高防御服务器是指能够为单个客户提供网络安全维护的独立单防御50G以上的服务器类型。

高防御服务器主要是指独立的硬防御50G [1]  上述服务器可为单个客户提供安全维护。一般来说，它属于一种服务器。根据不同IDC机房的环境，有些提供硬防护和软防护。简单来说，可以帮助网站拒绝服务攻击，定期扫描现有网络主节点，找出可能存在安全漏洞的服务器类型，可以定义为高防御服务器。

硬防和软防

在选择高防御服务器时，首先要了解防御的类型和大小。防火墙是内外网、专用网、公共网之间的保护屏障。防火墙分为软件防火墙和硬件防火墙两种。

1、软件防火墙：软件防火墙寄生在操作平台上，软件防火墙是通过软件隔离内网与外网的保护屏障。

2、硬件防火墙：硬件防火墙镶嵌在系统中。硬件防火墙由软硬件组成。硬件防火墙在性能和防御方面优于软件防火墙。

编辑流量牵引

二是流量牵引技术，这是一种新型的防御，可以区分正常流量和攻击流量，将攻击流量牵引到防御DDOS、CC等攻击设备上去，将流量攻击的方向引向到其他设备上去，而不是选择自己去硬抗。

攻击分类

从防御范围来看，高防御服务器可以对抗SYN、UDP、ICMP、HTTP 保护GET等DDOS攻击，并能为一些特殊安全要求的web用户提供CC攻击动态防御。一般来说，基于包装过滤的防火墙只能分析每个数据包或有限分析数据连接的状态，以保护SYN或变体SYN、ACK攻击效果好，但不能从根本上分析TCP或udp协议。

SYNSYN变体攻击发送伪造源IP的SYN数据包，但数据包不是64字节，而是数千字节。这种攻击会导致一些防火墙处理错误锁定，消耗服务器CPU内存，堵塞带宽。TCP混乱数据包攻击发送伪造源IP TCP数据包，TCP头TCP Flags 部分混乱可能是synn ,ack ,syn ack ,syn rst等，会导致一些防火墙处理错误锁定，消耗服务器CPU内存，堵塞带宽。

UDP对于UDP协议攻击许多聊天室，视频音频软件，通过UDP数据包传输，攻击者分析攻击网络软件协议，发送与正常数据相同的数据包，攻击很难保护，一般防护墙通过拦截攻击数据包特征码保护，但这会导致正常数据包也会被拦截，针对WEB 通过控制大量肉鸡同时连接访问网站，Server的多连接攻击导致网站无法处理瘫痪。因为这种攻击和正常访问网站是一样的，只是瞬间访问量增加了几十倍甚至几百倍，一些防火墙可以通过限制每个连接的IP连接数量来保护，但这会导致正常用户多打开几次网站就会被密封，对于WEB 通过控制大量肉鸡同时连接到访问网站，Server的变种攻击不断打开，一直发送一些特殊的GET访问请求，导致网站数据库或某些页面消耗大量CPU，因此限制每个连接的IP连接数量是无效的，因为每只鸡可能只建立一个或少量的连接。这种攻击很难保护。

攻击分析

SYN攻击是一种DOS攻击，它利用TCP协议的缺陷，通过发送大量的半连接请求来消耗CPU和内存资源。当TCP协议建立连接时，双方需要相互确认信息，以防止整个数据传输过程中数据的完整性和有效性被伪造和准确控制。因此，TCP协议使用三个握手来建立一个连接。

第一次握手：建立连接时，客户端将syn包发送到服务器，并进入SYN_SEND状态，等待服务器确认；

第二次握手:服务器收到syn包，必须确认客户的syn 同时，我还发送了一个SYN包 即SYN ACK包，此时服务器进入SYN_RECV状态；

第三次握手：客户端收到SYN服务器 ACK包，将确认包ACK发送到服务器，客户端和服务器进入ESTABLISHED状态，完成三次握手。

假设用户在向服务器发送SYN报告后突然死亡或掉线，服务器正在发送SYN ACK回复报告后，无法收到客户端的ACK报告（第三次握手无法完成）。在这种情况下，服务器端通常会重新测试（再次发送SYN ACK给客户端)并在等待一段时间后丢弃未完成的连接。这段时间的长度称为SYN Timeout，一般来说，这个时间是分钟的数量级(约30秒-2分钟)；用户异常导致服务器线程等待1分钟不是一个大问题，但如果有恶意攻击者大量模拟这种情况，服务器端将消耗大量资源来维护一个非常大的半连接列表——成千上万的半连接，即使是简单的保存和遍历也会消耗大量的CPU时间和内存，更不用说SYN列表中的IP了 ACK重试。事实上，如果服务器的TCP/IP栈不够强大，最终的结果往往是堆栈溢出和崩溃——即使服务器端的系统足够强大，服务器端也会忙于处理攻击者伪造的TCP连接请求，而忽略客户的正常请求（毕竟，客户端的正常请求比例很小）。此时，从正常客户的角度来看，服务器失去了响应，这种情况被称为：服务器端被SYN接收 Flood攻击(SYN洪水攻击)

如何防御？ 

Dos和Ddos是什么？DOS是一种使用单台计算机的攻击方法。而DdoS（Distributed Denial of Service，分布式拒绝服务)是一种基于DOS的特殊形式的拒绝服务攻击，是一种分布式和合作的大规模攻击，主要针对一些商业公司、搜索引擎和政府部门等大型网站。DDOS攻击是利用一批受控机器攻击一台机器，因此来势迅猛的攻击难以防范，因此具有很大的破坏性。如果以前网络管理员可以通过过滤IP地址来对抗DOS，那么就没有办法面对目前DDOS中许多伪造的地址。因此，防止DDOS攻击变得更加困难，如何采取有效措施？以下是两个方面的介绍。以预防为主，确保DDOS攻击的安全是黑客最常用的攻击手段，下面列出了一些常规的处理方法。

