主流的服務器攻擊方式有多種手段，但是唯獨DDoS攻擊、CC攻擊以及ARP欺騙，這些攻擊方式被稱為三大攻擊手段，不僅可以致使服務器癱瘓，而且還很無解。

DDOS攻擊

DDoS攻擊全名叫做分布式拒絕服務(DDoS：Distributed Denial of Service)，攻擊者往往將多個計算機平臺聯(lián)合起來對同一個目標或者多個目標進行攻擊，攻擊所造成的后果也因此而嚴重程度不同。

DDoS攻擊為何如此無解呢?

因為DDoS攻擊常常會采用通過大量合法的請求的手段占用服務器網(wǎng)絡資源，由此而達到癱瘓網(wǎng)絡的目的。服務器在面對DDoS攻擊時很難合理的判定和區(qū)分請求，因此遭受攻擊時往往束手無策，只能等待攻擊者停止攻擊。

這是網(wǎng)絡中最普遍的攻擊類型,衍生了很多其他的攻擊類型,但是,其原理都是通過多臺肉雞發(fā)送大量合法的請求占用大量服務資源,以達到癱瘓網(wǎng)絡或者服務器死機的目的。其中SYN Flood洪水攻擊利用TCP協(xié)議的缺陷,發(fā)送大量偽造的TCP連接請求,即在第2次握手前斷開連接,使服務器端出于等待響應的狀態(tài),從而使得被攻擊方資源耗盡(CPU滿負荷或內(nèi)存不足)的攻擊方式。

TCP全連接攻擊則是通過大量的肉機不斷地和目標服務器建立大量的TCP連接,由于TCP連接數(shù)是有限的,很容易使服務器的內(nèi)存等資源被耗盡而被拖跨,從而使服務器造成拒絕服務。這種攻擊可以繞過一般防火墻,但是需要大量的肉機,并且由于肉機的IP是暴露的,也非常容易被追蹤。

刷Script腳本攻擊主要針對ASP、JSP、PHP、CGI等腳本程序。其原理是和服務器建立正常的TCP連接,同時不斷向服務器提交查詢列表等大量消耗數(shù)據(jù)庫資源的調用指令,從而拖垮服務器。

預防的主流辦法有三種

一是防火墻,也有網(wǎng)關防火墻和路由型防火墻之分。可以抵御大部分的DDOS攻擊。

再就是CDN加速,把這些攻擊分散到鏡像服務器上,從而使這些攻擊無法對服務器產(chǎn)生過多的影響。

最后就是流量清洗,部署專業(yè)的設備和方案,對數(shù)據(jù)流量實時監(jiān)控,清洗掉異常的流量。

CC攻擊

CC攻擊相比DDoS攻擊也并不遜色。本質上來看，二者屬于同一類攻擊，均是要借助代理服務器生成指向受害主機的合法請求。但不同的是，DDoS攻擊通常針對平臺以及網(wǎng)站發(fā)送大量數(shù)據(jù)包造成目標癱瘓，而CC攻擊則更傾向于攻擊頁面。

那么是否CC攻擊要比DDoS攻擊影響小呢?

并非這樣，CC攻擊IP及流量，隱藏性都非常強，這種攻擊手段是很多論壇用戶常見的一種，是目前十分主流的一種服務器攻擊方式。

攻擊者控制肉機不停地發(fā)大量數(shù)據(jù)包給目標服務器,從而造成服務器資源耗盡或網(wǎng)絡擁堵。CC可以模擬多個用戶不停地進行訪問那些需要大量數(shù)據(jù)操作的頁面(數(shù)據(jù)查詢,論壇),造成服務器資源的浪費,由于這些IP都是真實的,數(shù)據(jù)包也正常,請求都是有效的請求,服務器無法拒絕,從而讓CPU長時間處于滿載的專題。永遠都有處理不完的請求排隊,直到正常的訪問被中止。

預防CC攻擊的辦法有:

把網(wǎng)站盡量做成靜態(tài)頁面、限制連接的數(shù)量、修改超時時間、以及分析可疑IP。

ARP欺騙

ARP(Address Resolution Protocol)欺騙通俗來講便是將IP地址轉化成物理地址的協(xié)議。其一般會有兩種出現(xiàn)方式，一種為對路由器ARP表的欺騙;另一種是對內(nèi)網(wǎng)PC的網(wǎng)關欺騙。

這兩種欺騙都會引起十分嚴重的后果，對路由器的欺騙可能會導致相關網(wǎng)關數(shù)據(jù)被截獲，黑客制造路由器錯誤的內(nèi)網(wǎng)Mac地址，使得真實信息無法保存于路由器之中。而對PC的網(wǎng)關欺騙則是通過偽造網(wǎng)關，欺騙PC向假的網(wǎng)關發(fā)送數(shù)據(jù)。

