网站被攻击怎么办？
&&&&网站被攻击怎么办？网站被黑怎么办？
，这是很多站长都会遇到的一个问题，如果你没有遇到，那么可能有两种情况，一，你没有竞争对手，互联网上只有你一家是做这个的；二，你的网站做的不好，没有竞争力，影响不了他人。如果不是上述两种情况，只要你的网站做的好，那么就会遭到不同程度的攻击。
最近，南京交管局网站疑被黑市民这两天查不了曝光登录南京交管在线网站时，发现页面一切正常，在网页右侧的曝光信息查询一栏中，输入车牌号、行驶证号、验证码之后，发现车辆曝光信息一栏为空白，并且页面上也有一排乱码。那网站被攻击一般会有什么反应，我们又该如何去防控呢？
　　被攻击的网站一般是网站访问不稳定，慢、卡甚至打不开。出现这种情况后，就会影响网站在百度的排名，而且客户访问这样的网站，几秒钟打不开的话，就不会再看了。你不光失去了在百度的排名，而且也失去了好多的客户。
　　于是，就会有很多人攻击者，人人都有所专长，或许站长们对网站建设、网络推广比较熟悉，但对于网站被攻击方面，就不一定了解了，
一、先说ARP
针对CC攻击，一般的租用有防CC攻击软件的空间、VPS或服务器就可以了，或者租用章鱼主机，这种机器对CC攻击防御效果更好。
三、攻击。如果单用硬防机器的成本相当高，10G硬防也要上万元一个月。但是，如果用集群防护（章鱼主机）的话，那成本就要低的多了。
好了，关于网站被攻击了怎么办？各类攻击应对方法先说了这里，当然还不够全面，如果你有什么好的方法，或者需要帮助的朋友。欢迎加我QQ，希望与您共同探讨。
&&高防服务器，单机防护50GB，免费测试，联系QQ：
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。互联网创业公司如何防御 DDoS 攻击？
相信各位互联网创业者们都有机会遇到这种恶心的行为，来总结一下防御方法吧 ---------本题已收入知乎圆桌 >> ，欢迎关注讨论。
按投票排序
在果壳网任职期间经历过多次DDoS攻击。那种绝望的心情，还历历在目。问题不是你能做什么，而是机房决定了其实你什么都做不了。攻击者是控制一个足够大的分布式集群来发起攻击，各种杂七杂八的包，什么都会有。根本不在乎你开的什么服务，也没那耐心分析你有什么服务。比如哪怕你根本没开UDP的任何服务，但他就是发一大堆UDP的包，把你带宽占满。还有啥办法。十多年前的OS还没法应付大量TCP并发连接，于是那个年代有个SYN flood攻击，就是一大堆SYN包尝试握手。现代也有，效果大不如前，但是仍然在大流量下可以阻塞受害者的通信能力。更现实的问题在于，机房的总带宽有限。当你的服务器IP段受到攻击时，他会直接找上级接入商将发给你的包在主干网上都丢掉。此时虽然知道自己正在被DDoS攻击，但攻击包根本就没到机房，更别说服务器，于是只能是守着服务器，毫无流量，等待。上级接入商大多是垄断国企，根本没耐心跟你做任何深层次合作，直接丢包是最简单方便的方法。同时，即便此时攻击者停止了攻击，你也不知道。而想要上级接入商重新开启给你的包转发，动则就是个一天的流程。而一旦发现攻击还没完，就立刻又是丢包。那几年被攻击时，也火烧火燎的找办法。尝试将网站部署到云计算平台上，依靠对方提供的带宽冗余来顶。甚至可能只是拼短期带宽的费用。当时国内的云计算提供商试了好几家，最终都因为没有足够的带宽应对攻击而拒绝了我们。他们都是出于对果壳网的喜爱和免费帮忙的，能做到这一步也挺不容易了。有人提到攻击弱点，我感觉真正这样花费精力去分析的攻击者其实不多见。不过大多攻击确实会避开一些明显抗攻击能力不错的点，比如很多网站的首页会做静态化，所以攻击首页就不划算。图片同理，对CPU消耗太小了。几个常见的弱点：1、登录认证2、评论3、用户动态4、ajax api总之涉嫌写数据库，联表查询，缓存涧出的都是好目标。所以，回答就是：没有啥好办法，耐心等待吧。看了其他几个回答提供的方案，分别分析一下：1、拼带宽：或者说拼软妹币，这不是一点点钱能搞定的，果壳网彼时只买了不足100M带宽，所在早期机房总带宽也不足40G，攻击带宽都没见过低于10G的(机房的人后来告诉我的)。假设某便宜机房(肯定不在北上广深)，带宽价格为100元/M*月，每月按峰值计费。则要买10G带宽顶一下，需要的月费是100万，100万……2、流量清洗&封IP：如前述，要这么做的前提是攻击包至少要到你的机房。而机房自保的措施导致了数据包根本到不了机房，无解3、CDN服务：现代CDN提供商还没有完善的动态网页加速技术，所以结果就是，你充其量利用CDN保住静态化的主页可以访问，其他任何动态网站功能就只能呵呵了。
