服务器被DDOS攻击怎么办？

主机上防范 2.1.1使用网络和主机扫描工具检测脆弱性 DDoS能够成功的关键是在Internet上寻找到大量安全防御措施薄弱的计算机。因此，经常使用安全检测工具检测网络和主机，找出目前存在的安全隐患并给出相应的应对措施，可以减少甚至避免主机被黑客利用成为傀儡机的可能性。安全扫描工具能够检测并删除主机上被黑客安装的进行DDoS攻击的软件。安全扫描工具应该随着攻击方式的演变而升级。 2.1.2采用NIDS和嗅探器 当系统收到未知地址的可疑流量时，NIDS(Network Intrusion Detection Systems，网络入侵检测系统)会发出报警信号, 提醒系统管理员及时采取应对措施，如切断连接或反向跟踪等。NIDS的安全策略或规则应该是最新的，并包含当前最新攻击技术的特征描述。 嗅探器(sniffer)可用来在网络级识别网络攻击行为并成为NIDS原始检测信息的来源。例如，当黑客修改IP 包的数据部分，使其包含某些隐蔽信息，嗅探器就可以探测到这些信息并将此信息提供给有关人员进行分析， 成为采取阻断、分流恶意流量或追查黑客的依据。 2.1.3及时更新系统补丁 现有的操作系统都有很多漏洞，这很容易让黑客找到后门，所以及时下载和更新系统补丁也是抵御黑客很重要的一点。 2.2网络设备上防范 单机上防御主要是减少被作为傀儡机的可能，在路由器上采取防范措施才是抵御DDoS的关键，这里以Cisco路由器为例分析一下阻止攻击的方法： 2.2.1检查每一个经过路由器的数据包 在路由器的CEF（Cisco Express Forwarding）表里，某数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源IP地址为a.b.c.d的数据包，如果CEF路由表中没有为IP地址a.b.c.d提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。 2.2.2设置SYN数据包流量速率 许多DDoS攻击采用SYN洪水攻击的形式，所以有必要在路由器上限制SYN数据包流量速率。采用这种方法时必须在进行测量时确保网络的正常工作以避免出现较大误差。 rate-limit output access-group 153 45000000 100000 100000 conform-action transmit exceed-action drop rate-limit output access-group 152 1000000 100000 100000 conform-action transmit exceed-action drop access-list 152 permit tcp any host eq www access-list 153 permit tcp any host eq www established 2.2.3在边界路由器上部署策略 网络管理员可以在边界路由器上部署过滤策略： ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只接受源地址未被客户端网络过滤的通信。 ISP端边界路由器的访问控制列表： access-list 190 permit ip 客户端网络 客户端网络掩码 any access-list 190 deny ip any any [log] interface 内部网络接口 网络接口号 ip access-group 190 in 客户端边界路由器的访问控制列表： access-list 187 deny ip 客户端网络 客户端网络掩码 any access-list 187 permit ip any any access-list 188 permit ip 客户端网络 客户端网络掩码 any access-list 188 deny ip any any interface 外部网络接口 网络接口号 ip access-group 187 in ip access-group 188 out 2.2.4使用CAR限制ICMP数据包流量速率 CAR（Control Access Rate），可以用来限制包的流量速率，是实现QoS(Quality of Service，服务质量)一种工具。可以用它来限制ICMP包来防止DDoS。 rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply 2.2.5用ACL过滤RFC 1918中列出的所有地址 ACL（Acess Control List，访问控制列表），是路由器过滤特定目标地址、源地址、协议的包的工具，可以用它来过滤掉RFC 1918中列出的所有地址，即私有IP地址（10.0.0.0/8，172.16.0.0/12, 192.168.0.0/16）。 ip access-group 101 in access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 permit ip any any 2.2.6搜集证据 可以为路由器建立log server，建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为： tcpdump -i interface -s 1500 -w capture_file snoop -d interface -o capture_file -s 1500

采用物理防火墙

我认为楼上的说的都太啰嗦 或者不详细。 根据我个人的经验来说，首先应该把系统的漏洞补丁全部打上 然后装个防火墙 就OK了，o(∩_∩)o... 就这么简单，管他呢 我用的是卡巴斯基

