afd區塊鏈

⑴ 伺服器被DDOS攻擊怎麼辦

主機上防範
2.1.1使用網路和主機掃描工具檢測脆弱性
DDoS能夠成功的關鍵是在Internet上尋找到大量安全防禦措施薄弱的計算機。因此，經常使用安全檢測工具檢測網路和主機，找出目前存在的安全隱患並給出相應的應對措施，可以減少甚至避免主機被黑客利用成為傀儡機的可能性。安全掃描工具能夠檢測並刪除主機上被黑客安裝的進行DDoS攻擊的軟體。安全掃描工具應該隨著攻擊方式的演變而升級。
2.1.2採用NIDS和嗅探器
當系統收到未知地址的可疑流量時，NIDS(Network Intrusion Detection Systems，網路入侵檢測系統)會發出報警信號, 提醒系統管理員及時採取應對措施，如切斷連接或反向跟蹤等。NIDS的安全策略或規則應該是最新的，並包含當前最新攻擊技術的特徵描述。
嗅探器(sniffer)可用來在網路級識別網路攻擊行為並成為NIDS原始檢測信息的來源。例如，當黑客修改IP 包的數據部分，使其包含某些隱蔽信息，嗅探器就可以探測到這些信息並將此信息提供給有關人員進行分析， 成為採取阻斷、分流惡意流量或追查黑客的依據。
2.1.3及時更新系統補丁
現有的操作系統都有很多漏洞，這很容易讓黑客找到後門，所以及時下載和更新系統補丁也是抵禦黑客很重要的一點。

2.2網路設備上防範
單機上防禦主要是減少被作為傀儡機的可能，在路由器上採取防範措施才是抵禦DDoS的關鍵，這里以Cisco路由器為例分析一下阻止攻擊的方法：
2.2.1檢查每一個經過路由器的數據包
在路由器的CEF（Cisco Express Forwarding）表裡，某數據包所到達網路介面的所有路由項中，如果沒有該數據包源IP地址的路由，路由器將丟棄該數據包。例如，路由器接收到一個源IP地址為a.b.c.d的數據包，如果CEF路由表中沒有為IP地址a.b.c.d提供任何路由（即反向數據包傳輸時所需的路由），則路由器會丟棄它。
2.2.2設置SYN數據包流量速率
許多DDoS攻擊採用SYN洪水攻擊的形式，所以有必要在路由器上限制SYN數據包流量速率。採用這種方法時必須在進行測量時確保網路的正常工作以避免出現較大誤差。
rate-limit output access-group 153 45000000 100000 100000 conform-action
transmit exceed-action drop
rate-limit output access-group 152 1000000 100000 100000 conform-action
transmit exceed-action drop
access-list 152 permit tcp any host eq www
access-list 153 permit tcp any host eq www established
2.2.3在邊界路由器上部署策略
網路管理員可以在邊界路由器上部署過濾策略：

ISP端邊界路由器應該只接受源地址屬於客戶端網路的通信，而客戶端網路則應該只接受源地址未被客戶端網路過濾的通信。
ISP端邊界路由器的訪問控制列表：
access-list 190 permit ip 客戶端網路 客戶端網路掩碼 any
access-list 190 deny ip any any [log]
interface 內部網路介面 網路介面號
ip access-group 190 in
客戶端邊界路由器的訪問控制列表：
access-list 187 deny ip 客戶端網路 客戶端網路掩碼 any
access-list 187 permit ip any any
access-list 188 permit ip 客戶端網路 客戶端網路掩碼 any
access-list 188 deny ip any any
interface 外部網路介面 網路介面號
ip access-group 187 in
ip access-group 188 out
2.2.4使用CAR限制ICMP數據包流量速率
CAR（Control Access Rate），可以用來限制包的流量速率，是實現QoS(Quality of Service，服務質量)一種工具。可以用它來限制ICMP包來防止DDoS。
rate-limit output access-group 2020 3000000 512000 786000 conform-action
transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
2.2.5用ACL過濾RFC 1918中列出的所有地址
ACL（Acess Control List，訪問控制列表），是路由器過濾特定目標地址、源地址、協議的包的工具，可以用它來過濾掉RFC 1918中列出的所有地址，即私有IP地址（10.0.0.0/8，172.16.0.0/12, 192.168.0.0/16）。
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
2.2.6搜集證據
可以為路由器建立log server，建議使用SUN工作站或Linux等高速計算機捕獲數據包。常用的數據包捕獲工具包括TCPDump和snoop等。基本語法為：
tcpmp -i interface -s 1500 -w capture_file
snoop -d interface -o capture_file -s 1500