网站维护：网站维护之服务器防范篇

　　网站维护中不可忽视的是服务器安全，arp攻击、ddos攻击都是黑客惯用的手段。那么如何抵御这些攻击以让服务器更好的运行呢？

轻松防御ARP
　　ARP，英文原义：Address Resolution Protocol ，中文释义：地址解析协议。ARP协议主要负责将局域网中的32位IP地址转换为对应的48位物理地址，即网卡的MAC地址。ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC是自己的ARP reply包或arp广播包（包括ARP request和ARP reply），都会接受并缓存。这就为ARP欺骗提供了可能。

　　服务器ARP欺骗攻击通俗的讲就是利用相同机房、同一局域网中的其它服务器，假冒ARP reply包或假冒ARP request甚至假冒中间人，将你服务器所发送和接受的所有数据全部指向假冒的服务器。这样做的目的很明显，因为被攻击服务器上的很多web请求发送代码都是明文的，一旦被对方获取解密，轻则服务器权限泄露，重则数据被偷窃，后果不堪设想。

　　这类攻击预防的措施相当多，最常见的可以采用IP、MAC地址和端口号三向绑定；或者采用更简单、成本更低廉的方式，安装arp防火墙，国内这类防火墙很多了，免费的如：金山arp防火墙，360arp防火墙。

有效抵抗DDOS
　　DDOS全名是Distribution Denial of service (分布式拒绝服务攻击)，DDoS攻击是在传统的DoS攻击基础之上衍生而来的，DDoS就是利用更多的傀儡机来发起进攻。其攻击理论是成千上万台甚至更多的僵尸电脑同时发送攻击数据包给要攻击的目标，因为被攻击的主机与网络带宽每秒钟处理攻击包的数量是有限的，在处理不过来的情况下就发生带宽堵死，使整条网络或服务器彻底瘫痪。

　　这类攻击方式已经找到了很多方法来应付。除了定期扫描电脑、及时安装系统补丁，多层次、多节点，尤其是关键节点设置防火墙外；最好的方式是充分利用网络设备保护网络资源，当DDoS攻击出现时时最先死掉的是路由器，而其他机器并没有死。因此，可以设置负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上开始工作，从而最大程度的削减了DdoS的攻击。当然，更好更安全的方式还是选择可靠的IDC（互联网数据中心）公司，或者多花些钱获取CDN（内容分发网络）网站加速服务。