伺服器、網站被攻擊了怎麼辦？

網路攻擊一般分為3類

• 01

  第1類：ARP欺騙攻擊
  ARP（Address Resolution Protocol，地址解析協定）是一個位於TCP/IP協定棧中的網路層，負責將某個IP地址解析成對應的MAC地址。
  ARP協定的基本功能就是通過目標裝置的IP地址，查詢目標裝置的MAC地址，以保證通訊的進行。
  ARP攻擊的侷限性
  ARP攻擊僅能在乙太網（區域網如：機房、內網、公司網路等）進行，無法對外網（網際網路、非本區域內的區域網）進行攻擊。
• 02

  第2類：CC攻擊
  相對來說，這種攻擊的危害大一些。主機空間都有一個引數 IIS 連線數，當被存取網站超出IIS 連線數時，網站就會出現Service Unavailable 。攻擊者就是利用被控制的機器不斷地向被攻擊網站傳送存取請求，迫使IIS 連線數超出限制，當CPU 資源或者頻寬資源耗盡，那麼網站也就被攻擊垮了。對於達到百兆的攻擊，防火牆就相當吃力，有時甚至造成防火牆的CPU資源耗盡造成防火牆宕機。達到百兆以上，運營商一般都會在上層路由封這個被攻擊的IP。
  針對CC攻擊，一般的租用有防CC攻擊軟體的空間、VPS或伺服器就可以了，或者租用章魚主機，這種機器對CC攻擊防禦效果更好。
• 03

  第3類：DDOS流量攻擊
  就是DDOS攻擊，這種攻擊的危害是最大的。原理就是向目標伺服器傳送大量封包，佔用其頻寬。對於流量攻擊，單純地加防火牆沒用，必須要有足夠的頻寬和防火牆配合起來才能防禦。
• End

• 01

伺服器被攻擊的解決方法

• 01

  檢視網站的伺服器。
  當我們發現網站被攻擊的時候不要過度驚慌失措，先檢視一下網站伺服器是不是被黑了，找出網站存在的黑鏈，然後做好網站的安全防禦，具體操作分為三步：
  1）、開啟IP禁PING，可以防止被掃描。
  2）、關閉不需要的埠。
  3）、開啟網站的防火牆。
  這些是隻能防簡單的攻擊
• End

• 01

ARP欺騙

• 01

  網上現在有很多防禦ARP欺騙的防護軟體（這裡不一一列舉）
• End

• 01
• 02
• 03
• 04

伺服器被攻擊CC攻擊防禦策略

• 01

  取消域名系結。
  一般cc攻擊都是針對網站的域名進行攻擊，比如我們的網站域名是"www.star-net.cn"，那麼攻擊者就在攻擊工具中設定攻擊物件為該域名然後實施攻擊。
  對於這樣的攻擊我們的措施是在IIS上取消這個域名的繫結，讓CC攻擊失去目標。具體操作步驟是：開啟"IIS管理器"定位到具體站點右鍵"屬性"開啟該站點的屬性面板，點選IP地址右側的"高階"按鈕，選擇該域名項進行編輯，將"主機頭值"刪除或者改為其它的值(域名)。
  經過模擬測試，取消域名系結後Web伺服器的CPU馬上恢復正常狀態，通過IP進行存取連線一切正常。但是不足之處也很明顯，取消或者更改域名對於別人的存取帶來了不變，另外，對於針對IP的CC攻擊它是無效的，就算更換域名攻擊者發現之後，他也會對新域名實施攻擊。
• 02

  域名欺騙解析。
  如果發現針對域名的CC攻擊，我們可以把被攻擊的域名解析到127.0.0.1這個地址上。我們知道127.0.0.1是本地迴環IP是用來進行網路測試的，如果把被攻擊的域名解析到這個IP上，就可以實現攻擊者自己攻擊自己的目的，這樣他再多的肉雞或者代理也會宕機，讓其自作自受。
  另外，當我們的Web伺服器遭受CC攻擊時把被攻擊的域名解析到國家有權威的政府網站或者是網警的網站，讓其網警來收拾他們。
  現在一般的Web站點都是利用IDC服務商提供的動態域名解析服務，大家可以登入進去之後進行設定。
• 03

