旧货，两年前我是用旧的东西装出了一台双至强2。0，2G　ECC　内存的服务器，里面除了机箱，全是旧的。

　　因为是租用服务器，客人看不到机子，所以，很多IDC都是用旧东西来上，(各IDC在这里少来骂我，我没指名道姓，到底怎样自己清楚就行的。)旧东西不是不可以用，只要有硬件功底就没问题，我以前一台双P2　500的机子，从我干IDC起用了两年多，都没出过问题，死机最少的也就是他。(PS，我那个机房不管我放的是什么机型，收费是按台收的，所以我的服务器都是普通的机箱。)租服务器，不必计较服务器的新旧，不要看外表，实用就行了，最重要的，是看IDC商的服务和技术。服务好和技术高是最有用的，这个技术高当然是可以免费的提供技术支持，包括你做网站的代码不会写，可以请教IDC。租服务器也要看机房，同上。

最好是自己买个服务器，托管到机房，成本更低也不受限制。比如

产品型号：ZI2W6S8-8438HV

产品类型：双路二十核机架式服务器

处 理 器：Xeon Silver

4210

内 存：32G DDR4 REG ECC

硬 盘：SSD 480G + HD SATA3 32TB

网 卡：双千兆

管 理：硬件监控、远程管理

机 构：2U机架式

电 源：500W

操作系统：Linux免费版

/ VMware ESXi

服 务：全国联保 叁年质保

各位怀旧服的小伙伴大家好，我是细细说，很高兴又跟大家见面了。

P5安其拉版本昨天就上线了，现在很多服务器的打虫皮、物资收集都在如火如荼的进行当中，甚至一区的奥罗服务器物资捐献以及大佬的青铜龙声望全部搞定了。

如此一来慢慢地各个服务器就可以打安其拉废墟和神殿了。

说到安其拉神殿，其中8号BOSS奥罗掉落的巨虫的幼体这把枪肯定是绕不开的一个话题。

这是因为这把枪本来是猎人的毕业武器，但是因为属性和外观颜值的问题导致即使出了这个装备，狂暴战、盗贼甚至部分T都会一拥而上争个头破血流。

我们先来看看巨虫的幼体，也就是俗称的魔兽版意大利炮、虫炮的基本属性吧。

虫炮拥有30的攻击速度，103~193的上下限攻击、1暴击以及18攻击强度的扩展绿字属性，这种属性绝对是猎人梦寐以求的。

我们再来看下当前版本的猎人毕业武器：BWL7号掉落的惩戒之弩，也就是大家说的狗弩。

狗弩拥有超慢的34攻击速度，124~186的上下限攻击以及36远程攻击强度的扩展绿字属性，讲道理，如果怀旧服有弩专精的话，大批猎人兄弟估计要用到死了。

虽然狗弩的属性很很优秀，非常适合射击天赋的猎人，但是跟虫炮比起来还是稍微要差点意思的。这两把武器我们一对比就会发现：

1虫炮秒伤要比狗弩高；

2虫炮的DPH大于狗弩（瞄准伤害不比狗弩差）；

3虫炮有暴击属性外带一点攻强；

4虫炮速度30虽然不是很完美，但手感并不差；

5造型很拉风，枪械射击声效非常的爽；

所以总结来看，虫炮绝对是猎人的毕业武器，哪怕不是矮人猎人，也是毫无争议的怀旧服猎人神器，打完NAXX都脱不下来绝对一点毛病没有。

更为重要的是，对于真正的老玩家猎人来说，奥罗掉落的意大利炮是一个香草时代没有拿过的武器，怎么讲？

这是因为过去奥罗是不可击杀的存在，只有后面60版本快结束时，它跟克苏恩一起遭到了削弱，才有极少数的团队去挑战过这个BOSS并且完成了击杀。奥罗过去有多难？我跟各位老铁分享一些当年打奥罗这个BOSS的细节吧：

