分布式拒絕服務攻擊:提高拒絕服務攻擊的威力的方式-中文百科頻道

分布式拒絕服務

分布式拒絕服務（DDoS）攻擊是一種極其常見的網絡攻擊方式，網絡高流量的DDoS往往通過制造大量無用數據，造成網絡擁塞，最終達到耗盡資源、中斷正常服務的目的。

分布式拒絕服務英文名DDOS，是Distributed Denial of Service的縮寫，俗稱洪水攻擊。

攻擊方式

DDoS攻擊通過大量合法的請求占用大量網絡資源，以達到癱瘓網絡的目的。

這種攻擊方式可分為以下幾種：

通過使網絡過載來幹擾甚至阻斷正常的網絡通訊。

通過向服務器提交大量請求，使服務器超負荷。

阻斷某一用戶訪問服務器。

阻斷某服務與特定系統或個人的通訊。

IP Spoofing

IP欺騙攻擊是一種黑客通過向服務端發送虛假的包以欺騙服務器的

具體說，就是将包中的源IP地址設置為不存在或不合法的值。服務器一旦接受到該包便會返回接受請求包，但實際上這個包永遠返回不到來源處的計算機。

這種做法使服務器必需開啟自己的監聽端口不斷等待，也就浪費了系統各方面的資源。

LAND attack

這種攻擊方式與SYN floods類似，不過在LAND attack攻擊包中的原地址和目标地址都是攻擊對象的IP。這種攻擊會導緻被攻擊的機器死循環，最終耗盡資源而死機。

ICMP floods

ICMPfloods是通過向未良好設置的路由器發送廣播信息占用系統資源的做法。

Application

與前面叙說的攻擊方式不同，Application level floods主要是針對應用軟件層的，也就是高于OSI的。它同樣是以大量消耗系統資源為目的，通過向IIS這樣的網絡服務程序提出無節制的資源申請來迫害正常的網絡服務。

被分布式拒絕服務攻擊時的現象

被攻擊主機上有大量等待的TCP連接。

網絡中充斥着大量的無用的數據包，源地址為假。

制造高流量無用數據，造成網絡擁塞，使受害主機無法正常和外界通訊。

利用受害主機提供的服務或傳輸協議上的缺陷，反複高速的發出特定的服務請求，使受害主機無法及時處理所有正常請求

嚴重時會造成系統死機。

組織攻擊步驟

搜集了解目标的情況

下列情況是黑客非常關心的情報：

被攻擊目标主機數目、地址情況

目标主機的配置、性能

目标的帶寬

對于DDoS攻擊者來說，攻擊互聯網上的某個站點，如http://www.mytarget.com，有一個重點就是确定到底有多少台主機在支持這個站點，一個大的網站可能有很多台主機利用負載均衡技術提供同一個網站的www服務。

以yahoo為例，一般會有下列地址都是提供http://www.yahoo.com服務的：

66.218.71.87

66.218.71.88

66.218.71.89

66.218.71.80

66.218.71.81

66.218.71.83

66.218.71.84

66.218.71.86

如果要進行DDoS攻擊的話，應該攻擊哪一個地址呢？使66.218.71.87這台機器癱掉，但其他的主機還是能向外提供www服務，所以想讓别人訪問不到http://www.yahoo.com的話，要所有這些IP地址的機器都癱掉才行。

在實際的應用中，一個IP地址往往還代表着數台機器：網站維護者使用了四層或七層交換機來做負載均衡，把對一個IP地址的訪問以特定的算法分配到下屬的每個主機上去。

這時對于DDoS攻擊者來說情況就更複雜了，他面對的任務可能是讓幾十台主機的服務都不正常。

所以說事先搜集情報對DDoS攻擊者來說是非常重要的，這關系到使用多少台傀儡機才能達到效果的問題。簡單地考慮一下，在相同的條件下，攻擊同一站點的2台主機需要2台傀儡機的話，攻擊5台主機可能就需要5台以上的傀儡機。

