如何防止伺服器被流量攻擊

A. 伺服器被惡意流量攻擊怎麼抵禦

在骨幹節點配置防火牆

防火牆本身能抵禦DdoS攻擊和其他一些攻擊。在發現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防範攻擊優秀的系統。

用足夠的機器承受黑客攻擊

這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數設備處於空閑狀態，和目前中小企業網路實際運行情況不相符。

充分利用網路設備保護網路資源

所謂網路設備是指路由器、防火牆等負載均衡設備，它們可將網路有效地保護起來。當網路被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經重啟後會恢復正常，而且啟動起來還很快，沒有什麼損失。若其他伺服器死掉，其中的數據會丟失，而且重啟伺服器又是一個漫長的過程。特別是一個公司使用了負載均衡設備，這樣當一台路由器被攻擊死機時，另一台將馬上工作。從而最大程度的削減了DdoS的攻擊。

B. 流量攻擊怎麼防禦怎麼防止流量攻擊

如何防禦DDoS攻擊？

網路架構、設施設備是整個系統順利運行的硬體基礎。用足夠的機器和容量來承受攻擊，充分利用網路設備來保護網路資源，是比較理想的應對策略。攻守歸根到底也是雙方資源的爭奪。隨著它不斷的訪問用戶，搶佔用戶資源，自身的精力也在逐漸消耗。相應的，投入也不小，但是網路設施是一切防禦的基礎，需要根據自身情況進行平衡選擇。

1.擴展帶寬硬電阻

網路帶寬直接決定了抵禦攻擊的能力。國內大部分網站的帶寬在10M到100M之間，知名企業的帶寬可以超過1G。超過100G的網站基本都是專門做帶寬服務和防攻擊服務的，屈指可數。但是DDoS不一樣。攻擊者通過控制一些伺服器、個人電腦等成為肉雞。如果他們控制1000台機器，每台機器的帶寬為10M，那麼攻擊者將擁有10G流量。當他們同時攻擊一個網站時，帶寬瞬間被佔用。增加帶寬硬保護是理論上的最優方案。只要帶寬大於攻擊流量，就不怕，但是成本也是無法承受的。國內非一線城市的機房帶寬價格在100元/M*月左右，買10G帶寬的話要100萬。所以很多人調侃說，拼帶寬就是拼人民幣，沒幾個人願意出高價買大帶寬做防禦。

2.使用硬體防火牆

很多人會考慮使用硬體防火牆。針對DDoS攻擊和黑客攻擊而設計的專業防火牆，通過對異常流量的清理和過濾，可以抵禦SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等流量DDoS攻擊。如果網站被流量攻擊困擾，可以考慮把網站放在DDoS硬體防火牆室。但如果網站流量攻擊超出了硬防禦的保護范圍(比如200G硬防禦，但攻擊流量是300G)，洪水即使穿過高牆也無法抵禦。值得注意的是，有些硬體防火牆主要是在包過濾防火牆的基礎上修改的，只在網路層檢查數據包。如果DDoS攻擊上升到應用層，防禦能力就會很弱。

3.選擇高性能設備

除了防火牆之外，伺服器、路由器、交換機等網路設備的性能。也需要跟上。如果設備的性能成為瓶頸，即使帶寬足夠，也無能為力。在保證網路帶寬的前提下，盡可能升級硬體配置。

第二，有效的反D思想和方案

貼身防守往往是「不計後果」的。通過架構布局、資源整合等方式提高網路的負載能力，分擔本地過載流量，通過接入第三方服務等方式識別和攔截惡意流量，才是更「理性」的做法。，而且對抗效果不錯。

4.負載平衡

普通級別的伺服器處理數據的能力最多隻能回答每秒幾十萬的鏈接請求，因此網路處理能力非常有限。負載平衡基於現有的網路結構。它提供了一種廉價、有效和透明的方法來擴展網路設備和伺服器的帶寬，增加吞吐量，增強網路數據處理能力，提高網路的靈活性和可用性。對於DDoS流量攻擊和CC攻擊是有效的。CC攻擊由於大量的網路流量而使伺服器過載，這些流量通常是為一個頁面或一個鏈接生成的。企業網站加入負載均衡方案後，鏈接請求被平均分配到各個伺服器，減輕了單個伺服器的負擔。整個伺服器系統每秒可以處理幾千萬甚至更多的服務請求，用戶的訪問速度會加快。

5.CDN流量清洗

CDN是構建在網路上的內容分發網路，依託部署在各地的邊緣伺服器，通過中心平台的分發和調度功能模塊，讓用戶就近獲取所需內容，減少網路擁塞，提高用戶訪問響應速度和命中率。所以CDN加速也採用了負載均衡技術。與高防禦的硬體防火牆相比，無法承載無限的流量限制。CDN更加理性，很多節點分擔滲透流量。目前大部分CDN節點都有200G流量保護功能，加上硬防禦的保護，可以說可以應對大部分DDoS攻擊。這里推薦一款高性能比的CDN產品:網路雲加速，非常適合中小站長的保護。相關鏈接

