让您的服务器远离DDOS干扰
   随着互联网快速的发展和近期内微软频繁出现的重大安全漏洞事件发生，从国外到国内；从政府到企业；从运营商到个人服务器等等，频繁出现被DDOS攻击的新闻。一谈到互联网经营，大家马上就会想到怎样保护服务器的安全不受攻击。目前据初步估计近两年来被DDOS攻击的损失，全球多达30亿美金，光是中国就损失72亿元人民币，这是一个十分庞大的数字。

   从99年的印尼排华事件开始，在中国这片土地上，DOS攻击和DDOS攻击已经走进众人的视野，然而，真正了解DDOS攻击的人是少之又少，就更不用说去攻击别人了，随着信息技术的发展，互联网和电子商务的突飞猛进，被DDoS攻击的事件是越来越多，据中国互联网络信息中心(CNNIC)2008年1月26日发布的第21次《中国互联网络发展状况统计报告》显示，目前中国网站数量已达150万个，比去年同期增长了66万个，增长率达到78.4%。博客/个人空间等众多网络应用需求、域名数量增长的拉动及创建网站操作的简单化等因素作用在一起，共同使得网站数量猛增。

   最新截至到2008年10月，中国目前网站的数量已达191万个，个人的博客站点已达到3175万个。

   还有全国的正规网吧数量大约有12万个，非正规网吧就不计其数了。运营商和IDC机房全国也是很多。只要是放在互联网的服务器，对外提供服务的都有被攻击的可能。
网络被攻击事件是每时每分都在发生，据美国近日研究证明，每10秒就有一起网站被攻击、服务器被入侵、被盗连等等。

   怎样保证这些服务器的安全呢？冰盾科技专家认为，防护DDDoS攻击，要从以下做起:
   一、了解DDoS

   分布式阻断服务攻击，通常简称为DDoS，即英语“Distributed Denial of Service”的缩写。顾名思义，即是利用网络上已被攻陷的计算机作为“丧尸”，向某一特定的目标计算机发动密集式的“拒绝服务”要求，借以把目标计算机的网络资源及系统资源耗尽。一但目标计算机负荷过重而倒下，攻击者即可透过系统的漏洞而入侵目标计算机。这是更让网络安全管理员感到头痛。

   当前主要有三种流行的DDoS攻击：

   1、SYN/ACK Flood攻击： 

　　这种攻击方法是经典最有效的DDoS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

    2、TCP全连接攻击： 

　　这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DDOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序(如：IIS、Apache等Web服务器)能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。

    3、刷Script脚本攻击： 

　　这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MS SQL Server、My SQL Server、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址。
   二、如何防御DDoS攻击

   1、在应对常见的DDoS攻击时，路由器本身的配置信息非常重要，管理员可以通过以下几个方面，来防止不同类型的DDoS攻击。

   扩展访问列表是防止DDoS攻击的有效工具，其中Show IP access-list命令可以显示匹配数据包，数据包的类型反映了DDoS攻击的种类，由于DDoS攻击大多是利用了TCP协议的弱点，所以网络中如果出现大量建立TCP连接的请求，说明洪水攻击来了。此时管理员可以适时的改变访问列表的配置内容，从而达到阻止攻击源的目的。

   使用QoS也可以阻止DDoS攻击，但不同的变量设置要针对不同的DDoS攻击类型。比如网络遭受远程僵尸疯狂的Ping攻击，此时就需要利用QoS的WFQ特征，让整个外部网络的访问队列更规整，削弱疯狂Ping攻击的权数。如果遭受了洪水攻击却也启动WFQ特性，则效果不佳，这主要是由于数据包的独立性造成WFQ无法正确选择过滤，而总体的洪水流量不会因此而改变访问通道。

   同样，比疯狂Ping攻击更可怕的DDoS攻击类型——Smurf攻击来说，我们可以利用QoS的CAR特征来防御，通过限制ICMP数据包流量的速度，让其堵塞网络的目的无法达成。

   如果用户的路由器具备TCP拦截功能，也能抵制DDoS攻击。在对方发送数据流时可以很好的监控和拦截，如果数据包合法，允许实现正常通信，否则，路由器将显示超时限制，以防止自身的资源被耗尽，说到底，利用设备规则来合理的屏蔽持续的、高频度的数据冲击是防止DDoS攻击的根本。

   路由器作为企业内部核心的通信设备，其除了具备基本的网络分发工作外，还承担着安全保卫任务。现在越来越多的网络攻击首先选中核心路由，一旦拿下root对整个网络无疑是灭顶之灾。但同时，作为企业内部网络的第一道防护，防止各种DDoS攻击也责无旁贷。

