如何防止服务器被流量攻击

A. 服务器被恶意流量攻击怎么抵御

在骨干节点配置防火墙

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。

B. 流量攻击怎么防御怎么防止流量攻击

如何防御DDoS攻击？

网络架构、设施设备是整个系统顺利运行的硬件基础。用足够的机器和容量来承受攻击，充分利用网络设备来保护网络资源，是比较理想的应对策略。攻守归根到底也是双方资源的争夺。随着它不断的访问用户，抢占用户资源，自身的精力也在逐渐消耗。相应的，投入也不小，但是网络设施是一切防御的基础，需要根据自身情况进行平衡选择。

1.扩展带宽硬电阻

网络带宽直接决定了抵御攻击的能力。国内大部分网站的带宽在10M到100M之间，知名企业的带宽可以超过1G。超过100G的网站基本都是专门做带宽服务和防攻击服务的，屈指可数。但是DDoS不一样。攻击者通过控制一些服务器、个人电脑等成为肉鸡。如果他们控制1000台机器，每台机器的带宽为10M，那么攻击者将拥有10G流量。当他们同时攻击一个网站时，带宽瞬间被占用。增加带宽硬保护是理论上的最优方案。只要带宽大于攻击流量，就不怕，但是成本也是无法承受的。国内非一线城市的机房带宽价格在100元/M*月左右，买10G带宽的话要100万。所以很多人调侃说，拼带宽就是拼人民币，没几个人愿意出高价买大带宽做防御。

2.使用硬件防火墙

很多人会考虑使用硬件防火墙。针对DDoS攻击和黑客攻击而设计的专业防火墙，通过对异常流量的清理和过滤，可以抵御SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等流量DDoS攻击。如果网站被流量攻击困扰，可以考虑把网站放在DDoS硬件防火墙室。但如果网站流量攻击超出了硬防御的保护范围(比如200G硬防御，但攻击流量是300G)，洪水即使穿过高墙也无法抵御。值得注意的是，有些硬件防火墙主要是在包过滤防火墙的基础上修改的，只在网络层检查数据包。如果DDoS攻击上升到应用层，防御能力就会很弱。

3.选择高性能设备

除了防火墙之外，服务器、路由器、交换机等网络设备的性能。也需要跟上。如果设备的性能成为瓶颈，即使带宽足够，也无能为力。在保证网络带宽的前提下，尽可能升级硬件配置。

第二，有效的反D思想和方案

贴身防守往往是“不计后果”的。通过架构布局、资源整合等方式提高网络的负载能力，分担本地过载流量，通过接入第三方服务等方式识别和拦截恶意流量，才是更“理性”的做法。，而且对抗效果不错。

4.负载平衡

普通级别的服务器处理数据的能力最多只能回答每秒几十万的链接请求，因此网络处理能力非常有限。负载平衡基于现有的网络结构。它提供了一种廉价、有效和透明的方法来扩展网络设备和服务器的带宽，增加吞吐量，增强网络数据处理能力，提高网络的灵活性和可用性。对于DDoS流量攻击和CC攻击是有效的。CC攻击由于大量的网络流量而使服务器过载，这些流量通常是为一个页面或一个链接生成的。企业网站加入负载均衡方案后，链接请求被平均分配到各个服务器，减轻了单个服务器的负担。整个服务器系统每秒可以处理几千万甚至更多的服务请求，用户的访问速度会加快。

5.CDN流量清洗

CDN是构建在网络上的内容分发网络，依托部署在各地的边缘服务器，通过中心平台的分发和调度功能模块，让用户就近获取所需内容，减少网络拥塞，提高用户访问响应速度和命中率。所以CDN加速也采用了负载均衡技术。与高防御的硬件防火墙相比，无法承载无限的流量限制。CDN更加理性，很多节点分担渗透流量。目前大部分CDN节点都有200G流量保护功能，加上硬防御的保护，可以说可以应对大部分DDoS攻击。这里推荐一款高性能比的CDN产品:网络云加速，非常适合中小站长的保护。相关链接

6.分布式集群防御

分布式集群防御的特点是每个节点服务器配置多个IP地址，每个节点可以承受不低于10G的DDoS攻击。如果一个节点受到攻击，无法提供服务，系统会根据优先级设置自动切换到另一个节点，攻击者的数据包会全部返回发送点，使攻击源瘫痪，从更深层次的安全防护角度影响企业的安全执行决策。

