百万站顺序：草根站长生存不易，DDOS攻击让个人站长举步维艰。百万富翁们要团结一致才能更好地生存下去。

DDOS的全名是“分布式拒绝服务”。许多DOS的攻击都是来自于一台组成DDOS攻击的服务器。DDOS始于1996年初，2002年在中国开始普及，2003年进入成熟期。

本论文的目的是帮助站长缓解DDOS的压力，明确防范。

=================,=========

DDoS攻击简介：

有许多方法可以攻击DDoS。DoS最基本的攻击方式是利用合理的服务请求占用太多服务资源，使得服务器不能处理合法用户的指令。

单发攻击通常是一对一的。在低CPU速度、小内存和网络带宽条件下，效果是明显的。伴随着计算机技术和网络技术的发展，计算机处理能力迅速提高，存储器大幅度增加。同时，千兆网络的出现，使DoS攻击变得更加困难——目标对恶意攻击包的“消化能力”大大增强。例如，您的攻击软件可以每秒发送3000个攻击包，但我的主机和网络带宽可以每秒处理10000个攻击包，因此这些攻击没有什么影响。

此时出现了分布式拒绝服务攻击(yoS)。只要了解了DoS攻击，原理就不难了。假如电脑和网络处理能力提高10倍，一个攻击机就不能完成攻击，那么一个一个攻击机同时攻击10个攻击机怎么办？要一百个？它的作用就是使用更多的傀儡机来发动比以前更大规模的攻击。

高速度、大连接的网络在给人们带来方便的同时，也为DDoS攻击的发生创造了极为有利的条件。低速率网络时代，黑客攻占木马攻击时，总是优先选择接近目标网络的机器，因为通过路由器跳数少，效果好。当前的通信骨干节点均为G级连接，大城市间的连接可达2.5G，这样就可以从更远的地方或其他城市发起攻击，使攻击者的傀儡机位置可以分布得更广，选择也更灵活。

DDoS攻击原则：

网络过载还会干扰网络通讯，造成网络瘫痪。将大量请求提交到服务器，从而使服务器过载。禁止用户访问服务器将使服务无法与特定系统或个人进行通信。

DDOS攻击的防御措施(流攻击)：

实际上站长最头疼的事情是DDOS(拒绝服务的分布式攻击)。浏览网页是不可能的，但当攻击者攻击DDOS时，许多站长会说：“让他玩吧，玩完就不会攻击了。”这种想法是对的，但却是致命的。无所作为是最大的禁忌。

但是，这一数字对于真正的system攻击来说是巨大的。过程如下：

一、使用工具：喷射系统排气。自动化密封的知识产权。

2.将域名解析为127.0.0.1，允许攻击者自我攻击[以网站不能访问为代价]。

nginx或IISApache关闭网站，攻击后打开。

4.更换高度安全的服务器(头版采用静态页面提高处理器速度)。

让他去玩吧。完成任务后，他不再进攻。

有条件的朋友可以考虑使用cdn加速。

了解DDOS防护。

加工工艺是一项系统工程。单纯依赖某一系统或产品来阻止System是不切实际的。诚然，现在不可能完全消灭这种病毒，但通过适当的措施可以抵抗90%的这种病毒攻击。考虑到攻击和防御的代价，通过适当的措施加强抵抗一次攻击的能力意味着增加一次攻击一次的代价，那么大多数攻一次并不能继续下去，这等于成功抵抗一次一次。

反恐的手段：

一、采用高性能网路装置。

第一，保证网络设备不成为瓶颈，所以在选择网卡、交换机、防火墙等硬件设备时，尽量选择口碑好、口碑好的产品。更好的办法是与网络供应商有特殊的关系或协议。在大规模攻击发生时，要求它们对网络连接进行流量限制，以防止某些类型的yOS攻击是非常有效的。

二是尽量避免使用网址转换。

不管是在终端还是在硬件安全墙设备上，都应尽量避免使用网络地址转换NAT，因为采用该技术会大大降低网络通信能力。理由其实很简单，因为NAT需要来回转换地址，在转换过程中需要计算网络包的校验和，这会浪费很多CPU时间，但有时NAT是不能使用的，所以没有好的方法。

3.网络带宽保证充足。

网宽直接决定了抗干扰能力。无论采用何种方法，如果带宽仅有10M，就很难抵抗当前SYNFlood攻击。现在要选择的共享带宽至少有100M，最好的挂在1000m主干上，但要注意，如果主机的网卡是1000M，并不表示其网络带宽有多大。若与100M交换机相连，其实际带宽不会超过100M，若与100M的带宽相连，并不表示100m的带宽就可以使用，因为网络服务提供商很可能将交换机的实际带宽限制在10M，这一点必须明确。

4.主机服务器硬件的升级。

请在确保网络带宽的前提下，尽可能提高硬件配置。要有效地抵抗10万个SYN攻击包，服务器配置至少应为42.4G/DDR512M/SCSI-HD，这一点在CPU和内存上都至关重要。假如有志强双CPU，就使用它。存储器必须选用DDR高速存储器，硬盘尽量选用SCSI。别贪小便宜，否则要付出很高的代价。那网卡必须是3COM或Intel这样的著名品牌。如为Realtek，则在其PC上使用。

5.将网站设置为静态网页。

许多事实证明，让网站尽可能地保持静态，不仅能极大地提高抗攻击能力，也会给黑客们带来许多麻烦。HTML的溢出至少到目前为止尚未出现。看一看！新浪、搜狐、网易等多家门户网站为静态网页。在没有动态脚本调用的情况下，将其放到另一台单独的主机上，可以避免受到攻击而给主服务器带来的麻烦。当然，不能正确地调用数据库的一些脚本。此外，最好在需要调用数据库的脚本中拒绝代理访问，因为经验表明，80%的站点可以通过代理进行访问。