服务器老被DDOS攻击，该怎么办？

DDOS攻击的目的有两个：一个是消耗网络带宽资源，二是消耗服务器系统资源。

因此在遇到DDOS攻击的典型现象就是，带宽资源被耗尽，或者服务器系统资源被占满。

在遇到DDOS攻击，用户需要判断攻击的方式，进而采取相应的措施。

但是，此时实际上已经给用户造成了影响了，因此建议用户使用专业的抗DDOS攻击，提前预防。

修改注册表防范DDos攻击：

Windows Registry Editor Version 500

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

'关闭无效网关的检查。当服务器设置了多个网关，这样在网络不通畅的时候系统会尝试连接

'第二个网关，通过关闭它可以优化网络。

"EnableDeadGWDetect"=dword:00000000

'禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。

"EnableICMPRedirects"=dword:00000000

'不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。

'注意系统必须安装SP2以上

"NoNameReleaseOnDemand"=dword:00000001

'发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态，

'不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里设置时间为5分钟。

"KeepAliveTime"=dword:000493e0

'禁止进行最大包长度路径检测。该项值为1时，将自动检测出可以传输的数据包的大小，

'可以用来提高传输效率，如出现故障或安全起见，设项值为0，表示使用固定MTU值576bytes。

"EnablePMTUDiscovery"=dword:00000000

'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后

'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值

'设定的条件来触发启动了。这里需要注意的是，NT40必须设为1，设为2后在某种特殊数据包下会导致系统重启。

"SynAttackProtect"=dword:00000002

'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态

'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。

"TcpMaxHalfOpen"=dword:00000064

'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。

"TcpMaxHalfOpenRetried"=dword:00000050

'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。

'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。

'微软站点安全推荐为2。

"TcpMaxConnectResponseRetransmissions"=dword:00000001

'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。

"TcpMaxDataRetransmissions"=dword:00000003

'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。

"TCPMaxPortsExhausted"=dword:00000005

'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的

'源路由包，微软站点安全推荐为2。

"DisableIPSourceRouting"=dword:0000002

'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。

"TcpTimedWaitDelay"=dword:0000001e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]

'增大NetBT的连接块增加幅度。缺省为3，范围1-20，数值越大在连接越多时提升性能。每个连接块消耗87个字节。

"BacklogIncrement"=dword:00000003

'最大NetBT的连接快的数目。范围1-40000，这里设置为1000，数值越大在连接越多时允许更多连接。

"MaxConnBackLog"=dword:000003e8

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters]

'配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为1，表示允许动态Backlog。

"EnableDynamicBacklog"=dword:00000001

'配置最小动态Backlog。默认项值为0，表示动态Backlog分配的自由连接的最小数目。当自由连接数目

'低于此数目时，将自动的分配自由连接。默认值为0，对于网络繁忙或者易遭受SYN攻击的系统，建议设置为20。

"MinimumDynamicBacklog"=dword:00000014

'最大动态Backlog。表示定义最大"准"连接的数目，主要看内存大小，理论每32M内存最大可以

'增加5000个，这里设为20000。

"MaximumDynamicBacklog"=dword:00002e20

'每次增加的自由连接数据。默认项值为5，表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击

'的系统，建议设置为10。

"DynamicBacklogGrowthDelta"=dword:0000000a

====================================================

以上存为reg后即可直接导入

当然可以在里面相应的添加其他设置进行一次性修改注册表如:

'关闭445端口

"SMBDeviceEnabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]

'禁止C$,D$一类的共享

"AutoShareServer"=dword:00000000

'禁止ADMIN$缺省共享

"AutoShareWks"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

'限制IPC$缺省共享

"restrictanonymous"=dword:00000000

首先你要找到服务器被封的原因，一般服务器被封有以下几点，你可以参考一下：

关于我们租用服务器被封IP的原因有以下几点：

一：违反服务器其所在的地区的法律法规

虽然对比国内，美国的服务器管理的比较松散其宽泛。但是我们不能随意为之，做一些违法违规的事情。尤其是目前国内和海外的互联网法律法规的也越来越完善，目前各大服务器厂商的提供这就是在其法规上加上使用自己服务器的一些规则。不仅要注意网站建设内容是否合规情理，也要注重网站的版权，因为海外用户是非常重视版权的，这类问题都会导致我们网站所在服务器被封，或者IP被禁用的情况。

二：行业竞争和黑客入侵

服务器运行中也面临着同行业和黑客可以通过手法来获取到美国服务器的漏洞，然后利用漏洞来扰乱服务器的运行体制，也可以通过一些参数来使的服务器运不畅。也很有可能控制对方的服务器来进行违法违规操作，以达到被封或者被禁用的意图。作为服务器的提供商当然要极大的保护服务器的安全，减少其中的安漏洞，也要做好监控体系。我们使用服务器的时候也要装备好自己的安防软件和设置好各项参数，封闭不必要的端口，来保证自己的服务器能够正常的运行。

三：遭受大流量攻击

因为被流量攻击而被封IP 是最为常见的事情，出现此状况不仅对用户和服务器是无奈之举，关于流量攻击只是针海外机房比较差的，类似DDos攻击、CC攻击，一般的机房遭受到此攻击都会导致机房的网络不稳定，大规模的访问会占用很多的带宽和服务器资源，使的服务器资源超负荷的运转起来，然后导致服务器宕机和停止。

若是你租用的是香港VPS等共享ip类型的服务器租用服务的话，那么当因为其中一个网站的过错就会导致这个ip被封了的时候，该ip地址下的所有网站均无法访问，这不仅仅对用户体验度产生很大的影响，更对搜索引擎的收录会有很大的影响。同时，更换IP地址也对百度收录产生较大的影响，对google影响较小。那么导致香港服务器IP被封是哪些原因呢