1横扫重击频率比现在单机版的要快，伤害要高；

2沙尘暴施放频率比现在快好几秒，伤害也很高，经常秒一堆人，对仇恨要求极其严格；

3完全没有任何规律的迷之钻地，而一旦钻地，移动土锥的速度极快，很容易造成减员；

以上3点就是当年绝大多数公会和团队甚至世界顶级的公会都没有办法击杀奥罗的主要原因。

因而老猎人们的怨念是很深的，这次怀旧服他们势必要入手虫炮弥补当年的遗憾。

然而残酷的现实是，虽然猎人们摩拳擦掌做好了准备要拿虫炮，恐怕一众狂暴战、盗贼还有土豪T们是不会轻易答应的。

先说下狂暴战为什么要拿虫炮吧。很多人可能会提出异议：狂暴战有了速射还要虫炮作甚？确实，狂暴战拿速射是相当好的，不过意大利炮在有条件的情况下却依然是尽量要入手的。

由于现阶段副本太过便当、世界BUFF挂满全身的原因导致对于狂暴战而言很多情况下一场BOSS战打的太快，命中以及AP收益高于暴击。

比方说大家经常看到的WCL竞速打BWL，尤其是小红龙，只要是15秒放挺BOSS，那么暴击属性就没什么卵用了，堆AP并且尽量保障较高的命中才是王道。

这种情况是属实的，但未来的安其拉神殿和NAXX呢？好像我没有发现一个鲁莽效果结束BOSS就死了的场景。如此一来，暴击对于狂暴战来讲还是非常重要的。

另外实战当中，狂暴战是非常容易突然去世的，一旦突然死了、没有了世界BUFF之后，他们的肉搏暴击阈值是不可能达到上限：452%的，这样虫炮收益就会比速射要高些了。

或许有人会纠结命中的问题，不存在的。因为随着泰坦护腿这样P5开放的强力装备的加入，狂暴战的命中轻轻松松的就堆上来了。

大家也都知道，战斗状态是可以切换远程武器的。这样狂暴战拿虫炮的意义就在于他们可以根据实战的具体情况将速射和虫炮切换使用。

而玩狂暴战的哪个不是有钱的主？如此一来猎人是真的难受，不相信的话，等回头开了TAQ的金团大伙儿就可以发现：很多狂暴战都会出高价去抢虫炮！

然后我们再来说下盗贼为什么也要来抢虫炮吧。虫炮的18AP和1暴击属性对于盗贼非常好。由于大部分匕首贼在有狗皮手套后堆站街13命中就大差不差了，这样虫炮就比速射什么的要好点的。

跟狂暴战类似：即盗贼也不能保证全程不死、暴击阈值始终达到临界值。而因为可以战斗切换武器，盗贼完全可以入手一个虫炮进行切换使用，从而让自己的伤害最大化。

此外，我们必须要考虑一般的TAQ金团它的战斗进程：3个小时以上。如此一来，就算狂暴战、盗贼们开打之前加上了全套世界BUFF，等打到后面的克苏恩、奥罗这些BOSS时，世界BUFF基本上没有了。这样一来，虫炮肯定是比速射或者废墟尾王掉落的迫近末日之弩要好点的，虽然整体而言也不过是个蚊子腿，但蚊子腿也是肉啊，对于怀旧服最不差钱的盗贼们而言，只要有提升，就一定会有老板愿意一掷千金去入手。

最后再说下T为什么也会抢虫炮吧。其实很简单，因为现在阶段兽人和人类T实在是太多了，命中装备也越来越多，搞到后面MT的远程栏位还真得把速射什么的给脱下来换上虫炮。不要纠结废墟弩提供的那一点耐力，无伤大雅的东西，还是1暴击对于T来说收益更大点。

因而虫炮虽然天下第一，但是猎人们恐怕被迫要去跟狂暴战、盗贼以及部分T去竞争了，难受啊！

不过没关系，反正猎人在TAQ应当是不考量DPS的，因为仅仅凭借宁神、开怪以及自然抗光环就足以让他们稳稳当当地分到金了。

当然我不是鼓励各位猎人小伙伴去划水，毕竟猎人认真打的话，其实DPS是也很高。

总结来看，奥罗掉落的虫炮虽然是猎人毕业武器，但我们也不能否认其他部分职业也挺适合用这个装备的。虽说猎人实际上不差钱的主儿也挺多的，但是鉴于大部分猎人在实战团本当中的特殊地位，普通玩家完全可以见机行事，以最合理的价格入手。