14 年年初，被迫沦为了一名站群站长，草根站长。在成本投入以及人力、技术均有限的情况下。近一年数个站遭遇无数次 syn 洪水攻击，网站瘫了不说，看着一个个网站流量从高处跌落谷底，然后一步走入没落，心碎之甚。近期也对此做了一些不全的总结。（ ddos 科普省略一万字）因为是创业+挣外快形式，租的机器都是淘宝每月百元左右（低于百元，加了 IP 后百元上下）的 VPS 、香港美国韩国均有，一般都是 双核 cpu、512M-1G 内存、2M 带宽、硬盘越大越好。因为做站群，一台机器会视硬盘而定挂 2-3 个站，每台服务器正常的情况下每个月能走掉 500-700G 的流量。网站采用 centos + kangle + php + 文本DB，从优化程序性能上、生成什么 HTML 静态的技术讨论就免了，因为一旦机器被攻击，你性能做得再强，这样配置的机器基本上是秒死状态。关于洪水攻击的特征收集是比较重要的，HTTP 头，UserAgent，host 都是一些非常重要的信息。当被攻击时，第一反映就是去服务器管理面版里重启，然后利用机器重启存活那一瞬间，ssh 登录，粘贴！！！：tcpdump -XvvennSs 0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854
找到 http 请求， 记下来 UA、Host、URL。（于是机器接着挂 T T）以下是我如何防御洪水攻击的几个方法：1、借用第三方力量+以其人之D还治其人之机在中国，你只要被攻击，最大的烦恼其实不是网站不能访问，而是提供服务的 IDC 动不动就要关你的 VPS。所以，一般得知被攻击，取到 Host 主机名以后，我会第一时间去 DNS 里去对对应的域名操作。幸运的是，（暂时）遇到的攻击者一般都只会攻击你的一个域名。例如：他攻击你的 ，而你的
是可以正常访问的。关于操作域名，我有几个手段：
a、呵呵，第一个手段当然是利用 DNS 转发的功能，把
转发到 ，把流量都给 DNS 服务商（捂脸）
转发一段时间后，收到 DNSPOD 域名停止解析的邮件。 b、第一次看到停止解析了真的会有心碎的感觉耶，但也无济于事，这个时候，我会这样回击，虽然更多的只是个心里安慰。。。。。2、最实用的杀手锏：网段封杀最常见有效的防御办法，我想应该就是杀 IP 了吧，因为网站访问量也不是特别高，所以我会在服务器上做 crontab ，用 iptables 每分钟取 IP 的 B段、 C 段 的连接数，超过一定数量就直接 DROP。一旦有新 IP 被 DROP 就会邮件我自己，方便得知以后后续操作。3、既然 TCP 已经握手了，那么只能从应用层封杀了因为攻击者的 IP 段巨广、无法 DROP 的 IP 还是会进到应用层的，整个网站都是 PHP 的，绝不能让这些请求进入 PHP 运行的环节。于是，我们需要从之前拿到的 UA 、 HOST 、 URL 入手，去封杀了！！！kangle 是一款国产的 webserver，据说是跑静态文件比 nginx 要强。我也没具体测过 kangle 的性能，但是光有 web 管理面版 + 支持 .htaccess，改了配置根本就不需要人工 reload ，在易用层面是要比 nginx 上了一个档次。（我真不是五毛！！！只是最早用于生产环境的一批用户，用了很多年了，生产环境下 windows 下跑 PHP 真心推荐！！！）---- 咳咳，回到题主上来。kangle 的 web 管理面版里有一个非常实用的功能叫做：请求控制 + 回写数据。知道 host 和 UA 以后，设置请求控制：杀掉所有 UA 的访问，同时关掉连接，回写数据：以前从来没有接触过这些玩意，封禁的手段都是自己这一年一步一步积累下来的。总结的不是很到位，不过还是希望能给大家一些启发。还有，最近 D 得非常狠的那位大哥，我这几个域名都被百度 K 了，你还不放过我。。。（我服还不行么 =。=）