有人說做攻擊的傀儡機越多越好，不管你有多少台主機我都用盡量多的傀儡機來攻就是了，反正傀儡機超過了時候效果更好。

但在實際過程中，有很多黑客并不進行情報的搜集而直接進行DDoS的攻擊，這時候攻擊的盲目性就很大了，效果如何也要靠運氣。其實做黑客也象網管員一樣，是不能偷懶的。

一件事做得好與壞，态度最重要，水平還在其次。

占領傀儡機

黑客最感興趣的是有下列情況的主機：

鍊路狀态好的主機

性能好的主機

安全管理水平差的主機

這一部分實際上是使用了另一大類的攻擊手段：利用形攻擊。這是和DDoS并列的攻擊方式。簡單地說，就是占領和控制被攻擊的主機。取得最高的管理權限，或者至少得到一個有權限完成DDoS攻擊任務的帳号。

對于一個DDoS攻擊者來說，準備好一定數量的傀儡機是一個必要的條件，下面說一下他是如何攻擊并占領它們的。

首先，黑客做的工作一般是掃描，随機地或者是有針對性地利用掃描器去發現互聯網上那些有漏洞的機器，象程序的溢出漏洞、cgi、Unicode、ftp、數據庫漏洞…(簡直舉不勝舉啊)，都是黑客希望看到的掃描結果。

随後就是嘗試入侵了，具體的手段就不在這裡多說了，感興趣的話網上有很多關于這些内容的文章。

總之黑客現在占領了一台傀儡機了！然後他做什麼呢？除了上面說過留後門擦腳印這些基本工作之外，他會把DDoS攻擊用的程序上載過去，一般是利用ftp。

在攻擊機上，會有一個DDoS的發包程序，黑客就是利用它來向受害目标發送惡意攻擊包的。

實際攻擊

經過前2個階段的精心準備之後，黑客就開始瞄準目标準備發射了。

前面的準備做得好的話，實際攻擊過程反而是比較簡單的。就象圖示裡的那樣，黑客登錄到做為控制台的傀儡機，向所有的攻擊機發出命令："預備~，瞄準~，開火!"。

這時候埋伏在攻擊機中的DDoS攻擊程序就會響應控制台的命令，一起向受害主機以高速度發送大量的數據包，導緻它死機或是無法響應正常的請求。

黑客一般會以遠遠超出受害方處理能力的速度進行攻擊，他們不會"憐香惜玉"。

老到的攻擊者一邊攻擊，還會用各種手段來監視攻擊的效果，在需要的時候進行一些調整。簡單些就是開個窗口不斷地ping目标主機，在能接到回應的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊。

防範

主機設置

所有的主機平台都有抵禦DoS的設置，總結一下，基本的有幾種：

關閉不必要的服務

限制同時打開的Syn半連接數目

縮短Syn半連接的time out時間

及時更新系統補丁

網絡設置

網絡設備可以從防火牆與路由器上考慮。這兩個設備是到外界的接口設備，在進行防DDoS設置的同時，要注意一下這是以多大的效率犧牲為代價的，對你來說是否值得。

防火牆

禁止對主機的非開放服務的訪問限制同時打開的SYN最大連接數限制特定IP地址的訪問啟用防火牆的防DDoS的屬性嚴格限制對外開放的服務器的向外訪問第五項主要是防止自己的服務器被當做工具去害人。

路由器

設置SYN數據包流量速率升級版本過低的ISO為路由器建立log server。

Windows系統防禦

啟用SYN攻擊保護

啟用SYN攻擊保護的命名值位于此注冊表項的下面：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices。

值名稱：SynAttackProtect

建議值：2

有效值：0–2

說明：使TCP調整SYN-ACK的重傳。配置此值後，在遇到SYN攻擊時，對連接超時的響應将更快速。在超過TcpMaxHalfOpen或TcpMaxHalfOpenRetried的值後，将觸發SYN攻擊保護。