好了，本期内容就到这里了，各位猎爹到时候打奥罗出了虫炮一定要挺住，除非你铁了心要第一时间入手，否则不要去跟狂暴战和盗贼硬刚，吃亏的。

感谢大家的观看，我们下期再见！

最让我印象深刻的就是17年鹿晗关晓彤公布恋情和18年赵丽颖冯绍峰官宣结婚的消息吧！真的是微博都搞瘫痪了，刷什么都刷不出来，可见明星的恋情真的很受关注啊！

鹿晗在最火的时候公布与关晓彤恋情，不仅让很多人脱粉[笑哭]，估计对关晓彤也造成了不小的舆论影响。但也是蛮佩服他的，给自己女友一个光明正大的身份，哪怕自己事业会受影响，现在只要有鹿晗关晓彤的身影就会上热搜，三年了被传分手，结婚数不胜数，目前看来两个人应该还算稳定，互相庆生，出去约会……估计下一个热搜瘫痪会不会是鹿晗关晓彤官宣结婚啊[捂脸]

赵丽颖和冯绍峰官宣结婚，“官宣体”也广泛被网友使用，赵丽颖在 娱乐 圈的势力感觉太强大了，电视剧部部火爆，人也长得甜美可爱，而冯绍峰的恋爱史很多人都有所耳闻，怕颖宝受欺负，刚开始也是很不被看好的，很多人都去冯绍峰微博下留言表示如果感欺负颖宝，亿亿万万的萤火虫是不会放过你的[大笑]今年赵丽颖也顺利诞下了小少爷，从冯绍峰在《奇遇人生》中谈起妻子赵丽颖和儿子想想时满是喜爱和宠溺，看来颖宝的婚后生活还是不错的！如果冯绍峰敢出轨，感觉他会被全网极力讨伐[大笑]

我印象最深的是王宝强离婚的，把奥运会风头都抢了[捂脸][捂脸][捂脸][捂脸][捂脸]

微博已经成为了很多人获取各种新闻信息的重要来源渠道，我们在微博上吃了数不尽的各种口味瓜，也常与朋友们共享吃瓜。

但是 娱乐 圈有时候一个大事件就能让服务器瘫痪。

1、鹿晗、关晓彤恋情

鹿晗宣布恋情后新浪微博就直接崩了，而且还是崩很久！据有网友描述，那天周围的女生宿舍都在哭…确实让人印象深刻，微博根本刷不出来，隔壁寝室还一片哀嚎。鹿晗脱粉无数！

2、赵丽颖、冯绍峰官宣

鹿晗那次之后据说系统弄得更强大了，有扩容，然而赵丽颖官宣结婚还是崩了……还是崩了好久，是真的一点也刷不进去，当时吃瓜的心好焦急。

3、林志玲宣布结婚

继赵丽颖之后，说微博一定要扩容，就算 娱乐 圈同时爆出8个明星出轨，也不会瘫痪。可是志玲姐姐宣布结婚之后，微博服务器又一次瘫痪了。在外度假的新浪工作人员，也开始了自己的工作之旅。

4、王宝强离婚事件

除了服务器瘫痪，这件事的热度也是持续了好久，因为不光是年轻人，连大爷大妈也想知道这件事的始末。

5、乔任梁自杀

当年乔任梁自杀事件也让微博瘫痪了，因为大家更多的是不相信，事业最好的时候，在大家面前永远是笑容，很阳光的男孩。这个消息出来简直就像炸弹一样，让微博服务器直接炸了。

娱乐 圈还有很多令服务器崩溃的事情，比如文章姚笛出轨，范冰冰李晨的“我们”，宋慧乔宋仲基离婚，李小璐夜宿门等等。

千玺成年礼当晚，大量粉丝回归微博发祝福，微博研发总监凌晨发博在线震惊，是关于易烊千玺的“百鸟归巢送祝福，过个生日都能引围观，只有千玺了

娱乐 圈每天都有事情发生，粉丝的嗅觉是很灵敏的，只要有一点动静都会在第一时间知道，有些事却是能导致服务器瘫痪。印象较为深刻的是鹿晗关晓彤公布恋情，鹿晗毕竟是流量小生，粉丝基础自然不在话下。平时鹿晗发条微博，粉丝都要激动很久，鹿晗的微博还破了吉尼斯纪录，可见他的粉丝是有多强大。更何况是公布恋情，粉丝们看到自己的“男朋友”有了女友，立刻表示接收不了。粉丝的力量是很强大的，消息一公布，微博服务器就崩溃了，不知道有多少人哭晕在厕所。

2017年国庆节，正在结婚的微博程序员丁振凯不得不紧急救场，就是因为当天顶级流量小生鹿晗公开了和女友关晓彤恋情。

具体情况是太多人搜索这个 娱乐 圈大事件，微博服务器“炸了”导致无论手机端还是电脑端都出现卡顿或无法刷新现象。

更惨的是这个程序员回回都能赶上爆款事件，2019年正在日本休假的小丁，白天宋仲基宋慧乔官宣离婚登顶多国热搜，晚上范冰冰李晨官宣分手，为了不让服务器“炸了”的现象 历史 重演，悲催的他全天都在扩容。