1) 一看到业余的就忍不住了2）不要再被国内的2流厂商忽悠了，渣渣们。3）DDOS不是百度百科上面说的那几种，基于协议和流量的那些DDOS攻击早就不是问题，应对方案也很成熟。4）DDOS攻击2大关键：一，分布式；二，针对服务。第一个，无解，道高一尺魔高一丈。第二个，服务！服务！服务！念三次，知道DDOS的目标是什么吗？是所有服务吗？不是，是你的system内的设计不好的服务，是要合理将服务单元划分，服务和服务之间设计时就要将耦合度降到最低，牵一发而动全身的system，怎么去做defence。对于任何DDOS攻击你需要的不是防御方案，不是某一个设备，是一个Team，能够快速reaction，能够做system analysis，深度理解你们产品architecture。出了问题，能第一时间对脆弱服务提出解决方案。出了问题，能第一时间攻击源有定位。一个企业/政府单位/事业机构被DDOS，是技术问题？图样图森破。果断报警吧，小伙子。--------------------------------------------------------------------------总结一次：1）DDOS发生前可能永远都无法预知，因此，应急方案一定要有。2）DDOS发生后可能短时间无法完全防御，因此要有保证最小服务的生存的意思。3）DDOS攻击源可能很难定位，甚至无计可施，但是最接近你的一级的入口流量，你完全可以控制。首先求自己，然后求别人。4）商场似战场，但是不是战场，在灾难最重要的是对你用户负起责任。
仔细看了所有的回答，我想真正的互联网创业公司还是没有找到想要的答案。DDoS攻击按流量大小可以分两种，一种是小流量攻击，又可以分“小而快”，“小而慢”两种。小而快的DDoS攻击在业界称之为脉冲攻击，打完就跑，一点都不耽误。小而慢的DDoS主要针对业务逻辑不完善或协议漏洞发起的，又轻又快又温柔。对于小流量攻击，在服务器带宽范围内（重要前提1），如果公司内有人知道怎么进行技术对抗（重要前提2），还可以试着自行解决，解决办法一般是：1、充分利用服务器的功能、比如开启服务器的syn cookie防护小流量 2、使用交换机/路由器ACL，过滤掉服务器不需要的流量，例如针对WEB服务器的UDP/ICMP流量；3、使用主机防火墙丢弃一些恶意IP，如linux的iptables，配合脚本进行日志分析实现简单CC防护或是连接耗尽防护4、针对可能被用户刷的一些CGI或是WEB页面，加上频繁限制和验证码；而对于大流量攻击：朋友，除非你的创业方向本身是从事DDoS服务相关，否则强烈不建议创业公司自行解决大流量DDoS攻击问题，强！烈！不！建！议！！！为什么？DDos全称叫Distributed
Denial of Serive，即分布式拒绝服务攻击。通俗点讲就是，找一帮打手（带宽或计算资源）把你干趴下。十年前，最大的DDoS攻击流量峰值不超过8Gbps，而十年后，根据UCloud在2016年3月发布的的数据，100Gbps的攻击流量已经非常常见了，最大的攻击流量已经是8Gbps的50倍开外了！DDoS防护说白了就是资源与技术的对抗。如果要依靠自己的力量做好大流量DDOS防护，你需要1）大带宽，数百G的大带宽2）专业防DDoS设备 容量达到数百G3）专业的DDoS技术团队大部分创业公司，甚至是中型公司根！本！不！具！备！这！样！的！能！力！对于创业公司来说，靠谱的解决方法是选择一个靠谱的云服务商。个人体验过阿里云和UCloud，阿里云不用说了，有丰富的攻防经验，号称防御过国内最大的DDoS攻击。但是使用体验实在是太坑了，工单系统简直让人崩溃，已弃用。现在我们用的是，UCloud的高性能DDoS防护系统据说秒级防护、整体防护能力接近T级。目前用下来确实很稳定，非常省心，请继续保持 但是，不是说你上了云既可以高枕无忧了，什！么！时！候！都！不！能！掉！以！轻！心！什！么！时！候！都！不！能！掉！以！轻！心！什！么！时！候！都！不！能！掉！以！轻！心！重要的事情说三遍。两个建议：1. 一定要设置强密码，并定期更换；2. 至少做到每周检查SSH日志，了解是否有人在暴力破解自己的云主机。祝业务顺利，以上。
