如何防止服务器被攻击？

防止服务器租用被攻击的方法:1 .定期扫描现有网络主要节点，及时清理新增漏洞；2.在骨干节点配置防火墙，保护主机免受攻击；3.以足够的能力和资源承受攻击；4.充分利用网络设备保护网络资源，如路由器、防火墙等负载均衡设备；5.过滤路由器上不必要的服务和端口；6.使用UnicastReversePathForwarding等方法检查访客来源；7.过滤所有RFC1918IP地址可以减少DdoS攻击；8.在路由器上配置SYN/ICMP的最大流量，以限制SYN/ICMP数据包占用的最高带宽。

1、定期扫描

需要定期扫描现有的网络主节点，检查可能存在的安全漏洞，及时清理新的漏洞。由于骨干电脑带宽高，是黑客利用的最佳场所，所以加强这些主机本身的主机安全非常重要。而且所有连接到网络主要节点的计算机都是服务器级别的，所以定期扫描漏洞就变得更加重要了。

2.在主干节点上配置防火墙。

防火墙本身可以抵御DdoS攻击和其他攻击。当发现攻击时，可以将其定向到一些受害主机，这样可以保护真正的主机免受攻击。当然，这些牺牲主机可以选择不重要的，或者是漏洞少，对linux、unix等攻击有优秀天然防御的系统。

3.用足够的机器进行攻击。

这是一种理想的应对策略。如果用户有足够的能力和资源去攻击，他自己的精力也会随着不断的访问和抢占用户资源而逐渐消耗。也许在用户被杀死之前，黑客什么也做不了。但是这种方式需要大量的资金，而且平时大部分设备都是闲置的，与目前中小企业网络的实际运行情况不符。

4.充分利用网络设备保护网络资源。

所谓网络设备，是指路由器、防火墙等负载均衡设备，能够有效保护网络。当网络受到攻击时，路由器是第一个死的，但其他机器并没有死。死路由器重启后会恢复正常，启动很快，没有任何损失。如果其他服务器死亡，其中的数据将会丢失，重新启动服务器是一个漫长的过程。特别是，一家公司使用了负载均衡设备，这样当一台路由器受到攻击并崩溃时，另一台路由器会立即工作。从而最大程度减少DdoS攻击。

5.过滤不必要的服务和端口。

过滤不必要的服务和端口，也就是过滤路由器上的假IP，只开放服务端口，已经成为目前很多服务器流行的做法。例如，WWW服务器只开放80个端口，关闭所有其他端口，或者在防火墙上制定阻塞策略。

6.查看访客来源。

使用UnicastReversePathForwarding等方法，通过反向路由器查询，检查访问者的IP地址是否真实。如果是假的，就屏蔽掉。很多攻击往往用假的IP地址迷惑用户，很难查出是从哪里来的。因此，使用UnicastReversePathForwarding可以减少虚假IP地址的出现，有助于提高网络安全性。

7.过滤所有RFC1918IP地址

RFC1918IP地址是内部网络的IP地址，例如10.0.0.0、192.168.0.0和172.16.0.0。它们不是某个网段的固定IP地址，而是互联网内部预留的区域性IP地址。它们应该被过滤掉。这种方法不是过滤内部员工的访问，而是过滤攻击过程中伪造的大量虚假内部IP，也可以减少DdoS攻击。

8.限制SYN/ICMP流量

用户应该在路由器上配置SYN/ICMP的最大流量，以限制SYN/ICMP数据包可以占用的最大带宽。这样，当出现大量超过限定的SYN/ICMP的流量时，就说明不是正常的网络访问，而是黑客入侵。在早期阶段限制SYN/ICMP流量是防止DOS的最佳方法。虽然目前这种方法对DdoS的效果并不明显，但还是能起到一定的作用。