不难发现一线艺人的婚恋很容易爆热搜，因为国民度高带来的强大搜索，比如赵丽颖冯绍峰结婚、杨幂魏大勋恋情、阿娇离婚等。

另外明星艺人的负面新闻也容易“炸服务器”，比如李小璐PGone事件；周扬青锤罗志祥；翟天临学位造假等。

再就是 社会 热点人物其实更容易把服务器弄“炸”，因为毕竟明星的受众多来源于粉丝和小部分平常关注 娱乐 八卦的人。

而 社会 人物或事件的关注度更高，比如近期的赌王何鸿燊去世，“炸”服务器的时间更快更久。

你还知道哪些让服务器“炸”了的时间么？欢迎在评论区交流

鹿晗公布恋情的时候是最火的时候，那几年他一直都是顶流，一起回国的几位成员，没有一个人的人气能够和他匹敌，当时他发微博公布恋情的时候，服务器一下就崩了，因为在这之前大家都没有传出任何关于他恋爱的消息，这个新闻来的太突然了。

大家第一反应是鹿晗被盗号了或者是宣传新作品，不过后来发现关晓彤进行回应之后，才慢慢认识到事情是真的。

当时有很多粉丝接受不了两个人的恋情，写了洋洋洒洒的长篇大论指责鹿晗是吃女友饭不应该谈恋爱，随即宣布脱粉，当时大多数人都不看好这段恋情，甚至有很多粉丝改名为关晓彤和鹿晗什么时候分手。

当时很多人都认为这两个人只是随便谈谈恋爱，谈不到几个月就会分手，却不曾想这两个人从2017年公布恋情到现在，都快3年了，两个人虽然没有经常合体秀恩爱，但是两个人在背地里暗戳戳的秀了不少恩爱，感情一直很稳定。

当年鹿晗因为颜值很高，被调侃长的比女孩子漂亮，经常被人拿来开性别的玩笑，但是从鹿晗公布恋情 的做法来看，能够在最顶峰的时候承认自己的恋情，这绝对是非常爷们的表现，现在当红的流量明星，没有几个能够有他的担当和勇气，祝福这一对能够走得更远。

全网瘫……

现在检验一个明星红不红的标准不再是微博有几千万粉丝，而是能不能让服务器陷入瘫痪。

微博粉丝数可以买，可以作假，但瞬间流量的涌入使服务器瘫痪这得多少人在同一时间同时操作才能办到呀！所以这个几乎是不可能作假的。

周杰伦新歌《说好不哭》上线，QQ音乐服务器瘫痪

9月16日晚上11:00，周杰伦的新单曲《说好不哭》在各大音乐平台上线，这仍旧是一首情歌，歌曲诉说了一段凄美绝伦的爱情故事，感动了不少人。上线不久，大量的粉丝一拥而上，挤爆了QQ音乐的服务器，使之瘫痪。

周杰伦是一代人的偶像，周杰伦的歌曲陪伴了一代人的成长。

80后听着他的《龙卷风》、《东风破》、《双节棍》长大，90后听着他的《听妈妈的话》、《青花瓷》、《牛仔很忙》长大，00后听着他的《等你下课》、《不爱我就拉倒》长大，现在，10后可以听他着的新歌《说好不哭》长大。