設置SYN保護阈值

下列值确定觸發SYN保護的阈值。這一部分中的所有注冊表項和值都位于注冊表項HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices的下面。這些注冊表項和值是：

值名稱：TcpMaxPortsExhausted

建議值：5

有效值：0–65535

說明：指定觸發SYN洪水攻擊保護所必須超過的TCP連接請求數的阈值。

值名稱：TcpMaxHalfOpen

建議的數值數據：500

有效值：100–65535

說明：在啟用SynAttackProtect後，該值指定處于SYN_RCVD狀态的TCP連接數的阈值。在超過SynAttackProtect後，将觸發SYN洪水攻擊保護。

值名稱：TcpMaxHalfOpenRetried

建議的數值數據：400

有效值：80–65535

說明：在啟用SynAttackProtect後，該值指定處于至少已發送一次重傳的SYN_RCVD狀态中的TCP連接數的阈值。在超過SynAttackProtect後，将觸發SYN洪水攻擊保護。

設置其他保護

這一部分中的所有注冊表項和值都位于注冊表項HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices的下面。這些注冊表項和值是：

值名稱：TcpMaxConnectResponseRetransmissions

建議的數值數據：2

有效值：0–255

說明：控制在響應一次SYN請求之後、在取消重傳嘗試之前SYN-ACK的重傳次數。

值名稱：TcpMaxDataRetransmissions

建議的數值數據：2

有效值：0–65535

說明：指定在終止連接之前TCP重傳一個數據段（不是連接請求段）的次數。

值名稱：EnablePMTUDiscovery

建議的數值數據：0

有效值：0,1

說明：将該值設置為1（默認值）可強制TCP查找在通向遠程主機的路徑上的最大傳輸單元或最大數據包大小。攻擊者可能将數據包強制分段，這會使堆棧不堪重負。

對于不是來自本地子網的主機的連接，将該值指定為0可将最大傳輸單元強制設為576字節。

值名稱：KeepAliveTime

建議的數值數據：300000

有效值：80–4294967295

說明：指定TCP嘗試通過發送持續存活的數據包來驗證空閑連接是否仍然未被觸動的頻率。

值名稱：NoNameReleaseOnDemand

建議的數值數據：1

有效值：0,1

說明：指定計算機在收到名稱發布請求時是否發布其NetBIOS名稱。

抵禦ICMP攻擊

這一部分的命名值都位于注冊表項HK

LMSystemCurrentControlSetServicesAFDParameters的下面

值：EnableICMPRedirect

建議的數值數據：0

有效值：0（禁用），1（啟用）

說明：通過将此注冊表值修改為0，能夠在收到ICMP重定向數據包時禁止創建高成本的主機路由。

抵禦SNMP攻擊

這一部分的命名值位于注冊表項HKLMSystemCurrentControlSetServicesTcpipParameters的下面。

值：EnableDeadGWDetect

建議的數值數據：0

有效值：0（禁用），1（啟用）

說明：禁止攻擊者強制切換到備用網關

AFD.SYS保護

下面的注冊表項指定内核模式驅動程序Afd.sys的參數。Afd.sys用于支持Windows Sockets應用程序。這一部分的所有注冊表項和值都位于注冊表項HKLMSystemCurrentControlSetServicesAFDParameters的下面。這些注冊表項和值是：

值EnableDynamicBacklog

建議的數值數據：1

有效值：0（禁用），1（啟用）

說明：指定AFD.SYS功能，以有效處理大量的SYN_RCVD連接。有關詳細信息，請參閱“Internet Server Unavailable Because of Malicious SYN Attacks”，