DDOS的防御对于运营商来说，一般都是采用牺牲设备性能的方式来防御，在出口路由上通过对路由表进行源ip地址验证，可以从根本上解决伪造源ip的DDOS攻击，遏制DDOS攻击的蔓延。对于企业来说，防御DDOS应该做到以下几点：1.主机与系统层面上：
关闭不必要的服务和端口；
限制同一时间内打开的syn半连接数目；
缩短syn半连接超时时间；
系统设置防火墙iptables，ipsec等策略；
不要在服务器上安装破解类程序，所有软件必须来源于官网；
及时安装官方系统更新的安全补丁。2.程序层面：
安全的架构设计；
安全的编码；
安全测试；
安装服务器相应的防护软件，比如安全狗、云锁、360网站卫士之类的。3.网络设备层面上（路由和防火墙）：
禁止对主机非开放服务的访问；
限制同时间内打开的syn最大连接数；
限定特定ip地址的访问，过滤未使用的保留ip地址段；
启用防火墙防DDOS属性或者购买DDOS硬防设备；
严格限制对外开放服务器的对外访问；
CEF和UnicastReverse_path设置，减少伪造ip攻击的危害；注：任何策略都是以牺牲性能为代价的！4.非技术因素上的防护：
培养安全意识，警惕社会工程学的攻击；
建立安全责任制度。
初创公司放在云上是最好的选择，同时，并没有其他防御ddos的选择！！！
方法如下，自行选择:1 砸带宽，超过D的就好了；2 封ip，宁可错杀一千，不放过一个；3 搞定实施D你的组织（一般不是竞争对手），让他停止D；4 把服务器搞到让组织D你的人的（比如竞争对手）同一个机房。上面方法，4的最奏效 @:@---更新----时间可以撕破任何装X，遇到CC之类的攻击，基本无解。
坑爹的备案制度束缚了守法公民的应对措施。选用CDN?备案信息早就公开了网站的真实IP。更换机房？需重新备案，等你重新备案好，黄花菜都凉了。迁移到境外？无法备案，你的网站可能被和谐。多花钱租好机房或忍着。
砸钱，你砸钱换云主机买带宽就好。如果对方没你有钱，就防住了。如果对方比你有钱，他为了打你会加大流量，你可以耗它的钱，他烧几个月就没钱了。像最高票答案说的100g每秒，你遇上这么大流量的概率非常小，就算能遇上，对方也是每月烧几千几万块钱来打你，他能烧多长时间？你急？没用，还不如直接跨省砍他比较痛快。
已有帐号？
无法登录？
社交帐号登录查看: 4391|回复: 8
内网DDOS攻击如何解决？
签到天数: 3 天[LV.2]偶尔看看I
维盟925的路由器，DDOS日志总是提示有攻击，不严重时没有影响，超过1000个数据包就掉线了，请问我该怎么办？显示IP的机器也杀不出毒来，头痛啊。。。
本帖子中包含更多资源
才可以下载或查看，没有帐号？
签到天数: 3 天[LV.2]偶尔看看I
有没有人帮忙想想办法？？
签到天数: 958 天[LV.10]以坛为家III
果断重启，哈哈。装个深蓝维护通道，设置下网络安全。发现攻击自动重启机器
签到天数: 3 天[LV.2]偶尔看看I
wlq1688 发表于
果断重启，哈哈。装个深蓝维护通道，设置下网络安全。发现攻击自动重启机器
重启以后还是有啊~重装了系统还是不管用，我现在不理解是内部攻击，还是外部攻击啦
签到天数: 147 天[LV.7]常住居民III
内部ARP病毒吧
签到天数: 3 天[LV.2]偶尔看看I
whf191 发表于
内部ARP病毒吧
可是我都绑定了啊
或所有机子都装个金山ARP防火墙&
系统病毒没搞干净。路由器ARP死绑，不在学习。&
签到天数: 1630 天[LV.Master]伴坛终老
应该是内部攻击 安装个 内网安全卫士吧
签到天数: 147 天[LV.7]常住居民III
intelx 发表于
可是我都绑定了啊
系统病毒没搞干净。路由器ARP死绑，不在学习。
签到天数: 147 天[LV.7]常住居民III
intelx 发表于
可是我都绑定了啊
或所有机子都装个金山ARP防火墙
网盟推荐 /1
天下网盟自2012年5月正式上线以来，一直以打造优质服务与信誉为宗旨，这几年一直得到网盟会员的大力支持。截至，网盟增值平台注册用户突破30000大关。
Powered by