总之，不管你在哪个年龄段，在周杰伦的作品中，总能找到一首适合你听的歌。

赵丽颖、冯绍峰公布婚讯，新浪微博服务器瘫痪

时间追溯到2018年10月16日，这一天上午赵丽颖和冯绍峰公布婚讯，打了大家和新浪微博服务器一个措手不及，由于一时间访问量过大，服务器瘫痪了。

赵丽颖非科班出身，却主演了《花千骨》、《楚乔传》、《青云志》等多部叫好又叫座的电视剧，演技得到了大家的认可，获得了“收视女王”的美誉。

反观冯绍峰，能拿得出手的影视作品很少，在名气上与赵丽颖差一大截，两人的结合给了大家一个很大的惊吓。

结婚照一出，女才男貌，女强男弱，阴阳互补，用中国传统文化中的中庸平衡之道来解读，这样看来是两人是天作之合、神仙美眷。

鹿晗、关晓彤公布恋情，新浪微博服务器瘫痪

时间再往回倒，来到2017年10月8日，这一天鹿晗认爱关晓彤。

那时的鹿晗、关晓彤都是当红流量明星的顶级代表，公布恋情又打了观众一个措手不及，微博服务器又被挤瘫痪了。

之后关晓彤的每一年生日，鹿晗都拿着手机在0点准时打卡，有这么称职的男朋友真是太幸福了。

时间再往回倒，让微博服务器瘫痪的事件还有两起：李晨认爱范爷，王宝强与马大姐分道扬镳。

服务器瘫了还可以修好，恋爱关系瘫了、婚姻关系瘫了可就无法修复了。

李晨与范爷分手了，王宝强与马大姐离婚了，在 娱乐 圈，难道就没有坚不可摧的爱情与婚姻吗？

希望鹿晗、关晓彤能修成正果，走入婚姻的殿堂。

希望赵丽颖与冯绍峰，周杰伦与昆凌的婚姻关系牢不可破，白头偕老。

娱乐 圈的事情往往是人们茶余饭后所津津乐道的，也是吃瓜群众所消遣时间的方式， 娱乐 圈其中有些大事却把服务器弄瘫痪了。

双宋结婚

最初两人的恋情是由于一起拍戏产生得，一个吻戏的片段NG了上百次，或许是导演特意安排的。

他们结婚的时候可是震惊了一众中外粉丝，韩国接近半个 娱乐 圈明星都出席了这场婚礼，获得了巨大关注，国内微博、朋友圈等都在齐刷着双宋结婚，男神和女神都成家了。

赵丽颖和冯绍峰宣布结婚

很多人都喜欢赵丽颖，亲切得称她为"颖宝”，也希望她能找到一个好归宿。让粉丝喜出望外的是晒出与冯绍峰的结婚证件照，正式官宣结婚！

这真是太意外了，省略了恋情，直接公布结婚，那时的粉丝们都纷纷献上祝福、留言，而没多久微博就出现了全面崩溃等问题，直接把服务器弄瘫痪了

鹿晗关晓彤公开恋情

记着当初这个把微博服务器搞垮了很久，就是鹿晗公布了恋情，而对象竟然是关晓彤！那时有不少粉丝就直接脱粉了，毕竟鹿晗的好多粉丝都是女友粉。作为一个流量小生主动恋情，就这一个方面来说确实有担当

白百何事件

虽然说 娱乐 圈大多数都是在演戏，不过白百何出轨事件仍然很震惊，这个事件狂刷着朋友圈，对其老公的伤害也是相当之大

她的形象瞬间就彻底崩塌，引起很多网友的不满和谴责，当初的**《捉妖记2》差点都无法上映

马蓉事件

这件事直到现在，都有人在讨论着，王宝强全凭自己实力从草根逆袭，没想到的是妻子马蓉竟然出轨，而且还是出轨经纪人宋喆，当时这个消息迅速传遍全网

更惨的是只有女儿是他的，他的儿子竟然不是亲生的，也是悲剧。马蓉也是被从头骂到尾，同时也成了出轨的代名词

不但企业的门户网站被篡改、资料被窃取，而且还成为了病毒与木马的传播者。有些Web管理员采取了一些措施，虽然可以保证门户网站的主页不被篡改，但是却很难避免自己的网站被当作肉鸡，来传播病毒、恶意插件、木马等等。笔者认为，这很大一部分原因是管理员在Web安全防护上太被动。他们只是被动的防御。为了彻底提高Web服务器的安全，笔者认为，Web安全要主动出击。具体的来说，需要做到如下几点。

一、在代码编写时就要进行漏洞测试

现在的企业网站做的越来越复杂、功能越来越强。不过这些都不是凭空而来的，是通过代码堆积起来的。如果这个代码只供企业内部使用，那么不会带来多大的安全隐患。但是如果放在互联网上使用的话，则这些为实现特定功能的代码就有可能成为攻击者的目标。笔者举一个简单的例子。在网页中可以嵌入SQL代码。而攻击者就可以利用这些SQL代码来发动攻击，来获取管理员的密码等等破坏性的动作。有时候访问某些网站还需要有某些特定的控件。用户在安装这些控件时，其实就有可能在安装一个木马(这可能访问者与被访问者都没有意识到)。