值名稱：MinimumDynamicBacklog

建議的數值數據：20

有效值：0–4294967295

說明：指定在偵聽的終結點上所允許的最小空閑連接數。如果空閑連接的數目低于該值，線程将被排隊，以創建更多的空閑連接

值名稱：MaximumDynamicBacklog

建議的數值數據：20000

有效值：0–4294967295

說明：指定空閑連接以及處于SYN_RCVD狀态的連接的最大總數。

值名稱：DynamicBacklogGrowthDelta

建議的數值數據：10

有效值：0–4294967295

默認情況下是否出現：否

說明：指定在需要增加連接時将要創建的空閑連接數。

其他保護

這一部分的所有注冊表項和值都位于注冊表項HKLMSystemCurrentControlSetServicesTcpipParameters的下面。

保護屏蔽的網絡細節

網絡地址轉換（NAT）用于将網絡與傳入連接屏蔽開來。攻擊者可能規避此屏蔽，以便使用IP源路由來确定網絡拓撲。

值：DisableIPSourceRouting

建議的數值數據：1

有效值：0（轉發所有數據包），1（不轉發源路由數據包），2（丢棄所有傳入的源路由數據包）。

說明：禁用IP源路由，後者允許發送者确認數據報在網絡中應采用的路由。

避免接受數據包片段

處理數據包片段可以是高成本的。雖然拒絕服務很少來自外圍網絡内，但此設置能防止處理數據包片段。

值：EnableFragmentChecking

建議的數值數據：1

有效值：0（禁用），1（啟用）

說明：禁止IP堆棧接受數據包片段。

切勿轉發去往多台主機的數據包

多播數據包可能被多台主機響應，從而導緻響應淹沒網絡。

值：EnableMulticastForwarding

建議的數值數據：0

有效範圍：0（false），1（true）

說明：路由服務使用此參數來控制是否轉發IP多播。此參數由路由和遠程訪問服務創建。

隻有防火牆可以在網絡間轉發數據包

多主機服務器切勿在它所連接的網絡之間轉發數據包。明顯的例外是防火牆。

值：IPEnableRouter

建議的數值數據：0

有效範圍：0（false），1（true）

說明：将此參數設置為1（true）會使系統在它所連接的網絡之間路由IP數據包。

屏蔽網絡拓撲結構細節

可以使用ICMP數據包請求主機的子網掩碼。隻洩漏此信息是無害的；但是，可以利用多台主機的響應來了解内部網絡的情況。

值：EnableAddrMaskReply

建議的數值數據：0

有效範圍：0（false），1（true）

說明：此參數控制計算機是否響應ICMP地址屏蔽請求。

缺陷

在測試這些值的變化時，請參照在産品中所期望的網絡流量進行測試。這些設置會修改被認為正常并偏離了測試默認值的項目的阈值。一些阈值可能由于範圍太小而無法在客戶端的連接速度劇烈變化時可靠地支持客戶端。

攻擊原理

拒絕服務攻擊即攻擊者想辦法讓目标機器停止提供服務或資源訪問。這些資源包括磁盤空間、内存、進程甚至網絡帶寬，從而阻止正常用戶的訪問。

其實對網絡帶寬進行的消耗性攻擊隻是拒絕服務攻擊的一小部分，隻要能夠對目标造成麻煩，使某些服務被暫停甚至主機死機，都屬于拒絕服務攻擊。

拒絕服務攻擊問題也一直得不到合理的解決，究其原因是因為這是由于網絡協議本身的安全缺陷造成的，從而拒絕服務攻擊也成為了攻擊者的終極手法。

攻擊者進行拒絕服務攻擊，實際上讓服務器實現兩種效果：一是迫使服務器的緩沖區滿，不接收新的請求；二是使用IP欺騙，迫使服務器把合法用戶的連接複位，影響合法用戶的連接。

DDOS（分布式拒絕服務）：凡是能導緻合法用戶不能夠訪問正常網絡服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明确，就是要阻止合法用戶對正常網絡資源的訪問，從而達成攻擊者不可告人的目的。

雖然同樣是拒絕服務攻擊，但是DDOS和DOS還是有所不同，DDOS的攻擊策略側重于通過很多“僵屍主機”（被攻擊者入侵過或可間接利用的主機）向受害主機發送大量看似合法的網絡包。