针对目前各大传奇私服站长受到盛大或者某些卑鄙小人的无耻行为，我特地整理了防止DDOS的攻击资料！ 绝对可以防止针对传奇端口，或者WEB的大流量的DDOS承受大约40万个包的攻击量 设置保护80.7000.7100.7200等你的传奇端口的。 然后按下面整理的注册表修改或者添加下面的数值。 请注意，以下的安全设置均通过注册表进行修改，该设置的性能取决于服务器的配置，尤其是CPU的处理能力。如按照如下进行安全设置，采用双路至强2.4G的服务器配置，经过测试，可承受大约1万个包的攻击量。 接下来你就可以高枕无忧了。 一部份DDOS我们可以通过DOS命令netstat -an|more或者网络综合分析软件：sniff等查到相关攻击手法、如攻击某个主要端口、或者对方主要来自哪个端口、对方IP等。这样我们可以利用w2k自带的远程访问与路由或者IP策略等本身自带的工具解决掉这些攻击。做为无法利用这些查到相关数据的我们也可以尝试一下通过对服务器进行安全设置来防范DDOS攻击。 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] '关闭无效网关的检查。当服务器设置了多个网关，这样在网络不通畅的时候系统会尝试连接 '第二个网关，通过关闭它可以优化网络。 "EnableDeadGWDetect"=dword:00000000 '禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。 "EnableICMPRedirects"=dword:00000000 '不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。 '注意系统必须安装SP2以上 "NonameReleaseOnDemand"=dword:00000001 '发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态， '不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里设置时间为5分钟。 "KeepAliveTime"=dword:000493e0 '禁止进行最大包长度路径检测。该项值为1时，将自动检测出可以传输的数据包的大小， '可以用来提高传输效率，如出现故障或安全起见，设项值为0，表示使用固定MTU值576bytes。 "EnablePMTUDiscovery"=dword:00000000 '启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后 '安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 '设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。 "SynAttackProtect"=dword:00000002 '同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态 '的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。 "TcpMaxHalfOpen"=dword:00000064 '判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。 "TcpMaxHalfOpenRetried"=dword:00000050 '设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。 '项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。 '微软站点安全推荐为2。 "TcpMaxConnectResponseRetransmissions"=dword:00000001 '设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。 "TcpMaxDataRetransmissions"=dword:00000003 '设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。 "TCPMaxPortsExhausted"=dword:00000005 '禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的 '源路由包，微软站点安全推荐为2。 "DisableIPSourceRouting"=dword:0000002 '限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。 "TcpTimedWaitDelay"=dword:0000001e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] '增大NetBT的连接块增加幅度。缺省为3，范围1-20，数值越大在连接越多时提升性能。每个连接块消耗87个字节。 "BacklogIncrement"=dword:00000003 '最大NetBT的连接快的数目。范围1-40000，这里设置为1000，数值越大在连接越多时允许更多连接。 "MaxConnBackLog"=dword:000003e8 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters] '配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为1，表示允许动态Backlog。 "EnableDynamicBacklog"=dword:00000001 '配置最小动态Backlog。默认项值为0，表示动态Backlog分配的*连接的最小数目。当*连接数目 '低于此数目时，将自动的分配*连接。默认值为0，对于网络繁忙或者易遭受SYN攻击的系统，建议设置为20。 "MinimumDynamicBacklog"=dword:00000014 '最大动态Backlog。表示定义最大"准"连接的数目，主要看内存大小，理论每32M内存最大可以 '增加5000个，这里设为20000。 "MaximumDynamicBacklog"=dword:00002e20 '每次增加的*连接数据。默认项值为5，表示定义每次增加的*连接数目。对于网络繁忙或者易遭受SYN攻击 '的系统，建议设置为10。 "DynamicBacklogGrowthDelta"=dword:0000000a 以下部分需要根据实际情况手动修改 '------------------------------------------------------------------------------------------------- '[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] '启用网卡上的安全过滤 '"EnableSecurityFilters"=dword:00000001 ' '同时打开的TCP连接数，这里可以根据情况进行控制。 '"TcpNumConnections"= ' '该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上，增加该设置可以提高 SYN 攻击期间的响应性能。 '"TcpMaxSendFree"= ' '[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{自己的网卡接口}] '禁止路由发现功能。ICMP路由通告报文可以被用来增加路由表纪录，可以导致攻击，所以禁止路由发现。 "PerformRouterDiscovery "=dword:00000000

安装防DDSO攻击的 冰盾抗DDOS防火墙 这个东东恨贵的，只有正版的

ddos攻击至今还没有什么好的 防御办法