服務(wù)器被攻擊的不同表現(xiàn)類型以及應(yīng)對策略

很多站長都碰到過服務(wù)器被攻擊的情況，被攻擊以后也大多都只能束手待斃。因為大家普遍對攻擊不夠了解，很多人把多大量的攻擊和防御掛在嘴邊，卻根本不知道服務(wù)器是怎么被攻擊的，更別說如何應(yīng)對攻擊了。

大部分網(wǎng)絡(luò)攻擊都是針對網(wǎng)絡(luò)帶寬，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達服務(wù)器；除了針對帶寬，還有主要是針對服務(wù)器硬件的資源耗盡型攻擊，即通過大量攻擊包導(dǎo)致服務(wù)器的內(nèi)存被耗盡或CPU內(nèi)核被應(yīng)用程序占用完而造成的無法提供服務(wù)。

常見攻擊的主要表現(xiàn)以及應(yīng)對策略：

第一種類型：CC類攻擊

表現(xiàn)形式：網(wǎng)站出現(xiàn)service unavailable提示；CPU占用率很高；網(wǎng)絡(luò)連接可觀察到大量的ESTABLISHED的連接、單個IP高達幾十條甚至上百條；外部無法打開網(wǎng)站，軟重啟后短期內(nèi)恢復(fù)正常，幾分鐘后又無法訪問。

應(yīng)對策略：因為CC攻擊是模仿真實用戶請求，并且攻擊的流量相對較小，單純靠機房防火墻很難完全防御，一般需要配合防護軟件設(shè)置IP策略，過濾異常IP以減輕服務(wù)器負擔(dān)。

第 二 種類型：UDP類攻擊 

表現(xiàn)形式：觀察網(wǎng)卡發(fā)現(xiàn)每秒接受大量的數(shù)據(jù)包；網(wǎng)絡(luò)狀態(tài)觀察TCP信息正常。 

應(yīng)對策略：最簡單有效的方法就是封掉UDP大包，再大的UDP攻擊也無法影響你分毫，那些低成本號稱無限防的高防服務(wù)器就是這么來的。缺點也是顯而易見的，不僅防御了攻擊，正常UDP流量也無法進入。租用帶硬件防火墻的高防服務(wù)器可完美解決。

第 三 種類型：SYN類攻擊 

表現(xiàn)形式：CPU占用很高；服務(wù)器的網(wǎng)絡(luò)連接可觀察到大量的半連接狀態(tài)，單個IP高達幾十條甚至上百條。

應(yīng)對策略：針對SYN攻擊包的原理，可通過相關(guān)設(shè)置緩解：減少SYN-ACK數(shù)據(jù)包的重發(fā)次數(shù)、使用SYN Cookie技術(shù)、增加backlog隊列（默認是1024）、限制SYN并發(fā)數(shù)。租用帶硬件防火墻的高防服務(wù)器可完美防御此類攻擊。

第四種類型：TCP全連接攻擊

表現(xiàn)形式：CPU占用很高；網(wǎng)絡(luò)連接可觀察到大量的全連接狀態(tài)，單個IP高達幾十條甚至上百條。

應(yīng)對策略：全連接攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計的，是現(xiàn)在最難防御的攻擊之一，通過洪水般大量的正常TCP連接來耗盡服務(wù)器資源。全連接攻擊需要大量肉雞，成本巨大而且容易被追蹤，只能選擇帶專業(yè)硬件防火墻和擁有大流量清洗能力的高防服務(wù)器硬抗攻擊。