從而造成網絡阻塞或服務器資源耗盡而導緻拒絕服務，分布式拒絕服務攻擊一旦被實施，攻擊網絡包就會猶如洪水般湧向受害主機，從而把合法用戶的網絡包淹沒，導緻合法用戶無法正常訪問服務器的網絡資源。

因此，拒絕服務攻擊又被稱之為“洪水式攻擊”，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。

而DOS則側重于通過對主機特定漏洞的利用攻擊導緻網絡棧失效、系統崩潰、主機死機而無法提供正常的網絡服務功能。

從而造成拒絕服務，常見的DOS攻擊手段有T earDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。

就這兩種拒絕服務攻擊而言，危害較大的主要是DDOS攻擊，原因是很難防範，至于DOS攻擊，通過給主機服務器打補丁或安裝防火牆軟件就可以很好地防範DDOS的表現形式主要有兩種。

一種為流量攻擊，主要是針對網絡帶寬的攻擊，即大量攻擊包導緻網絡帶寬被阻塞，合法網絡包被虛假的攻擊包淹沒而無法到達主機。

另一種為資源耗盡攻擊，主要是針對服務器主機的攻擊，即通過大量攻擊包導緻主機的内存被耗盡或CPU被内核及應用程序占完，造成的無法提供網絡服務。

如何判斷網站是否遭受了流量攻擊可通過Ping命令來測試，若發現Ping超時或丢包嚴重（假定平時是正常的），則可能遭受了流量攻擊，此時若發現和你的主機接在同一交換機上的服務器也訪問不了，基本可以确定是遭受了流量攻擊。

當然，這樣測試的前提是你到服務器主機之間的ICMP協議沒有被路由器和防火牆等設備屏蔽，否則可采取T elnet主機服務器的網絡服務端口來測試，效果是一樣的。

不過有一點可以肯定，假如平時Ping你的主機服務器和接在同一交換機上的主機服務器都是正常的，突然都Ping不通了或者是嚴重丢包。

那麼假如可以排除網絡故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現象是，一旦遭受流量攻擊，會發現用遠程終端連接網站服務器會失敗。

相對于流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時Ping網站主機和訪問網站都是正常的，發現突然網站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊。

此時若在服務器上用Nistat-na命令觀察到有大量的SYN_RECEIVED、TIME_W AIT、FIN_W AIT_1等狀态存在，而EST BLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。

還有一種屬于資源耗盡攻擊的現象是，Ping自己的網站主機Ping不通或者是丢包嚴重，而Ping與自己的主機在同一交換機上的服務器則正常。

造成這種原因是網站主機遭受攻擊後導緻系統内核或某些應用程序CPU利用率達到100%無法回應Ping命令，其實帶寬還是有的，否則就Ping不通接在同一交換機上的主機了。

攻擊手段

SYN/ACK Flood攻擊

這種攻擊方法是經典最有效的DDOS方法，可通殺各種系統的網絡服務，主要是通過向受害主機發送大量僞造源IP和源端口的SYN或ACK包，導緻主機的緩存資源被耗盡或忙于發送回應包而造成拒絕服務。

由于源都是僞造的故追蹤起來比較困難，缺點是實施起來有一定難度，需要高帶寬的僵屍主機支持。

少量的這種攻擊會導緻主機服務器無法訪問，但卻可以Ping的通，在服務器上用Netstat-na命令會觀察到存在大量的SYN_RECEIVED狀态，

大量的這種攻擊會導緻Ping失敗、TCP/IP棧失效，并會出現系統凝固現象，即不響應鍵盤和鼠标。普通防火牆大多無法抵禦此種攻擊。

TCP全連接攻擊

這種攻擊是為了繞過常規防火牆的檢查而設計的，一般情況下，常規防火牆大多具備過濾T earDrop、Land等DOS攻擊的能力。

但對于正常的TCP連接是放過的，殊不知很多網絡服務程序（如：IIS、Apache等W eb服務器）能接受的TCP連接數是有限的，一旦有大量的TCP連接，即便是正常的，也會導緻網站訪問非常緩慢甚至無法訪問。

