如何最大限度地保护企业服务器被攻击？如果我们无法阻止这种攻击，可以采取哪些措施？分布式拒绝服务（DDoS）是一种完全不同的攻击，你阻止不了黑客对你这么做，除非您主动断开与互联网的连接，否则它会对你的网站发起DDoS攻击。

然后我们必须首先了解DDoS攻击的三个阶段：

第一阶段是目标确认：黑客将锁定Internet上公司网络的IP地址。这个锁定的IP地址可能代表企业的网络服务器，DNS服务器，互联网网关等。选择这些攻击目标的目的也是多种多样的，例如赚钱（有人会为黑客攻击某些网站付费），或者是为了打破乐趣。

第二阶段是准备阶段：在这个阶段，黑客将入侵互联网上的大量计算机而没有良好的保护系统（基本上是网络上的家用计算机，NDSL宽带或有线电缆是主要方法），黑客将在未来植入所需的工具。

第三阶段是实际攻击阶段：黑客将攻击命令发送给所有受到攻击的计算机（即僵尸计算机），并命令计算机使用预先植入的攻击工具连续向攻击目标发送数据包，使得目标无法处理大量数据或带宽被占满。

聪明的黑客还会让这些僵尸计算机欺骗攻击数据包的IP地址，并将攻击目标的IP地址插入数据包的原始地址。这称为反射攻击。在服务器或路由器看到这些数据包之后，它会将收到的响应转发（即反映）到原始IP地址，这将进一步增加到目标主机的数据流。所以，我们无法阻止这种DDoS攻击，但是知道这种攻击的原理，我们可以最大限度地减少这种攻击的影响。

DDoS防御方法：

1.如果只有几台计算机是攻击的来源，并且你已经确定了这些来源的 IP 地址, 你就在防火墙服务器上放置一份ACL（访问控制列表) 来阻断这些来自这些 IP 的访问。如果可能的话 将 web 服务器的 IP 地址变更一段时间，但是如果攻击者通过查询你的 DNS 服务器解析到你新设定的IP，那这一措施及不再有效了。

2.如果你确定攻击来自一个特定的国家，可以考虑将来自那个国家的 IP 阻断，至少要阻断一段时间.

3.监控进入的网络流量。通过这种方式可以知道谁在访问你的网络，可以监控到异常的访问者，可以在事后分析日志和来源IP。在进行大规模的攻击之前，攻击者可能会使用少量的攻击来测试你网络的健壮性。

4.对付带宽消耗型的攻击来说，最有效（也很昂贵）的解决方案是购买更多的带宽。通过DDoS硬件防火墙对异常流量的清洗过滤，通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常，进一步将异常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包。

5.也可以使用高性能的负载均衡软件，使用多台服务器，并部署在不同的数据中心。

6.对Web和其他资源使用负载均衡的同时，也使用相同的策略来保护DNS。

7.优化资源使用提高web server的负载能力。例如，使用apache可以安装apachebooster插件，该插件与varnish和nginx集成，可以应对突增的流量和内存占用。

8.使用高可扩展性的DNS设备来保护针对DNS的DDoS攻击。可以考虑购买Cloudflare的商业解决方案，它可以提供针对DNS或TCP/IP3到7层的DDoS攻击保护。如果想获得更多的服务支持（国外的安全服务一般是没有售后的，如果遇到问题只能提交工单进行解决，效率很低。），可以考虑选择国内的云安全服务商。推荐腾达互联云安全。

9.启用路由器或防火墙的反IP欺骗功能。在CISCO的ASA防火墙中配置该功能要比在路由器中更方便。在 ASDM（Cisco Adaptive Security Device Manager）中启用该功能只要点击“配置”中的“防火墙”，找到“anti-spoofing”然后点击启用即可。也可以在路由器中使用 ACL（access control list）来防止 IP 欺骗，先针对内网创建 ACL，然后应用到互联网的接口上。

10.使用第三方的服务来保护你的网站。有不少公司有这样的服务，提供高性能的基础网络设施帮你抵御拒绝服务攻击。你只需要按月支付几百美元费用就行。

11.注意服务器的安全配置，避免资源耗尽型的 DDoS 攻击。

12.听从专家的意见，针对攻击事先做好应对的应急方案。

13.监控网络和 web 的流量。如果有可能可以配置多个分析工具，例如：Statcounter 和 Google analytics，这样可以更直观了解到流量变化的模式，从中获取更多的信息。

14.保护好 DNS 避免 DNS 放大攻击。

15.在路由器上禁用 ICMP。仅在需要测试时开放 ICMP。在配置路由器时也考虑下面的策略：流控，包过滤，半连接超时，垃圾包丢弃，来源伪造的数据包丢弃，SYN 阀值，禁用 ICMP 和 UDP 广播。

16. 分布式集群防御：这是目前网络安全界防御大规模DDoS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的DDOS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。

17.云防御：目前，许多的企业面对大攻击时都是采用这种方式来进行防御，一方面可以通过云进行调度，另一方面操作也非常的简单，并且面对各种类型来势汹汹的DDoS攻击都能及时响应。但缺点是攻击量大时是价格会比较高，这个要看企业对DDoS攻击的衡量，是被打垮了损失的费用更大还是花钱抗D花费的费用更大。

最后多了解一些 DDOS 攻击的类型和手段，并针对每一种攻击制定应急方案。