为此在为网站某个特定功能编写代码时，就要主动出击。从编码的设计到编写、到测试，都需要认识到是否存在着安全的漏洞。笔者在日常过程中，在这方面对于员工提出了很高的要求。各个员工必须对自己所开发的功能负责。至少现在已知的病毒、木马不能够在你所开发的插件中有机可乘。通过这层层把关，就可以提高代码编写的安全性。

二、对Web服务器进行持续的监控

冰冻三尺、非一日之寒。这就好像人生病一样，都有一个过程。病毒、木马等等在攻击Web服务器时，也需要一个过程。或者说，在攻击取得成功之前，他们会有一些试探性的动作。如对于一个采取了一定安全措施的Web服务器，从攻击开始到取得成果，至少要有半天的时间。如果Web管理员对服务器进行了全天候的监控。在发现有异常行为时，及早的采取措施，将病毒与木马阻挡在门户之外。这种主动出击的方式，就可以大大的提高Web服务器的安全性。

笔者现在维护的Web服务器有好几十个。现在专门有一个小组，来全天候的监控服务器的访问。平均每分钟都可以监测到一些试探性的攻击行为。其中99%以上的攻击行为，由于服务器已经采取了对应的安全措施，都无功而返。不过每天仍然会遇到一些攻击行为。这些攻击行为可能是针对新的漏洞，或者采取了新的攻击方式。在服务器上原先没有采取对应的安全措施。如果没有及时的发现这种行为，那么他们就很有可能最终实现他们的非法目的。相反，现在及早的发现了他们的攻击手段，那么我们就可以在他们采取进一步行动之前，就在服务器上关掉这扇门，补上这个漏洞。

笔者在这里也建议，企业用户在选择互联网Web服务器提供商的时候，除了考虑性能等因素之外，还要评估服务提供商能否提供全天候的监控机制。在Web安全上主动出击，及时发现攻击者的攻击行为。在他们采取进一步攻击措施之前，就他们消除在萌芽状态。

三、设置蜜罐，将攻击者引向错误的方向

在军队中，有时候会给军人一些“伪装”，让敌人分不清真伪。其实在跟病毒、木马打交道时，本身就是一场无硝烟的战争。为此对于Web服务器采取一些伪装，也能够将攻击者引向错误的方向。等到供给者发现自己的目标错误时，管理员已经锁定了攻击者，从而可以及早的采取相应的措施。笔者有时候将这种主动出击的行为叫做蜜罐效应。简单的说，就是设置两个服务器。其中一个是真正的服务器，另外一个是蜜罐。现在需要做的是，如何将真正的服务器伪装起来，而将蜜罐推向公众。让攻击者认为蜜罐服务器才是真正的服务器。要做到这一点的话，可能需要从如下几个方面出发。

一是有真有假，难以区分。如果要瞒过攻击者的眼睛，那么蜜罐服务器就不能够做的太假。笔者在做蜜罐服务器的时候，80%以上的内容都是跟真的服务器相同的。只有一些比较机密的信息没有防治在蜜罐服务器上。而且蜜罐服务器所采取的安全措施跟真的服务器事完全相同的。这不但可以提高蜜罐服务器的真实性，而且也可以用来评估真实服务器的安全性。一举两得。

二是需要有意无意的将攻击者引向蜜罐服务器。攻击者在判断一个Web服务器是否值得攻击时，会进行评估。如评估这个网站的流量是否比较高。如果网站的流量不高，那么即使被攻破了，也没有多大的实用价值。攻击者如果没有有利可图的话，不会花这么大的精力在这个网站服务器上面。如果要将攻击者引向这个蜜罐服务器的话，那么就需要提高这个蜜罐服务器的访问量。其实要做到这一点也非常的容易。现在有很多用来交互流量的团队。只要花一点比较小的投资就可以做到这一点。

四、专人对Web服务器的安全性进行测试

俗话说，靠人不如靠自己。在Web服务器的攻防战上，这一个原则也适用。笔者建议，如果企业对于Web服务的安全比较高，如网站服务器上有电子商务交易平台，此时最好设置一个专业的团队。他们充当攻击者的角色，对服务器进行安全性的测试。这个专业团队主要执行如下几个任务。

一是测试Web管理团队对攻击行为的反应速度。如可以采用一些现在比较流行的攻击手段，对自己的Web服务器发动攻击。当然这个时间是随机的。预先Web管理团队并不知道。现在要评估的是，Web管理团队在多少时间之内能够发现这种攻击的行为。这也是考验管理团队全天候跟踪的能力。一般来说，这个时间越短越好。应该将这个时间控制在可控的范围之内。即使攻击最后没有成功，Web管理团队也应该及早的发现攻击的行为。毕竟有没有发现、与最终有没有取得成功，是两个不同的概念。