TCP全連接攻擊就是通過許多僵屍主機不斷地與受害服務器建立大量的TCP連接，直到服務器的内存等資源被耗盡而被拖跨，從而造成拒絕服務。

這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的，缺點是需要找很多僵屍主機，并且由于僵屍主機的IP是暴露的，因此容易被追蹤。

刷Script腳本攻擊

這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調用MSSQLServer、MySQLServer、Oracle等數據庫的網站系統而設計的。

特征是和服務器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用。

一般來說，提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的，而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的。

常見的數據庫服務器很少能支持數百個查詢指令同時執行，而這對于客戶端來說卻是輕而易舉的，因此攻擊者隻需通過Proxy代理向主機服務器大量遞交查詢指令，隻需數分鐘就會把服務器資源消耗掉而導緻拒絕服務。

常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接數據庫失敗、數據庫主程序占用CPU偏高。

這種攻擊的特點是可以完全繞過普通的防火牆防護，輕松找一些Proxy代理就可實施攻擊，缺點是對付隻有靜态頁面的網站效果會大打折扣，并且有些Proxy會暴露攻擊者的IP地址。

抵禦DDOS

僅僅依靠某種系統或産品防住DDOS是不現實的，可以肯定的是，完全杜絕DDOS是不可能的。

但通過适當的措施抵禦90%的DDOS攻擊是可以做到的，基于攻擊和防禦都有成本開銷的緣故，若通過适當的辦法增強了抵禦DDOS的能力，也就意味着加大了攻擊者的攻擊成本。

那麼絕大多數攻擊者将無法繼續下去而放棄，也就相當于成功的抵禦了DDOS攻擊。

防禦基礎

總體來說，對DoS和DDoS的防範主要從下面幾個方面考慮：

盡可能對系統加載最新補丁，并采取有效的合規性配置，降低漏洞利用風險；

采取合适的安全域劃分，配置防火牆、入侵檢測和防範系統，減緩攻擊。

采用分布式組網、負載均衡、提升系統容量等可靠性措施，增強總體服務能力。

參考措施

采用高性能的網絡設備引

首先要保證網絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火牆等設備的時候要盡量選用知名度高、口碑好的産品

再就是假如和網絡提供商有特殊關系或協議的話就更好了，當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

盡量避免NAT的使用

無論是路由器還是硬件防護牆設備要盡量避免采用網絡地址轉換NAT的使用，因為采用此技術會較大降低網絡通信能力，其實原因很簡單。

因為NAT需要對地址來回轉換，轉換過程中需要對網絡包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。

充足的網絡帶寬保證

網絡帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什麼措施都很難對抗當今的SYNFlood攻擊，至少要選擇100M的共享帶寬，最好的當然是挂在1000M的主幹上了。

但需要注意的是，主機上的網卡是1000M的并不意味着它的網絡帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬。

因為網絡服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。

升級主機服務器硬件

在有網絡帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務器的配置至少應該為：P42.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和内存。

若有志強雙CPU的話就用它吧，内存一定要選擇DDR的高速内存，硬盤要盡量選擇SCSI的，别隻貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。

把網站做成靜态頁面

大量事實證明，把網站盡可能做成靜态頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到為止關于HTML的溢出還沒出現，新浪、搜狐、網易等門戶網站主要都是靜态頁面。

若你非需要動态腳本調用，那就把它弄到另外一台單獨主機去，免的遭受攻擊時連累主服務器，當然，适當放一些不做數據庫調用腳本還是可以的。

此外，最好在需要調用數據庫的腳本中拒絕使用代理的訪問，因為經驗表明使用代理訪問你網站的80%屬于惡意行為。

分布式拒絕服務攻擊