   我们知道，由于提供Web服务以及TCP协议本身的特性，造成无论外界对服务端发送何种指令，都会得到一个反馈，即便是错误的反馈也不例外。比如我们经常在无法访问一个网站时，对方给出HTTP 400 - 错误请求信息，这一样需要做出反应，而DDoS攻击正是利用了该特性，让服务器接受大量指令而瘫痪，网络造成信息拥堵。所以，提前做好预防工作也很重要，如果真的出现了攻击，受攻击端就显得比较被动。

   做好预防工作的第一步就是及时跟进各种补丁，不要让攻击方通过漏洞方式进行DDoS攻击，需要管理员经常进行关键节点的扫描和监控，对新出现的漏洞进行及时修补。当然，对于骨干设备外需要加入防火墙，因为防火墙本身具备抗DDoS攻击能力。在业内，有些人选择“黑吃黑”，通过扩充足够的主机数量来吃掉对方的数据包，这种方法的确能暂时解决问题，缓解网络压力，但对于维护和操作成本来说未免得不偿失。

   另外，过滤不必要的端口和服务也很重要，开放需要提供服务的端口即可。面对僵尸网络带来的攻击，屏蔽无用的IP也是解决问题的一个方法，尤其是某个网段的固定的IP地址，比如10.0.0.0等，这样做不是为了防止内网用户，而是很多DDoS攻击都会伪造大量虚假的内部IP，这样可以减轻DDoS攻击带来的压力。

   但不可否认的是：目前安全界对于DDoS式攻击的防范还没有彻底的方法，只能靠日常维护扫描以及应对攻击时的导流减轻一部分网络设备的压力。即便是使用了硬件级别防火墙也收效甚微，以上只是提供了一些方法和建议，在企业内部有限的网络状态下，可以最大化减轻DDoS攻击带来的后果。

   2、如果发您的服务器正在遭受攻击时现，你要分析一下您是被什么攻击，使被DDoS了还是被CC攻击了。如果您要是被DDoS了，可以和您的托管机房联系，让他们看看怎样解决？如果您要是被CC攻击时，可能您的托管机房也解决不了，可以使用一些网上面的免费试用的DDoS防火墙软件来防护，也能解决燃眉之急。等攻击过后，在想办法解决攻击问题。

   3、利用一些商业解决方案来解决，起到未雨绸缪的作用，一般国内的企业都是被攻击了，有了损失采才去解决问题。在将来的网络互联网飞速发展的时代，一定要有安全隐患意识，不要等到损失大了，再去想办法来补救，这样为时已晚。目前DDoS攻击有那么几种，最常见的DDOS攻击SYN/ACK Flood、UDPFlood、ICMP Flood、TCP Flood等，还有一些TCP FLOOD的变种等。他们不外乎都是采用一些常规的攻击方式进行攻击，或者利用攻击的变种进行攻击，但是只要针对攻击进行详细的分析研究还是可以防护的。一般的DDoS攻击方式较好防护，比较难对付的就是TCP  flood， 国内一般加它CC攻击。CC 攻击是基于应用层攻击，主要是用来攻击页面的，就是利用大量代理来攻击，导致服务器拒绝服务。这是目前攻击最为常见的攻击模式，也是最难防范的攻击方式，CC就是充分利用代理这个特点，模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作，就是需要大量CPU时间的页面)。代理可以有效地隐藏自己的身份，也可以绕开所有的防火墙，因为基本上所有的防火墙都会检测并发的TCP/IP连接数目，超过一定数目一定频率就会被认为是Connection-Flood。一般硬件DDoS防火墙对这样的攻击也是无能为力，所以看到很多单位说我们硬件DDoS防火墙都有呀，还是防不了被攻击，导致网站或者服务器瘫痪。大家基本上都步了一个误区，就是认为网站或者服务器被攻击，购买硬件防火墙就行了，万事大吉了，实际上这样的想法是极端错误的，本身上防护DDoS攻击就是相对的，没有100%保证安全的，只有相对的安全。实际上比较好的解决方案应该是软件+硬件这样防护方式是比较理想的解决方案。目前已经逐渐的被一些企业所采取。如果要是按照实际的效益来讲，一些中小型的网站、网吧、游戏等，或者个人单台服务器站点，一般采用软件解决方案就行了。没有必要使用硬件给本企业带来更大资金的负担。实际上采用软件解决方案已经足够了，不管采用什么样的DDDOS解决方案的原则是：实用、够用、好用的原则就行了。千万不要盲目投资，追求绝对的安全，一定要符合本企业DDOS的防护标准，购买冰盾DDOS防火墙就可以。