如何做好网站服务器安全设置预防DDoS攻击

第一：什么是DDoS攻击?DDoS攻击方式有哪些?

1、什么是DDoS攻击?

   DDoS攻击，也就是分布式拒绝服务(Distributed Denial of Service，简称DDoS)，攻击者想办法让目标服务器的磁盘空间、内存、进程、网络带宽等资源被占满，从而导致正常用户无法访问，好比是一个正常的商店，有人恶意找大量人去排队但是不买东西，导致其他顾客也无法买到东西。

   攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，无法接收新的请求;二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

   攻击者是使用傀儡机(俗称“肉鸡”，受病毒木马操控的计算机或服务器)作为攻击平台，通过大量伪装合法的请求占用大量网络资源，以达到使指定目标的网络或服务瘫痪中断。

2、DDoS攻击方式有哪些？

从技术方面讲，攻击者常用的DDoS攻击方式主要有以下几种：

SYN/ACK Flood 攻击：这种攻击方法是经典最有效的DDoS方法，主要是通过向受害主机发送大量伪造源 IP 和源端口的 SYN 或 ACK 包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，可通杀各种系统的网络服务。这种攻击由于源头都是伪造的，所以追踪起来比较困难。但是，该攻击实施起来有一定难度，需要大量高带宽的僵尸主机。

TCP 全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的。一般情况下，常规防火墙大多对于正常的 TCP 连接是放过的，但是很多网络服务程序能接受的 TCP 连接数是有限的。TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的 TCP 连接，直到服务器的内存等资源被耗尽而被拖跨， 从而造成拒绝服务。种攻击的特点是可绕过一般防火墙的防护而达到攻击;缺点是需要找很多僵尸主机，且僵尸主机的IP 是暴露，易被追踪。

刷 Script 脚本攻击：这种攻击是跟服务器建立正常的TCP连接， 并不断的向脚本程序提交查询、 列表等大量耗费数据库资源的调用。一般来说， 提交一个指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是非常大。攻击者只需通过代理向目标服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务。这种攻击的特点是可以完全绕过普通的防火墙防护， 轻松找一些代理就可实施攻击;缺点是对付只有静态页面的网站效果会大打折扣，并且会暴露攻击者的IP地址。

第二：如何做好网站服务器安全设置预防DDoS攻击

1、选择有高防性的服务器或者虚拟主机

   带有高防性的服务器或者虚拟主机主要是依靠机房的硬件防火墙进行防御，因而在选择虚拟主机或者服务器租用时，最好是以有防御标准的为优先。可能会有人产生疑问，如果选择高防性的服务器或者空间，价格会不会贵一点呢，其实这个并不一定，因为服务器的防御其实有一定的标准，服务商在提供服务器时，可能会赠送多少G的防御标准。但是需要注意的是，服务商所提供的防御其实是以IP为标准，如果有条件的站长可以尽量选择具有独立IP的虚拟主机或者服务器。

2、如何我们使用的是独立服务器要保证服务器系统的安全

   首先要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。

3、隐藏服务器的真实IP地址

   服务器前端加CDN中转（免费的有百度云加速、360网站卫士、加速乐、安全宝等），如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。

4、做好日常的防御DDoS手段

   日常的防御手段只能靠站长的安全保护意识和习惯来进行了，例如关闭一些不经常使用的端口或者服务器应用，定期进行服务器进行全面性的检测，网站数据库的安全优化，网站流量数据的监控等，这些都都能或多或少起到检测和防范DDoS的作用，当然在网络中还有很多针对DDoS进行防御的脚码，如果对这个方面比较熟悉的站长，也可以从这个方面开始入手。

   总之，各位站长朋友做好服务器防DDoS攻击是必备功课，因为如今DDoS攻击正是网络中的主流攻击。并且DDoS攻击与防御在不断的攻防博弈中，攻击手段和防护手段都在不断的更新，所以各位站长朋友需要养成网络安全防范意识，提前建立完备的安全防御措施是十分必要的。