這類攻擊則主要是以竊取用戶賬戶數(shù)據(jù)資料為目的,通過偽造IP地址和MAC物理地址實現(xiàn)欺騙,也能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞。主要發(fā)生在區(qū)域網(wǎng)內(nèi),攻擊者通過發(fā)布錯誤的ARP廣播包,阻斷正常的網(wǎng)絡通信,而且還將自己的電腦偽裝成他人的電腦,原本是要發(fā)往他人的數(shù)據(jù),被發(fā)到了入侵者的電腦上,從而達到竊取用戶賬戶數(shù)據(jù)資料的目的。

預防ARP欺騙的方法有

安裝專業(yè)的殺毒軟件、綁定IP和MAC地址。

不能防御但能減輕

三大攻擊無解，但是我們卻看到了這些攻擊手段并沒有讓我們的互聯(lián)網(wǎng)時代癱瘓，也沒有泛濫成災。這是因為這些攻擊手段雖然無法防御，卻可以通過有效的手段來減輕攻擊造成的損害，降低被攻擊的概率。

幾種防御殺手方法

DDoS攻擊由于其普遍性和臭名昭著，幾乎目前所有的計算機都已經(jīng)對其有所防范。防火墻就是防范DDoS攻擊的一大利器。網(wǎng)關防火墻和路由防火墻應對不同類型的DDoS攻擊均可起到一定的作用。

而次外，采用CDN加速，把這些攻擊分散到鏡像服務器上，降低對服務器影響也是一種不錯的應對方法。

而如果企業(yè)飽受DDoS攻擊困擾，那就只能采用最有效也是最貴的流量清洗了。部署專業(yè)的設備和方案，對數(shù)據(jù)流量實時監(jiān)控，清洗掉異常的流量。同時，增加帶寬，企業(yè)核心業(yè)務云化也是一種應對手段。

而CC攻擊由于更針對網(wǎng)頁，取消域名綁定是一種不錯的方式。但是這種方法治標不治本，很可能引發(fā)CC攻擊對新域名的新一輪轟炸。

再者，采用靜態(tài)頁面可以增加攻擊時間，降低攻擊頻率，減緩問題。而禁用網(wǎng)站代理訪問雖然會給用戶造成一定困擾，可是也是防御DDoS和CC攻擊都很可靠的方式。限制連接數(shù)量，修改最大超時時間等，均可以對分布式攻擊的癥狀有所緩解。

但是，CC攻擊是技術性比較強的一種攻擊，一般的防御手段雖然可以應付�？墒侨绻�其采用大流量攻擊，那么除了增加帶寬等砸錢的辦法，企業(yè)也基本上束手無策。因此，采用云化的方式也正在被開發(fā)用以對付分布式攻擊。

而ARP欺騙需要ARP病毒的幫助，因此，一款良好的殺毒軟件可以讓用戶事半功倍。但是如果僅僅是殺毒還是治標不治本，尋找正確的方式找到ARP病毒源，進行相應的查殺才能有所改觀。

再者，由于ARP攻擊手段主要采用了偽裝IP地址和MAC地址的方式對用戶進行錯誤的誘導，因此，綁定IP及MAC地址也可以有良好的效果。

結束語

三大攻擊手段雖然無法徹底根除，但是其并不足以讓我們對互聯(lián)網(wǎng)安全失去信心。采用正確的防范手段，針對性的進行防御，便可以成功降低其對用戶的危害。同時，由于云計算的崛起，當今互聯(lián)網(wǎng)企業(yè)云遷移也是解決此類問題的良方之一。而隨著云技術更深層次的發(fā)展，也相信這些頑固舊疾終有一天在云被處決。

租用廈門BGP高防物理機哪家好?

L5630X2 16核 32G 240G SSD 1個ip 30G防御 30M獨享 廈門BGP

E5-2690v2X2 40核 64G 500G SSD 1個ip 30G防御 30M獨享 廈門BGP

L5630X2 16核 32G 240G SSD 1個ip 100G防御 50M獨享 廈門BGP

E5-2690v2X2 40核 64G 500G SSD 1個ip 100G防御 50M獨享 廈門BGP

I9-9900K(水冷定制) 32G(定制) 512G SSD(調優(yōu)) 1個ip 100G防御 50M獨享 廈門BGP

I9-10900K(強勁水冷) 64G(定制) 1T SSD(調優(yōu)) 1個ip 100G防御 50M獨享 廈門BGP

E5-2698v4X2 80核(戰(zhàn)艦級) 64G 512G SSD(調優(yōu)) 1個ip 200G防御 50M獨享 廈門BGP

E5-2660X2 32核 32G 500G SSD 1個ip 300G防御 100M獨享 廈門BGP

縱橫數(shù)據(jù)專業(yè)提供高防服務器租用，包含美國高防服務器租用、韓國高防服務器租用、香港高防服務器租用、宿遷高防服務器租用、濟南高防服務器租用、東莞高防服務器租用、廈門高防服務器租用、泉州高防服務器租用、青島高防服務器租用、寧波高防服務器租用、揚州高防服務器租用、杭州高防服務器租用、江蘇高防服務器租用等，有需要的朋友可以咨詢我們，官網(wǎng)注冊地址：http://666323.cn/，QQ：3494196421，微信：19906048603。