服务器网通：小站长服务器防御是怎么做出来的

　　【文章声明】本文部分内容来源互联网，仅作参考！如需咨询海外服务器购买问题，请在线咨询YINGSOO客服 Lucy，手机：18607552432(微信\TG同号)，QQ：1708453677，简单、便捷、高效！7x24小时免费电话400-630-3752

　　【申请试用】加拿大物理服务器 | 新加坡物理服务器 | 韩国CN2服务器 | 加拿大物理服务器

　　【精选好文】如何优化部署在香港云服务器上的网站，使其访问速度更快？ | 香港云服务器如何搭建网站？详细过程教你搞定

服务器网通

　　距离上次服务器被DDOS攻击已经有10天左右的时间，距离上上次也不超过一年，每一次都这么不了了只。然而近期一次相对持久的攻击，我觉得有必要静下心来，分享一下小站长服务器防御是怎么做出来的！服务器防御攻击的措施有很多，如使用高防服务器、日常安全软件部署或购买专业的ddos防御服务等，以提供更加安全的网络运行环境！

　　对于我们这些小站长，小波流的攻击只能依靠服务器自身防御去默默承受，而机器配置不高，买不起带宽只能任攻击自由的撒欢，还不如直接关站，扔给他一个Nginx + 静态页面让它攻击去吧。

　　当网站被攻击，想做服务器防御，你连DDOS基础防护的清洗阈值都达不到。所以作为一个默默无闻的小站，根本不需要想那么多。尽管现在DDOS成本很低，但谁不是无利不起早，除非你得罪了什么人。当然对于一般的攻击我们也不能坐以待毙，这里总结了几个小技巧，分享给大家，反向代理使用的是openresty。

　　服务器防御策略：

　　1、配置CDN：基于带宽以及正常用户访问速度的考量，建议配置CDN，对于网站的流量使用情况，峰值3MB，对1MB带宽的服务器肯定是抗不住啊，况且还有社区的访问。

　　2、Nginx优化：Nginx号称最大并发5W，实际上对于中小站点来说几十或者上百个并发就不错了，最基本的参数就可以满足需求。但是为了安全期间，我们最好隐藏其版本号。

　　3、PHP优化：在php渲染服务器高防的网页header信息中，会包含php的版本号信息，比如: X-Powered-by: php/5.6.30，这有些不安全，有些黑客可能采用扫描的方式，批量寻找低版本的php服务器，利用php漏洞(比如hash冲突)来攻击服务器。

　　4、IP黑名单：对付那种最low的攻击，加入黑名单的确是一个不错的选择，不然别人AB就能把你压死：

　　5、IP日访问次数：限制单个IP的日访问次数，正常来说一个用户的访问深度很少超过10个，跳出率一般在50%-70%之间。其实我们要做的把单个IP的日访问量控制在100甚至50以内即可。

　　6、限制并发数：光限制访问次数还是不够的，攻击者可能瞬间涌入成百上千的请求，如果这些请求到后端服务，会打垮数据库服务的，所以我们还要基于我们自身网站访问情况设置并发数。

　　7、限制单个IP的并发数

　　限制总并发数，这里建议大家使用漏桶算法限流，来整形流量请求。

　　8、配置缓存：数据库资源是宝贵的，所以尽量不要让请求直达后端。其实搬家之前，博客和社区都是配置过redis缓存的。由于之前购买的Redis服务是专有网络，新账号无法连接，然后就作罢了。

　　看来这次，需要在空闲服务器上配置一把了，反正闲着也是闲着，能起一丢丢作用也是好的。

　　9、充分利用网络设备保护网络资源

　　网络设备一般包含路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络受到外界的攻击时，路由器是最先死掉的，但其他机器没有死。死掉的路由器经过重启之后会恢复，而且启动速度会比较快，不会造成什么损失。

　　对于攻击，小站真的无解，能做好基础的防护就可以了。如果是其他的服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了ddos攻击。

　　但是对于那些肉鸡们或者即将成为肉鸡的人来说：

　　——软件漏洞一定要及时打补丁，时刻关注互联网相关动态;