(1)定期扫描

定期扫描现有网络主节点，检查可能存在的安全漏洞，及时清理新漏洞。由于骨干节点的计算机带宽较高，是黑客使用的最佳位置，因此加强这些主机本身的安全非常重要。连接到网络主节点的是服务器级计算机，因此定期扫描漏洞变得更加重要。

(2)骨干节点配置防火墙

防火墙本身可以抵抗DDOS攻击和其他攻击。当发现攻击时，攻击可以导向一些受害者，以保护真正的主机不受攻击。当然，这些受害者可以选择不重要的，或者linux、unix等漏洞少、自然防范攻击优秀的系统。

(3)用足够的机器承受黑客攻击

这是一种理想的应对策略。如果用户有足够的容量和资源攻击黑客，当它不断访问和夺取用户资源时，他们的能量会逐渐消耗。也许在用户被攻击死亡之前，黑客无法帮助他们。然而，这种方法需要投入更多的资金。通常，大多数设备都是免费的，这与中小企业网络的实际运行不一致。

(4)充分利用网络设备保护网络资源

所谓网络设备，是指路由器、防火墙等负载均衡设备，能有效保护网络。当网络被攻击时，路由器首先死亡，但其他机器没有死亡。死路由器重启后会恢复正常，启动速度快，无损失。如果其他服务器死亡，数据将丢失，重启服务器是一个漫长的过程。特别是一家公司使用负载均衡设备，这样当一个路由器被攻击并死亡时，另一个将立即工作。从而最大限度地减少DDOS的攻击。

(5)过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假IP ...只打开服务端口已经成为许多服务器的一种流行做法。例如，WWW服务器只打开80，关闭所有其他端口或在防火墙上制定预防策略。

(6)检查访问者的来源

使用Unicast Reverse Path 通过反向路由器查询Forwarding，检查访问者的IP地址是否真实，如果是假的，将被屏蔽。很多黑客攻击经常用假IP地址来迷惑用户，很难找出它来自哪里。因此，使用Unicast Reverse Path Forwarding可以减少假IP地址的出现，有助于提高网络安全性。

(7)过滤所有RFC1918 IP地址

RFC1918 IP地址是内部网络的IP地址，如10.0.0.0、192.168.0.0 和172.16.0.0.它们不是某个网段的固定IP地址，而是Internet内部保留的区域IP地址，应过滤掉。这种方法不是过滤内部员工的访问，而是过滤攻击过程中伪造的大量虚假内部IP，这也可以减少DDOS的攻击。

(8)限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量，以限制SYN/ICMP包的最大频率宽度。这样，当有大量超过限制的SYN/ICMP流量时，就意味着有黑客入侵，而不是正常的网络访问。早期限制SYN/ICMP流量是防止DOS的最佳方法。虽然这种方法对DDOS的影响不是很明显，但它仍然可以发挥一定的作用。如果用户正在遭受攻击，他所能做的抵抗工作将会非常有限。因为在原本没有准备好的情况下，大流量的灾难性攻击冲向用户，网络很可能在用户恢复之前就瘫痪了。然而，用户仍然可以抓住机会寻求一线希望。

（1）检查攻击源。通常，黑客会通过许多假IP地址发起攻击。此时，如果用户能够区分哪些是真IP，哪些是假IP地址，然后了解这些IP来自哪些网段，然后找到网络管理员关闭这些机器，以便在第一时间消除攻击。如果发现这些IP地址来自外部，而不是公司内部的IP，可以在服务器或路由器上临时过滤。

（2）找出攻击者经过的路线，并屏蔽攻击。如果黑客从某些端口攻击，用户可以屏蔽这些端口以防止入侵。然而，这种方法对公司只有一个网络出口，而且在受到外部DDOS攻击时也不起作用。毕竟，所有的计算机在关闭出口端口后都无法访问internet。

（3）最后，另一种妥协是在路由器上过滤ICMP。虽然他在攻击过程中不能完全消除入侵，但过滤ICMP可以有效地防止攻击规模的升级，并在一定程度上降低攻击水平。

我不知道作为一名网络管理员，你是否遇到过服务器因拒绝服务攻击（DDOS攻击）而瘫痪的情况？就网络安全而言，最令人担忧和可怕的入侵攻击是DDOS攻击。与传统的攻击不同，他模拟了多个客户端来连接服务器，导致服务器无法完成如此多的客户端连接，从而无法提供服务。

目前，网络安全界防范DDOS最有效的防御方法：

蜘蛛系统:一个庞大的网络系统由世界各地的国家和地区组成，相当于一个虚幻的网络。任何人检测到的只是节点服务器ip，不是你真实数据所在的真实ip地址。每个节点都使用100M独家服务器来抵抗2G以上的流量攻击 金盾软防无视任何cc攻击.

无论是G口包装还是肉鸡攻击，使用蜘蛛系统只影响一条线、一个地区、一个省或一个省的用户，以确保您的个人服务器或数据安全。并将在一分钟内更换瘫痪的节点服务器，以确保网站的正常状态。您还可以将G口包装的服务器或肉鸡发送的所有数据包返回发送点，使G口包装的服务器和肉鸡瘫痪。想象一下，如果没有G口服务器或肉鸡黑客攻击你的网站

如果按照本文的方法和思路来防止DDOS，效果还是很显著的，可以把攻击造成的损失降到最低。

注：Ddos攻击只能减弱，不能完全消除。