服务器被攻击的不同表现类型以及应对策略

很多站长都碰到过服务器被攻击的情况，被攻击以后也大多都只能束手待毙。因为大家普遍对攻击不够了解，很多人把多大量的攻击和防御挂在嘴边，却根本不知道服务器是怎么被攻击的，更别说如何应对攻击了。

大部分网络攻击都是针对网络带宽，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达服务器；除了针对带宽，还有主要是针对服务器硬件的资源耗尽型攻击，即通过大量攻击包导致服务器的内存被耗尽或CPU内核被应用程序占用完而造成的无法提供服务。

常见攻击的主要表现以及应对策略：

第一种类型：CC类攻击

表现形式：网站出现service unavailable提示；CPU占用率很高；网络连接可观察到大量的ESTABLISHED的连接、单个IP高达几十条甚至上百条；外部无法打开网站，软重启后短期内恢复正常，几分钟后又无法访问。

应对策略：因为CC攻击是模仿真实用户请求，并且攻击的流量相对较小，单纯靠机房防火墙很难完全防御，一般需要配合防护软件设置IP策略，过滤异常IP以减轻服务器负担。

第 二 种类型：UDP类攻击

表现形式：观察网卡发现每秒接受大量的数据包；网络状态观察TCP信息正常。

应对策略：最简单有效的方法就是封掉UDP大包，再大的UDP攻击也无法影响你分毫，那些低成本号称无限防的高防服务器就是这么来的。缺点也是显而易见的，不仅防御了攻击，正常UDP流量也无法进入。租用带硬件防火墙的高防服务器可完美解决。

第 三 种类型：SYN类攻击

表现形式：CPU占用很高；服务器的网络连接可观察到大量的半连接状态，单个IP高达几十条甚至上百条。

应对策略：针对SYN攻击包的原理，可通过相关设置缓解：减少SYN-ACK数据包的重发次数、使用SYN Cookie技术、增加backlog队列（默认是1024）、限制SYN并发数。租用带硬件防火墙的高防服务器可完美防御此类攻击。

第四种类型：TCP全连接攻击

表现形式：CPU占用很高；网络连接可观察到大量的全连接状态，单个IP高达几十条甚至上百条。

应对策略：全连接攻击是为了绕过常规防火墙的检查而设计的，是现在最难防御的攻击之一，通过洪水般大量的正常TCP连接来耗尽服务器资源。全连接攻击需要大量肉鸡，成本巨大而且容易被追踪，只能选择带专业硬件防火墙和拥有大流量清洗能力的高防服务器硬抗攻击。