路由器ddos防御设置？

1、源IP地址过滤

在ISP所有网络接入或汇聚节点对源IP地址过滤，可以有效减少或杜绝源IP地址欺骗行为，使SMURF、TCP-SYNflood等多种方式的DDoS攻击无法实施。

2、流量限制

在网络节点对某些类型的流量，如ICMP、UDP、TCP-SYN流量进行控制，将其大小限制在合理的水平，可以减轻拒绝DDoS攻击对承载网及目标网络带来的影响。

3、ACL过滤

在不影响业务的情况下，对蠕虫攻击端口和DDoS工具的控制端口的流量进行过滤。

4、TCP拦截

针对TCP-SYNflood攻击，用户侧可以考虑启用网关设备的TCP拦截功能进行抵御。由于开启TCP拦截功能可能对路由器性能有一定影响，因此在使用该功能时应综合考虑。

nginx怎么防止ddos攻击cc攻击等流量攻击？

网上也搜过好多方法大概是以下几种方法

1.添加防火墙；（由于价格太贵放弃了）

2.更换域名，发现被攻击后，立刻解析到其他域名上，把被攻击的域名停止解析（由于需要人工操作，且dns解析与停止不是实时的需要时间）

3.在nginx中拦截cc攻击

最终讨论方法是在nginx中拦截

下面说一下原理

由ios，android端写一个对称加密算法且吧时间戳也加密进去；作为user-agent来访问服务器的接口，然后在nginx中去解密这个user-agent来检验这个加密字符串是否合法或者是否过期；如果是合法的则去调用php-fpm运行程序，如果不合法则直接返回403；

那么问题了来了如何在nginx拦截cc攻击了，也就说如何在nginx中编程了，我一个php程序员肯定不会；这个时候需要引入一个lua控件；

单独安装lua插件太麻烦了，后来直接安装了openresty直接在openresty中编写lua脚本，成功防御了cc攻击

dos在应用层的防御方法？

1.最常见的针对应用层DDOS攻击的防御措施，是在应用中针对每个“客户端”做一个请求频率的限制。

2.应用层DDOS攻击是针对服务器性能的一种攻击，那么许多优化服务器性能的方法，都或多或少地能缓解此种攻击。合理地使用memcache就是一个很好的优化方案，将数据库的压力尽可能转移到内存中。此外还需要及时地释放资源，比如及时关闭数据库连接，减少空连接等消耗。

3.在网络架构上做好优化。善于利用负载均衡分流，避免用户流量集中在单台服务器上，同时可以充分利用好CDN和镜像站点的分流作用，缓解主站的压力。

怎么有效抵御网络攻击？

有效防护ddos攻击的方法

1、采用高性能配置的网络设备

首先尽量选用知名度高、口碑好的网络设备产品。

2、尽量避免NAT的使用

无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通

信能力，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间。

3、充足的网络带宽

网络带宽的大小直接决定防御能力的高低，假若只有10M带宽，是很难对抗现在的SYNFlood攻击的，至少要选择

100M的共享带宽，所以充裕的网络带宽是很重要的。

C. 如何防止服务器被大流量攻击

1.修改密码账号
当我们在服务器租用以后，对于登录密码要进行修改，密码的组成尽量复杂一些，这样就可以防止服务器的密码被有心的人盗用，导致一些不必要的损失。
2.限制登录后台的IP
限制登录后台的IP好处在于不是自己设定的IP，那就不能进行后台登录，这样的话，在最根本上就严禁了其他IP来登录后台，为我们的安全上了一道密码锁。
3.及时修复漏洞
很多网络攻击者会根基系统存在的漏洞发动攻击，这样的话，就很容易造成安全事故的发生，因此对于服务器出现的漏洞一定要在第一时间及时的进行修复，杜绝网络攻击者利用这些漏洞进行网络攻击。
4.严禁服务器下载其他软件
大家都知道，很多的软件都带有一些广告，网络攻击者正是利用了这一点，在软件中插入病毒，当下载这些软件程序的时候，一起就把病毒植入了服务器，之后对服务器进行攻击，盗取数据等操作，服务器的数据信息就完全的暴露在了攻击者面前，对企业的伤害是不可言喻的。
5.定期维护
定期维护的重要性不言而喻，这都会对服务器的安全起到很好的保护作用。因此定期的扫描是运维人员日常工作重要的一个方面