  更改Web埠。
  一般情況下Web伺服器通過80埠對外提供服務，因此攻擊者實施攻擊就以預設的80埠進行攻擊，所以，我們可以修改Web埠達到防CC攻擊的目的。執行IIS管理器，定位到相應站點，開啟站點"屬性"面板，在"網站標識"下有個TCP埠預設為80，我們修改為其他的埠就可以了。
• 04

  IIS遮蔽IP。
  我們通過命令或在檢視紀錄檔發現了CC攻擊的源IP，就可以在IIS中設定遮蔽該IP對Web站點的存取，從而達到防範IIS攻擊的目的。在相應站點的"屬性"面板中，點選"目錄安全性"索引標籤，點選"IP地址和域名現在"下的"編輯"按鈕開啟設定對話方塊。在此視窗中我們可以設定"授權存取"也就是"白名單"，也可以設定"拒絕存取"即"黑名單"。比如我們可以將攻擊者的IP新增到"拒絕存取"列表中，就遮蔽了該IP對於Web的存取。
• End

• 01
• 02
• 03
• 04
• 05

伺服器被攻擊CC攻擊防禦手段

• 01

  防止CC攻擊，不一定非要用高防伺服器。比如，用防CC攻擊軟體就可以有效的防止CC攻擊。推薦一些CC的防範手段：
• 02

  優化程式碼。
  儘可能使用快取來儲存重複的查詢內容，減少重複的資料查詢資源開銷。減少複雜框架的呼叫，減少不必要的資料請求和處理邏輯。程式執行中，及時釋放資源，比如及時關閉mysql連線，及時關閉memcache連線等，減少空連線消耗。
• 03

  限制手段。
  對一些負載較高的程式增加前置條件判斷，可行的判斷方法如下：
  必須具有網站簽發的session資訊才可以使用（可簡單阻止程式發起的集中請求）；必須具有正確的referer（可有效防止嵌入式程式碼的攻擊）；禁止一些使用者端型別的請求（比如一些典型的不良蜘蛛特徵）；同一session多少秒內只能執行一次。
• 04

  完善紀錄檔。
  儘可能完整保留存取紀錄檔。紀錄檔分析程式，能夠儘快判斷出異常存取，比如單一ip密集存取；比如特定url同比請求激增。
• 05

  使用第三方防護服務。
  筆者試了很多的CC防禦，最終還是選擇使用知道創宇抗D寶，就使用體驗來說，算是我使用很靠譜的CC防禦產品了，對偽造搜尋爬蟲攻擊、偽造瀏覽器攻擊、假人攻擊等效果很好。
• End

• 01
• 02
• 03

流量攻擊（DDoS攻擊）防禦策略

• 01

  選擇帶有DDOS硬體防火牆的機房。
  目前大部分的硬防機房對100G以內的DDOS流量攻擊都能做到有效防護。選擇硬防主要是針對DDOS流量攻擊這一塊的，如果你的企業網站一直遭受流量攻擊的困擾，那你可以考慮將你的網站伺服器放到DDOS防禦機房。但是有的企業網站流量攻擊超出了硬防的防護範圍了，那就得考慮下面第二種了。
• 02

  CDN和DDOS流量清洗防禦。
  目前大部分的CDN節點都有200G 的流量防護功能，在加上硬防的防護，可以說能應付目前絕大多數的DDOS流量攻擊了。同時，CDN技術不僅對企業網站流量攻擊有防護功能，而且還能對企業網站進行加速(前提要針對CDN節點位置)。解決部分地區開啟網站緩慢的問題。筆者使用的CDN是知道創宇加速樂，用來加速和隱藏源站IP，DDOS流量洗使用的抗D寶，用來專門防止DDOS攻擊的，目前使用效果還不錯；
• 03

  負載均衡技術。
  這一類主要針對DDOS攻擊中的CC攻擊進行防護，這種攻擊手法使web伺服器或其他型別的伺服器由於大量的網路傳輸而過載，一般這些網路流量是針對某一個頁面或一個連結而產生的。當然這種現象也會在存取量較大的網站上正常發生，但我們一定要把這些正常現象和分散式拒絕服務攻擊區分開來。在企業網站加了負載均衡方案後，不僅有對網站起到CC攻擊防護作用，也能將存取使用者進行均衡分配到各個web伺服器上，減少單個web伺服器負擔，加快網站存取速度。
• End