6.分布式集群防禦

分布式集群防禦的特點是每個節點伺服器配置多個IP地址，每個節點可以承受不低於10G的DDoS攻擊。如果一個節點受到攻擊，無法提供服務，系統會根據優先順序設置自動切換到另一個節點，攻擊者的數據包會全部返回發送點，使攻擊源癱瘓，從更深層次的安全防護角度影響企業的安全執行決策。

路由器ddos防禦設置？

1、源IP地址過濾

在ISP所有網路接入或匯聚節點對源IP地址過濾，可以有效減少或杜絕源IP地址欺騙行為，使SMURF、TCP-SYNflood等多種方式的DDoS攻擊無法實施。

2、流量限制

在網路節點對某些類型的流量，如ICMP、UDP、TCP-SYN流量進行控制，將其大小限制在合理的水平，可以減輕拒絕DDoS攻擊對承載網及目標網路帶來的影響。

3、ACL過濾

在不影響業務的情況下，對蠕蟲攻擊埠和DDoS工具的控制埠的流量進行過濾。

4、TCP攔截

針對TCP-SYNflood攻擊，用戶側可以考慮啟用網關設備的TCP攔截功能進行抵禦。由於開啟TCP攔截功能可能對路由器性能有一定影響，因此在使用該功能時應綜合考慮。

nginx怎麼防止ddos攻擊cc攻擊等流量攻擊？

網上也搜過好多方法大概是以下幾種方法

1.添加防火牆；（由於價格太貴放棄了）

2.更換域名，發現被攻擊後，立刻解析到其他域名上，把被攻擊的域名停止解析（由於需要人工操作，且dns解析與停止不是實時的需要時間）

3.在nginx中攔截cc攻擊

最終討論方法是在nginx中攔截

下面說一下原理

由ios，android端寫一個對稱加密演算法且吧時間戳也加密進去；作為user-agent來訪問伺服器的介面，然後在nginx中去解密這個user-agent來檢驗這個加密字元串是否合法或者是否過期；如果是合法的則去調用php-fpm運行程序，如果不合法則直接返回403；

那麼問題了來了如何在nginx攔截cc攻擊了，也就說如何在nginx中編程了，我一個php程序員肯定不會；這個時候需要引入一個lua控制項；

單獨安裝lua插件太麻煩了，後來直接安裝了openresty直接在openresty中編寫lua腳本，成功防禦了cc攻擊

dos在應用層的防禦方法？

1.最常見的針對應用層DDOS攻擊的防禦措施，是在應用中針對每個「客戶端」做一個請求頻率的限制。

2.應用層DDOS攻擊是針對伺服器性能的一種攻擊，那麼許多優化伺服器性能的方法，都或多或少地能緩解此種攻擊。合理地使用memcache就是一個很好的優化方案，將資料庫的壓力盡可能轉移到內存中。此外還需要及時地釋放資源，比如及時關閉資料庫連接，減少空連接等消耗。

3.在網路架構上做好優化。善於利用負載均衡分流，避免用戶流量集中在單台伺服器上，同時可以充分利用好CDN和鏡像站點的分流作用，緩解主站的壓力。

怎麼有效抵禦網路攻擊？

有效防護ddos攻擊的方法

1、採用高性能配置的網路設備

首先盡量選用知名度高、口碑好的網路設備產品。

2、盡量避免NAT的使用

無論是路由器還是硬體防護牆設備要盡量避免採用網路地址轉換NAT的使用，因為採用此技術會較大降低網路通

信能力，因為NAT需要對地址來回轉換，轉換過程中需要對網路包的校驗和進行計算，因此浪費了很多CPU的時間。

3、充足的網路帶寬

網路帶寬的大小直接決定防禦能力的高低，假若只有10M帶寬，是很難對抗現在的SYNFlood攻擊的，至少要選擇

100M的共享帶寬，所以充裕的網路帶寬是很重要的。

C. 如何防止伺服器被大流量攻擊

1.修改密碼賬號
當我們在伺服器租用以後，對於登錄密碼要進行修改，密碼的組成盡量復雜一些，這樣就可以防止伺服器的密碼被有心的人盜用，導致一些不必要的損失。
2.限制登錄後台的IP
限制登錄後台的IP好處在於不是自己設定的IP，那就不能進行後台登錄，這樣的話，在最根本上就嚴禁了其他IP來登錄後台，為我們的安全上了一道密碼鎖。
3.及時修復漏洞
很多網路攻擊者會根基系統存在的漏洞發動攻擊，這樣的話，就很容易造成安全事故的發生，因此對於伺服器出現的漏洞一定要在第一時間及時的進行修復，杜絕網路攻擊者利用這些漏洞進行網路攻擊。
4.嚴禁伺服器下載其他軟體
大家都知道，很多的軟體都帶有一些廣告，網路攻擊者正是利用了這一點，在軟體中插入病毒，當下載這些軟體程序的時候，一起就把病毒植入了伺服器，之後對伺服器進行攻擊，盜取數據等操作，伺服器的數據信息就完全的暴露在了攻擊者面前，對企業的傷害是不可言喻的。
5.定期維護
定期維護的重要性不言而喻，這都會對伺服器的安全起到很好的保護作用。因此定期的掃描是運維人員日常工作重要的一個方面