一個網(wǎng)站有利可圖了，就會人眼紅，眼紅了就會找人攻擊你，這也是很多暴利行業(yè)網(wǎng)站容易被惡意攻擊的原因，特別是游戲醫(yī)療類的行業(yè)，最容易受攻擊，今天主機吧來詳解下網(wǎng)絡攻擊的幾種類型以及解決防御辦法。

網(wǎng)絡攻擊一般分為3類，分別為ARP欺騙攻擊、CC攻擊、DDOS流量攻擊。

1、ARP欺騙攻擊

ARP（Address Resolution Protocol，地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的網(wǎng)絡層，負責將某個IP地址解析成對應的MAC地址。

ARP協(xié)議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。

ARP攻擊的局限性

ARP攻擊僅能在以太網(wǎng)（局域網(wǎng)如：機房、內(nèi)網(wǎng)、公司網(wǎng)絡等）進行。

無法對外網(wǎng)（互聯(lián)網(wǎng)、非本區(qū)域內(nèi)的局域網(wǎng)）進行攻擊。

2、CC攻擊

相對來說，這種攻擊的危害大一些。主機空間都有一個參數(shù) IIS 連接數(shù)，當被訪問網(wǎng)站超出IIS 連接數(shù)時，網(wǎng)站就會出現(xiàn)Service Unavailable 。攻擊者就是利用被控制的機器不斷地向被攻擊網(wǎng)站發(fā)送訪問請求，迫使IIS 連接數(shù)超出限制，當CPU 資源或者帶寬資源耗盡，那么網(wǎng)站也就被攻擊垮了。對于達到百兆的攻擊，防火墻就相當吃力，有時甚至造成防火墻的CPU資源耗盡造成防火墻死機。達到百兆以上，運營商一般都會在上層路由封這個被攻擊的IP。

CC攻擊對動態(tài)網(wǎng)站危害最大，往往幾臺機器就可以搞跨一個網(wǎng)站。

3、流量攻擊

就是DDOS攻擊，這種攻擊的危害是最大的。原理就是向目標服務器發(fā)送大量數(shù)據(jù)包，占用其帶寬。對于流量攻擊，單純地加防火墻沒用，必須要有足夠的帶寬和防火墻配合起來才能防御。

網(wǎng)站被被攻擊了，我們應該怎么解決呢?

首先查看網(wǎng)站的服務器

當我們發(fā)現(xiàn)網(wǎng)站被攻擊的時候不要過度驚慌失措，先查看一下網(wǎng)站服務器是不是被黑了，找出網(wǎng)站存在的黑鏈，然后做好網(wǎng)站的安全防御，具體操作分為三步

1、開啟IP禁PING，可以防止被掃描。

2、關閉不需要的端口。

3、打開網(wǎng)站的防火墻。

這些是只能防簡單的攻擊

解決辦法

ARP欺騙

網(wǎng)上現(xiàn)在有很多防御ARP欺騙的防護軟件（這里不一一列舉）

CC攻擊防御策略

(1).取消域名綁定

一般cc攻擊都是針對網(wǎng)站的域名進行攻擊，比如我們的網(wǎng)站域名是”zhujib.com”，那么攻擊者就在攻擊工具中設定攻擊對象為該域名然后實施攻擊。

對于這樣的攻擊我們的措施是在IIS上取消這個域名的綁定，讓CC攻擊失去目標。具體操作步驟是：打開”IIS管理器”定位到具體站點右鍵”屬性”打開該站點的屬性面板，點擊IP地址右側(cè)的”高級”按鈕，選擇該域名項進行編輯，將”主機頭值”刪除或者改為其它的值(域名)。

經(jīng)過模擬測試，取消域名綁定后Web服務器的CPU馬上恢復正常狀態(tài)，通過IP進行訪問連接一切正常。但是不足之處也很明顯，取消或者更改域名對于別人的訪問帶來了不變，另外，對于針對IP的CC攻擊它是無效的，就算更換域名攻擊者發(fā)現(xiàn)之后，他也會對新域名實施攻擊。

(2).域名欺騙解析

如果發(fā)現(xiàn)針對域名的CC攻擊，我們可以把被攻擊的域名解析到127.0.0.1這個地址上。我們知道127.0.0.1是本地回環(huán)IP是用來進行網(wǎng)絡測試的，如果把被攻擊的域名解析到這個IP上，就可以實現(xiàn)攻擊者自己攻擊自己的目的，這樣他再多的肉雞或者代理也會宕機，讓其自作自受。

另外，當我們的Web服務器遭受CC攻擊時把被攻擊的域名解析到國家有權威的政府網(wǎng)站或者是網(wǎng)警的網(wǎng)站，讓其網(wǎng)警來收拾他們。