　　——黑客利用被入侵的路由器获取网络流量，从而控制大连肉鸡；

　　——大多数肉鸡是没有安全意识的，并且被长期利用，经发现，不少是云服务商主机、托管服务器主机，被黑客利用漏洞控制；

　　——DDoS黑客攻击正在向产业化、平台服务化转变，如果有人想害你，一个按钮、几百块钱，就可以实现一整月的攻击，

　　以上是关于小站长对于服务器防御的一些介绍，本公司提供专业高防CDN、ddos高防服务，产品链接

　　高防CDN：

　　高防服务器：

服务器网通

　　服务器托管的双线路接入方法介绍

　　IDC行业和关注IDC的小伙伴不用多和他介绍，他肯定知道，多线路接入技术对中心的意义。它把不同的网络接入商(ISP)服务接入到一台服务器上或服务器集群，使服务器所提供的网络服务访问用户能尽可能以同一个ISP或互访速度较快的ISP连接来进行访问，从而解决或者减轻跨ISP用户访问网站的缓慢延迟(南北网络瓶颈)问题。

　　目前国内的ISP提供商分别提出了“双IP双线路”、“单IP双线路”、“CDN多线路”和“BGP单IP双线路”等双线路实现方法，下面IDC服务商本公司对以上提出的双线路接入实现方式进行具体说明：

　　单IP双线路

　　普通的单IP双线路是指在服务器上设置一个IP，此IP是网通IP或是电信IP，通过路由设备设置数据包是通过是电信网络或是网通网络发出来实现的双线技术。此方案也可以提高网通用户与电信用户的访问速度，解决了双IP双线需要在服务器上设置路由的问题，但由于IP地址采用的是网通或电信的IP，访问用户在发送请求数据包时不会自动判别最好国外运营商香港服务器的路由。所以这种解决方案只能说是半双线的技术方案、是一种过渡形式的解决方案。

　　此方案一般为单线ISP服务商往双线ISP服务商转型期所采用的折衷方案。一般的中、小网站可以采用该方案。

　　双IP双线路实现方式

　　双IP双线路实现方式是指在一台服务器上安装两块网卡。分别接入电信网线与网通网线并设置一个网通IP与一个电信IP，这样一台服务器上就有了两个IP地址，需要在服务器上添加网通或电信的路由表来实现网通用户与电信用户分别从不同的线路访问。双IP双线路具有常用的两种使用方式：

　　1、管理员在网站设置两个IP地址不同的链接，网通用户点击网通IP访问服务器，电信用户点击电信IP访问。

　　2、使用BIND9(DNS服务器软件)对不同的IP地址请求返回不同的服务器IP的功能来实现网通用户请求域名时返回网通的IP，电信用户请求域名时返回电信的IP，这个方式就是一些IDC提出的智能DNS的方案。

　　本双IP双线路接入法在一定程度上提高了网通与电信用户访问网站的速度，但缺点是由于服务器接入的是双网卡必须在服务器上进行路由表设置，这给普通用户增加了维护难度。并且所有的数据包都需要在服务器上进行路由判断然后再发往不同的网卡，当访问量较大时服务器资源占用很大。此方案较简单解决双线问题，但缺点是不够稳定，维护稍微复杂。一般小型网站或者游戏服务采用该方案。

　　用BGP协议实现的单IP双线路

　　该方案就是通过BGP协议，直接将其中一条线路的IP映射另外一条线路IP上，用户访问时，自动选择最好的路由，这样对用户来说没有通过不同ISP的缓慢延迟。

　　什么是BGP呢?BGP(边界网关协议)协议主要用于互联网AS(自治系统)之间的互联，BGP的最主要功能在于控制路由的传播和选择最好的路由。中国网通与中国电信都具有AS号(自治系统号)，全国各大网络运营商多数都是通过BGP协议与自身的AS号来互联的。使用此方案来实现双线路需要在CNNIC(中国互联网信息中心)申请IDC自己的IP地址段和AS号，然后通过BGP协议将此段IP地址广播到网通、电信等其它的网络运营商，使用BGP协议互联后网通与电信的所有骨干路由设备将会判断到IDC机房IP段的最佳路由,以保证网通、电信用户的高速访问。

　　CDN方式实现双线路

　　CDN(ContentDeliveryNetwork)互联网内容分发网络，就是多服务器托管加智能域名DNS，即服务器是CDN服务商提供，放在不同网络节点上，通过缓冲程序自动抓取用户源服务器的数据然后缓存在不同网段节点的服务器上。再配合智能DNS服务器的分网解析功能，实现不同网络用户都能访问到离自己最近网段上的网站，从而避免因为网络问题而影响网站访问速度的目的。

　　现绝大部份CDN技术在处理静态网站上比较成熟，但对交互性很强如全动态页面的网站还不是很成熟，实施成本也比较高，维护工作量增加。一般大、中型门户网站都采用该方案，目前有一些IDC公司提供该类服务。

　　以上服务器托管的多线路接入方案你是否都掌握了?