二是要测试服务器的漏洞是否有补上。毕竟大部分的攻击行为，都是针对服务器现有的漏洞所产生的。现在这个专业团队要做的就是，这些已发现的漏洞是否都已经打上了安全补丁或者采取了对应的安全措施。有时候我们都没有发现的漏洞是无能为力，但是对于这些已经存在的漏洞不能够放过。否则的话，也太便宜那些攻击者了。

DDoS攻击是由DoS攻击转化的，这项攻击的原理以及表现形式是怎样的呢？要如何的进行防御呢？本文中将会有详细的介绍，需要的朋友不妨阅读本文进行参考

DDoS攻击原理是什么随着网络时代的到来，网络安全变得越来越重要。在互联网的安全领域，DDoS(Distributed

DenialofService)攻击技术因为它的隐蔽性，高效性一直是网络攻击者最青睐的攻击方式，它严重威胁着互联网的安全。接下来的文章中小编将会介绍DDoS攻击原理、表现形式以及防御策略。希望对您有所帮助。

DDoS攻击原理及防护措施介绍

一、DDoS攻击的工作原理

11 DDoS的定义

DDos的前身 DoS

(DenialofService)攻击，其含义是拒绝服务攻击，这种攻击行为使网站服务器充斥大量的要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷而停止提供正常的网络服务。而DDoS分布式拒绝服务，则主要利用

Internet上现有机器及系统的漏洞，攻占大量联网主机，使其成为攻击者的代理。当被控制的机器达到一定数量后，攻击者通过发送指令操纵这些攻击机同时向目标主机或网络发起DoS攻击，大量消耗其网络带和系统资源，导致该网络或系统瘫痪或停止提供正常的网络服务。由于DDos的分布式特征，它具有了比Dos远为强大的攻击力和破坏性。

12 DDoS的攻击原理

如图1所示，一个比较完善的DDos攻击体系分成四大部分，分别是攻击者( attacker也可以称为master)、控制傀儡机(

handler)、攻击傀儡机( demon，又可称agent)和受害着(

victim)。第2和第3部分，分别用做控制和实际发起攻击。第2部分的控制机只发布令而不参与实际的攻击，第3部分攻击傀儡机上发出DDoS的实际攻击包。对第2和第3部分计算机，攻击者有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自攻击者的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦攻击者连接到它们进行控制，并发出指令的时候，攻击愧儡机就成为攻击者去发起攻击了。

图1分布式拒绝服务攻击体系结构

之所以采用这样的结构，一个重要目的是隔离网络联系，保护攻击者，使其不会在攻击进行时受到监控系统的跟踪。同时也能够更好地协调进攻，因为攻击执行器的数目太多，同时由一个系统来发布命令会造成控制系统的网络阻塞，影响攻击的突然性和协同性。而且，流量的突然增大也容易暴露攻击者的位置和意图。整个过程可分为：

1)扫描大量主机以寻找可入侵主机目标；

2)有安全漏洞的主机并获取控制权；

3)入侵主机中安装攻击程序；

4)用己入侵主机继续进行扫描和入侵。

当受控制的攻击代理机达到攻击者满意的数量时，攻击者就可以通过攻击主控机随时发出击指令。由于攻击主控机的位置非常灵活，而且发布命令的时间很短，所以非常隐蔽以定位。一旦攻击的命令传送到攻击操纵机，主控机就可以关闭或脱离网络，以逃避追踪要着，攻击操纵机将命令发布到各个攻击代理机。在攻击代理机接到攻击命令后，就开始向目标主机发出大量的服务请求数据包。这些数据包经过伪装，使被攻击者无法识别它的来源面且，这些包所请求的服务往往要消耗较大的系统资源，如CP或网络带宽。如果数百台甚至上千台攻击代理机同时攻击一个目标，就会导致目标主机网络和系统资源的耗尽，从而停止服务。有时，甚至会导致系统崩溃。

另外，这样还可以阻塞目标网络的防火墙和路由器等网络设备，进一步加重网络拥塞状况。于是，目标主机根本无法为用户提供任何服务。攻击者所用的协议都是一些非常常见的协议和服务。这样，系统管理员就难于区分恶意请求和正连接请求，从而无法有效分离出攻击数据包