現(xiàn)在一般的Web站點都是利用類似”新網(wǎng)”這樣的服務商提供的動態(tài)域名解析服務，大家可以登錄進去之后進行設置。

(3).更改Web端口

一般情況下Web服務器通過80端口對外提供服務，因此攻擊者實施攻擊就以默認的80端口進行攻擊，所以，我們可以修改Web端口達到防CC攻擊的目的。運行IIS管理器，定位到相應站點，打開站點”屬性”面板，在”網(wǎng)站標識”下有個TCP端口默認為80，我們修改為其他的端口就可以了。

(4).IIS屏蔽IP

我們通過命令或在查看日志發(fā)現(xiàn)了CC攻擊的源IP，就可以在IIS中設置屏蔽該IP對Web站點的訪問，從而達到防范IIS攻擊的目的。在相應站點的”屬性”面板中，點擊”目錄安全性”選項卡，點擊”IP地址和域名現(xiàn)在”下的”編輯”按鈕打開設置對話框。在此窗口中我們可以設置”授權訪問”也就是”白名單”，也可以設置”拒絕訪問”即”黑名單”。比如我們可以將攻擊者的IP添加到”拒絕訪問”列表中，就屏蔽了該IP對于Web的訪問。

(5)采用防護CDN

前4種方法都是對網(wǎng)站訪問有很大的傷害的，而采用CDN話是可以智能識別別并攔截CC攻擊，有效減少了誤殺率，讓網(wǎng)站可以達到正常訪問的效果，國內(nèi)以百度云加速CDN、加速樂抗D、阿里云WAF防火墻最為出名，其中百度云加速較為便宜的，而且效果好，推薦使用。

五、CC攻擊的防范手段

防止CC攻擊，不一定非要用高防服務器。比如，用防CC攻擊軟件就可以有效的防止CC攻擊。推薦一些CC的防范手段：

1、優(yōu)化代碼

盡可能使用緩存來存儲重復的查詢內(nèi)容，減少重復的數(shù)據(jù)查詢資源開銷。減少復雜框架的調(diào)用，減少不必要的數(shù)據(jù)請求和處理邏輯。程序執(zhí)行中，及時釋放資源，比如及時關閉mysql連接，及時關閉memcache連接等，減少空連接消耗。

2、限制手段

對一些負載較高的程序增加前置條件判斷，可行的判斷方法如下：

必須具有網(wǎng)站簽發(fā)的session信息才可以使用（可簡單阻止程序發(fā)起的集中請求）；必須具有正確的referer（可有效防止嵌入式代碼的攻擊）；禁止一些客戶端類型的請求（比如一些典型的不良蜘蛛特征）；同一session多少秒內(nèi)只能執(zhí)行一次。

3、完善日志

盡可能完整保留訪問日志。日志分析程序，能夠盡快判斷出異常訪問，比如單一ip密集訪問；比如特定url同比請求激增。

流量攻擊（DDoS攻擊）

一、選擇帶有DDOS硬件防火墻的機房。目前大部分的硬防機房對100G以內(nèi)的DDOS流量攻擊都能做到有效防護。選擇硬防主要是針對DDOS流量攻擊這一塊的，如果你的企業(yè)網(wǎng)站一直遭受流量攻擊的困擾，那你可以考慮將你的網(wǎng)站服務器放到DDOS防御機房。但是有的企業(yè)網(wǎng)站流量攻擊超出了硬防的防護范圍了，那就得考慮下面第二種了。

二、CDN流量清洗防御。目前大部分的CDN服務商都是普通CDN，并不帶防護功能，選購CDN時要注意查看，國內(nèi)中小站長目前使用最多的是百度云加速，百度云加速企業(yè)版最高可防30G DDOS流量攻擊，可以說能應付目前絕大多數(shù)的DDOS流量攻擊了。同時，CDN技術不僅對企業(yè)網(wǎng)站流量攻發(fā)布擊有防護功能，而且還能對企業(yè)網(wǎng)站進行加速(前提要針對CDN節(jié)點位置),解決部分地區(qū)打開網(wǎng)站緩慢的問題。

三、負載均衡技術。這一類主要針對DDOS攻擊中的CC攻擊進行防護，這種攻擊手法使web服務器或其他類型的服務器由于大量的網(wǎng)絡傳輸而過載，一般這些網(wǎng)絡流量是針對某一個頁面或一個鏈接而產(chǎn)生的。當然這種現(xiàn)象也會在訪問量較大的網(wǎng)站上正常發(fā)生，但我們一定要把這些正?，F(xiàn)象和分布式拒絕服務攻擊區(qū)分開來。在企業(yè)網(wǎng)站加了負載均衡方案后，不僅有對網(wǎng)站起到CC攻擊防護作用，也能將訪問用戶進行均衡分配到各個web服務器上，減少單個web服務器負擔，加快網(wǎng)站訪問速度。