ddos攻击防护思路？

1、采用高性能的网络设备
首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要
尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好
了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻
击是非常有效的。

2、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此
技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过
程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用
NAT，那就没有好办法了。

3、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都
很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在
1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽
就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M
的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为
10M，这点一定要搞清楚。

4、升级主机服务器硬件
在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，
服务器的配置至少应该为：P42.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，
若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，
别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用
3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

5、把网站做成静态页面
大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入
侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧！新浪、搜狐、网易
等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机
去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此
外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网
站的80%属于恶意行为。

6、增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是
默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能
抵御数百个，具体怎么开启，自己去看微软的文章吧！《强化TCP/IP堆栈安全》。
也许有的人会问，那我用的是Linux和FreeBSD怎么办？很简单，按照这篇文章去做吧！《SYN
Cookies》。

7、安装专业抗DDOS防火墙

8、其他防御措施
以上几条对抗DDOS建议，适合绝大多数拥有自己主机的用户，但假如采取以上措施后仍然
不能解决DDOS问题，就有些麻烦了，可能需要更多投资，增加服务器数量并采用DNS轮
巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDOS攻击能力成倍提高，
只要投资足够深入。

怎样防止网络黑客攻击呢？

一般网站建设之后的话，没有流量及PR值一般比较安全，一般网站权重大于等于2就会引来很多攻击与鸡翅，一旦可能出现的这几种情况居多，网站被挂木马，网站被黑，网站被攻击这几种情况。

防挂马方法：

1、建议用户通过ftp来上传、维护网页，不经常使用尽量关闭尽量ftp端口，不安装asp的上传程序。

2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

网站防攻击方法：

1、确保服务器的系统文件是最新的版本，并及时更新系统补丁。

2、关闭不必要的服务。

3、限制同时打开的SYN半连接数目。

4、缩短SYN半连接的time out 时间。

5、正确设置防火墙 禁止对主机的非开放服务的访问 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 运行端口映射程序祸端口扫描程序，要认真检查特权端口和非特权端口。

6、认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更，那这台机器就可 能遭到了攻击。

7、限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会，主机的信息暴露给黑客，无疑是给了对方入侵的机会。

属于商务网站的站友且没有大量精力保障与维护网站安全的，尽量通过接入CDN、高防IP、防火墙等进行网站安全维护，本人没有多余的钱来开通CDN、高防IP及阿里云的云骑士等产品，所以采用宝塔商业授权版的防火墙。对于低级攻击一般是可以防护德住的。

@卢松松博客

apache防恶意刷新网站和DDOS攻击的技巧是什么？

Apache是Web服务器软件，用来运行网站，让网站能正常对外访问的，Apache本身并不具备防御服务。r 如果你想怎么防暴力破解和DDOS攻击，你可以使用以下3种方法：r 1、使用CDN加速，来隐藏你的服务器真实IP。推荐：加速乐；r r 2、购买高防IP服务器，如果你没有购买，那么请看第3条；如果你购买了，也请看第3条：r 3、接入第三方防护服务，可以有效果防DDOS攻击和暴力破解，推荐：抗D宝、阿里云盾