　　一、DDoS攻击导致流量过高。

　　这是当前导致香港服务器IP被封的最常见原因。DDoS攻击，会对你的服务器突发性地输入/输出大量无效或慢速的访问请求，导致服务器流量需求激增，导致带宽超限、服务器卡死，同一IP下的所有网站无法访问。DDoS攻击不但会造成目标香港服务器瘫痪，还会影响机房内网正常运作。机房防火墙检测到这种情况，将直接封停服务器IP。

　　二、黑客入侵控制服务器进行违法操作。

　　香港服务器须做好安全防护，一旦被黑客攻破，可能将你的香港服务器作为肉鸡，扫描、攻击其他服务器。一旦被机房防御系统发现、识别，将自动拦截，并自动封停服务器IP。

　　三、服务器流量超载过多。

　　如果你的香港服务器流入/流出的数据过多，远超出已订购的服务器带宽资源，那么服务商将有权封停你的服务器IP。在你加大带宽，处理好相关问题后再行解封。这种情况，在香港独立服务器租用过程中较为少见，多见于香港VPS、香港云服务器中。

　　四、违反香港机房规定的行为。

　　租用香港服务器时，客户需要遵守与服务商的协定，避免放置违反机房规定、违反香港地区相关法律法规的内容(例如色情、暴力、博彩、群发垃圾邮件等)。正规的服务商一般会不定期检查用户网站，一旦发现此类违规网站，将直接封停IP，并勒令整改。

　　导致香港服务器IP被封有哪些原因呢以上就是最常见的几种情况。我们在租用香港服务器前，需认真阅读服务商提供的服务条款，做好服务器安全防护，避免放置违法违规站点，同时，保护好你的服务器真实IP，避免被黑客利用，降低被DDoS攻击的几率。香港服务器IP被封后，需按照被封原因对症下药地及时采取解决措施，避免长时间封停导致搜索引擎优化影响。

DDOS攻击，直接找机房要流量图就看得到。把服务器ip打挂了，连接不上服务器，不通了。

cc攻击:cpu变得很高，操作很卡，可以先让服务器商分析下，进服务器里看下，现在很多服务器安全软件，市面有云盾，金盾，cdn等各种防护软件。

服务器被攻击的基本处理办法:

检查系统日志，查看下是什么类型的攻击，看下攻击者都去了哪些地方。内容是否又被修改的痕迹等，如果发现问题及时进行清理。

关闭不必要的服务和端口。

定期整体扫描下服务器，看下存在什么问题， 有漏洞及时打补丁；检查是否有影子账户，不是自己建立的账号等。

重新设置账户密码，密码设置的复杂些；以及设置账户权限。

对服务器上的安全软件进行升级，或者是对防护参数进行重新设置，使他符合当时的环境。如果没有安装，可以安装个服务器安全狗，同时，还可以将服务器添加到安全狗服云平台上，这样当有攻击发生时，可以快速知道，并进行处理等。

检测网站，是否又被挂马、被篡改、挂黑链等，如果有，及时清理。

如果是大流量攻击，可以看下DOSS流量清洗，这个很多安全厂商都有这个服务。

定期备份数据文件。如果之前有做备份，可以对重要数据进行替换。

如果不希望被攻击的话推荐租用高防服务器。

第一步、检查系统组及用户 我的电脑——右键管理——本地用户和组——组 检查administrators组内是否存在除开管理员用户账号(默认为administrator)以外的其他用户账号。 检查users组内是否存在非系统默认账号或管理员指定账号。 本地用户和组——用户 检查是否存在未做注释或名称异常的用户。 一般由于软件后本被入侵的服务器都会在administrators组内添加一个admin$或相类似的用户，一旦发现该类用户就应该首先避免运行任何程序，停止所有服务并及时使用杀毒软件对服务器关键区域(启动驻存、C盘系统文件夹用户自定义文件夹)进行完整扫描，避免木马的二次交叉感染。 第二步、检查管理员账户是否存在异常的登陆和注销记录 我的电脑——右键管理——事件查看器——安全性 筛选所有事件ID为576和528的事件(576为系统登陆日志528为系统注销日志)查看具体事件信息内容。内容内会存在一个登陆IP。检查该IP是否为管理员常用登陆的IP。 第三步、检查服务器是否存在异常的登陆启动项 开始菜单——所有程序——启动 该目录在默认情况下应该是一个空目录，但是如果出现一个异常的bat程序的话就应该全盘扫描服务器以确认服务器安全性。 开始菜单——运行 msconfig 启动菜单栏中是否存在命名异常的启动项目，例如AEXE XXXXI1SU2EXE等，一旦发现全盘扫描服务器以确认服务器安全性。 开始菜单——运行 regedit hkey_current_user—software—micorsoft—windows—currentversion-run hkey_current_machine—software—micorsoft—windows—currentversion-run 检查以上2个项目下是否存在异常

(1)CC类攻击

A网站出现service unavailable提示

BCPU占用率很高

C网络连接状态：netstat –na,若观察到大量的ESTABLISHED的连接状态 单个IP高达几十条甚至上百条

D外部无法打开网站,软重启后短期内恢复正常,几分钟后又无法访问。

(2)SYN类攻击

ACPU占用很高

B网络连接状态：netstat –na,若观察到大量的SYN_RECEIVED的连接状态

(3)UDP类攻击

A观察网卡状况 每秒接受大量的数据包

B网络状态：netstat –na TCP信息正常

(4)TCP洪水攻击

ACPU占用很高

Bnetstat –na,若观察到大量的ESTABLISHED的连接状态 单个IP高达几十条甚至上百条

如不幸被当肉鸡去攻击别人，就查看您的服务器是否有向别的服务器不断发送文件。