二、DDoS攻击识别

DDoS ( Denial of Service，分布式拒绝服务) 攻击的主要目的是让指定目标无注提供正常服务，甚至从互联网上消失，是目前最强大、最难防御的攻击方式之一。

21 DDoS表现形式

DDoS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的政击，即通过大量攻击包导致主机的内存被耗尽或CPU内核及应用程序占完而造成无法提供网络服务。

22 攻击识别

流量攻击识别主要有以下2种方法：

1) Ping测试：若发现Ping超时或丢包严重，则可能遭受攻击，若发现相同交换机上的服务器也无法访问，基本可以确定为流量攻击。测试前提是受害主机到服务器间的ICMP协议没有被路由器和防火墙等设备屏蔽；

2)

Telnet测试：其显著特征是远程终端连接服务器失败，相对流量攻击，资源耗尽攻击易判断，若网站访问突然非常缓慢或无法访问，但可Ping通，则很可能遭受攻击，若在服务器上用Netstat-na命令观察到大量

SYN_RECEIVED、 TIME_WAIT， FIN_

WAIT_1等状态，而EASTBLISHED很少，可判定为资源耗尽攻击，特征是受害主机Ping不通或丢包严重而Ping相同交换机上的服务器正常，则原因是攻击导致系统内核或应用程序CPU利用率达100%无法回应Ping命令，但因仍有带宽，可ping通相同交换机上主机。

三、DDoS攻击方式

DDoS攻击方式及其变种繁多，就其攻击方式面言，有三种最为流行的DDoS攻击方式。

31 SYN/ACK Flood攻击

这种攻击方法是经典有效的DDoS攻击方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源P和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伤造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持，少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用

Netstat-na命令会观察到存在大量的 SYN

RECEIVED状态，大量的这种攻击会导致Ping失败，TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

攻击流程如图2所示，正常TCP连接为3次握手，系统B向系统A发送完 SYN/ACK分组后，停在 SYN

RECV状态，等待系统A返回ACK分组；此时系统B已经为准备建立该连接分配了资源，若攻击者系统A，使用伪造源IP，系统B始终处于“半连接”等待状态，直至超时将该连接从连接队列中清除；因定时器设置及连接队列满等原因，系统A在很短时间内，只要持续高速发送伪造源IP的连接请求至系统B，便可成功攻击系统B，而系统B己不能相应其他正常连接请求。

图2 SYN Flooding攻击流程

32 TCP全连接攻击

这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤

TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序(如：IIS、

Apache等Web服务器)能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽面被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此此种DDOs攻击方容易被追踪。

33 TCP刷 Script脚本攻击

这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用 MSSQL Server、My SQL Server、

Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过

Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Poxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些代理会暴露DDOS攻击者的IP地址。

四、DDoS的防护策略

DDoS的防护是个系统工程，想仅仅依靠某种系统或产品防住DDoS是不现实的，可以肯定的说，完全杜绝DDoS目前是不可能的，但通过适当的措施抵御大多数的DDoS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDoS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDoS攻击。

41 采用高性能的网络设备

抗DDoS攻击首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。

42 尽量避免NAT的使用

无论是路由器还是硬件防护墙设备都要尽量避免采用网络地址转换NAT的使用，除了必须使用NAT，因为采用此技术会较大降低网络通信能力，原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间。

43 充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅有10M带宽，无论采取何种措施都很难对抗现在的

SYNFlood攻击，当前至少要选择100M的共享带宽,1000M的带宽会更好，但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M。

44 升级主机服务器硬件

在有网络带宽保证的前提下，尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P4

24G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，要保障硬件性能高并且稳定，否则会付出高昂的性能代价。

45 把网站做成静态页面

大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，到现在为止还没有出现关于HTML的溢出的情况，新浪、搜狐、网易等门户网站主要都是静态页面。

此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问我们网站的80%属于恶意行为。

五、总结

DDoS攻击正在不断演化，变得日益强大、隐密，更具针对性且更复杂，它已成为互联网安全的重大威胁，同时随着系统的更新换代，新的系统漏洞不断地出现，DDoS的攻击技巧的提高，也给DDoS防护增加了难度，有效地对付这种攻击是一个系统工程，不仅需要技术人员去探索防护的手段，网络的使用者也要具备网络攻击基本的防护意识和手段，只有将技术手段和人员素质结合到一起才能最大限度的发挥网络防护的效能。相关链接