服务器防御攻击,服务器如何防御ddos攻击

分布式拒绝服务(DDoS:Distributed Denial of 服务器防御攻击,服务器如何防御ddos攻击Service)攻击指借助于客户/服务器技术网站备案服务器防御攻击,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。   通常,攻击者将攻击程序通过代理程序安装在网络上的各个“肉鸡”上,代理程序收到指令时就发动攻击。   网络层攻击:比较典型的攻击类型是UDP反射攻击,例如:NTP Flood攻击,这类攻击主要利用大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。   传输层攻击:比较典型的攻击类型包括SYN Flood攻击、连接数攻击等,这类攻击通过占用服务器的连接池资源从而达到拒绝服务的目的。   会话层攻击:比较典型的攻击类型是SSL连接攻击,这类攻击占用服务器的SSL会话资源从而达到拒绝服务的目的。   应用层攻击:比较典型的攻击类型包括DNS flood攻击、}flood攻击、游戏假人攻击等,这类攻击占用服务器的应用处理资源极大的消耗服务器处理性能从而达到拒绝服务的目的。   这里我们分享一些在一定程度范围内,能够应对缓解DDOS攻击的策略方法,以供大家借鉴。   1、确保服务器的系统文件是最新的版本,并及时更新系统补丁。   2、管理员需对所有主机进行检查,知道访问者的来源。   3、关闭不必要的服务:在服务器上删除未使用的服务,关闭未使用的端口。   4、限制同时打开的SYN半连接数目,缩短SYN半连接的time out 时间,限制SYN/ICMP流量。   5、正确设置防火墙,在防火墙上运行端口映射程序或端口扫描程序。   6、认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。   7、限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,若黑客以特洛伊木马替换它,文件传输功能无疑会陷入瘫痪。   1、隐藏服务器真实IP   服务器防御DDOS攻击最根本的措施就是隐藏服务器真实IP地址。当服务器对外传送信息时就可能会泄露IP,例如,我们常见的使用服务器发送邮件功能就会泄露服务器的IP。   因而,我们在发送邮件时,需要通过第三方代理发送,这样子显示出来的IP是代理IP,因而不会泄露真实IP地址。在资金充足的情况下,可以选择高防服务器,且在服务器前端加CDN中转,所有的域名和子域都使用CDN来解析。   2、关闭不必要的服务或端口   这也是服务器运维人员最常用的做法。在服务器防火墙中,只开启使用的端口,比如网站web服务的80端口、数据库的3306端口、SSH服务的22端口等。关闭不必要的服务或端口,在路由器上过滤假IP。   3、购买高防提高承受能力   该措施是通过购买高防的盾机,锐速云提高服务器的带宽等资源,来提升自身的承受攻击能力。对于普通中小企业甚至不合适,且不被攻击时造成服务器资源闲置,所以这里不过多阐述。   4、限制SYN/ICMP流量   用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。   5、网站请求IP过滤   除了服务器之外,网站程序本身安全性能也需要提升。以小编自己的个人博客为例,使用CMS做的。系统安全机制里的过滤功能,通过限制单位时间内的POST请求、404页面等访问操作,来过滤掉次数过多的异常行为。虽然这对DDOS攻击没有明显的改善效果,但也在一定程度上减轻小带宽的恶意攻击。   6、部署DNS智能解析   通过智能解析的方式优化DNS解析,可以有效避免DNS流量攻击产生的风险。同时,建议您将业务托管至多家DNS服务商。   7、提供余量带宽   通过服务器性能测试,评估正常业务环境下所能承受的带宽和请求数。在购买带宽时确保有一定的余量带宽,可以避免遭受攻击时带宽大于正常使用量而影响正常用户的情况。   目前而言,DDOS攻击并没有最好的根治之法,做不到彻底防御,只能采取各种手段在一定程度上减缓攻击伤害。所以平时服务器的运维工作还是要做好基本的保障。   深圳市锐速云计算有限公司你身边的网络安全专家,主要为客户提供全球范围内抗DDoS攻击、防CC攻击、漏洞扫描、渗透测试、定制cdn加速、WEB应用防火墙、服务器租用、云计算、私有云、互联网疑难杂症解决方案综合服务!1、定期扫描现有的主网络节点,检查并清除可能的漏洞。由于主计算机节点是黑客获得更大带宽的最佳选择位置,因此对这些服务器来说,防DDOS维护安全非常重要。2、确保网络连接上有足够的带宽。只需拥有足够的带宽和处理能力,您就能够防止许多低规模DDoS攻击。3、在网络上部署入侵防御系统。某些DDoS攻击具有可识别的签名,IPS可以检测并使用这些签名来阻止请求到达Web服务器。4、使用DDoS防护工具,包括专门用于识别和阻止DDOS攻击的任何高防服务器。5、维护备份网络连接,并为关键用户提供单独的IP地址。虽然您无法将对网站的所有访问权限切换到备份连接,但如果主要电路被伪造的请求淹没,您可以为关键用户提供站点的备用路径。


本文出自快速备案,转载时请注明出处及相应链接。

本文永久链接: https://www.xiaosb.com/beian/23193/