伺服器被攻擊怎麼預防
❶ 如何防範伺服器被攻擊
在這個病毒黑客肆意侵略的互聯網時代,安全問題一直是人們心頭的一個大隱患。伺服器的安全性的涉及面很廣,但是安全登錄無疑是最基礎,最關鍵的環節,往往越是基礎的工作,就越容易被人們忽視,而病毒和黑客們就是從這些被人們忽視的細節下手,打得人們措手不及。壹基比小喻就如何保證伺服器登錄安全的問題提供幾條非常實用的防護手段,供大家參考。
1、定期掃描
要定期掃描現有的網路主節點,清查可能存在的安全漏洞,對新出現的漏洞及時進行清理。骨幹節點的計算機因為具有較高的帶寬,是黑客利用的最佳位置,因此對這些主機本身加強主機安全是非常重要的。而且連接到網路主節點的都是伺服器級別的計算機,所以定期掃描漏洞就變得更加重要了。
2、在骨幹節點配置防火牆
防火牆本身能抵禦DdoS攻擊和其他一些攻擊。在發現受到攻擊的時候,可以將攻擊導向一些犧牲主機,這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的,或者是linux以及unix等漏洞少和天生防範攻擊優秀的系統。
3、用足夠的機器承受攻擊
這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給攻擊,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失,或許未等用戶被攻死,黑客已無力支招兒了。不過此方法需要投入的資金比較多,平時大多數設備處於空閑狀態,和目前中小企業網路實際運行情況不相符。
4、充分利用網路設備保護網路資源
所謂網路設備是指路由器、防火牆等負載均衡設備,它們可將網路有效地保護起來。當網路被攻擊時最先死掉的是路由器,但其他機器沒有死。死掉的路由器經重啟後會恢復正常,而且啟動起來還很快,沒有什麼損失。若其他伺服器死掉,其中的數據會丟失,而且重啟伺服器又是一個漫長的過程。特別是一個公司使用了負載均衡設備,這樣當一台路由器被攻擊死機時,另一台將馬上工作。從而最大程度的削減了DdoS的攻擊。
5、過濾不必要的服務和埠
過濾不必要的服務和埠,即在路由器上過濾假IP……只開放服務埠成為目前很多伺服器的流行做法,例如WWW伺服器那麼只開放80而將其他所有埠關閉或在防火牆上做阻止策略。
6、檢查訪問者的來源
使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真,如果是假的,它將予以屏蔽。許多攻擊常採用假IP地址方式迷惑用戶,很難查出它來自何處。因此,利用Unicast Reverse Path Forwarding可減少假IP地址的出現,有助於提高網路安全性。
7、過濾所有RFC1918 IP地址
RFC1918 IP地址是內部網的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它們不是某個網段的固定的IP地址,而是Internet內部保留的區域性IP地址,應該把它們過濾掉。此方法並不是過濾內部員工的訪問,而是將攻擊時偽造的大量虛假內部IP過濾,這樣也可以減輕DdoS的攻擊。
8、限制SYN/ICMP流量
用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能佔有的最高頻寬,這樣,當出現大量的超過所限定的SYN/ICMP流量時,說明不是正常的網路訪問,而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防範DOS的方法,雖然目前該方法對於DdoS效果不太明顯了,不過仍然能夠起到一定的作用。
❷ 如何防範伺服器被攻擊
一,首先伺服器一定要把administrator禁用,設置一個陷阱賬號:"Administrator"把它許可權降至最低,然後給一套非常復雜的密碼,重新建立
一個新賬號,設置上新密碼,許可權為administraor
然後刪除最不安全的組件:
建立一個BAT文件,寫入
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32\u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
二,IIS的安全:
1、不使用默認的Web站點,如果使用也要將 將IIS目錄與系統磁碟分開。
2、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。
3、刪除系統盤下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、刪除不必要的IIS擴展名映射。
右鍵單擊「默認Web站點→屬性→主目錄→配置」,打開應用程序窗口,去掉不必要的應用程序映射。主要為.shtml, .shtm, .stm
5、更改IIS日誌的路徑
右鍵單擊「默認Web站點→屬性-網站-在啟用日誌記錄下點擊屬性
6、如果使用的是2000可以使用iislockdown來保護IIS,在2003運行的IE6.0的版本不需要。
八、其它
1、 系統升級、打操作系統補丁,尤其是IIS 6.0補丁、sql SP3a補丁,甚至IE 6.0補丁也要打。同時及時跟蹤最新漏洞補丁;
2、停掉Guest 帳號、並給guest 加一個異常復雜的密碼,把Administrator改名或偽裝!
3、隱藏重要文件/目錄
可以修改注冊表實現完全隱藏:「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi
-dden\SHOWALL」,滑鼠右擊 「CheckedValue」,選擇修改,把數值由1改為0
4、啟動系統自帶的Internet連接防火牆,在設置服務選項中勾選Web伺服器。
5、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery 值為0
NoNameReleaseOnDemand 值為1
EnableDeadGWDetect 值為0
KeepAliveTime 值為300,000
PerformRouterDiscovery 值為0
EnableICMPRedirects 值為0
6. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
7. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
8. 不支持IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
9、禁用DCOM:
運行中輸入 Dcomcnfg.exe。 回車, 單擊「控制台根節點」下的「組件服務」。 打開「計算機」子文件夾。
對於本地計算機,請以右鍵單擊「我的電腦」,然後選擇「屬性」。選擇「默認屬性」選項卡。
清除「在這台計算機上啟用分布式 COM」復選框。
10.禁用服務里的
Workstation 這服務開啟的話可以利用這個服務,可以獲取伺服器所有帳號.
11阻止IUSR用戶提升許可權
三,這一步是比較關鍵的(禁用CMD運行)
運行-gpedit.msc-管理模板-系統
-阻止訪問命令提示符
-設置
-已啟用(E)
-也停用命令提示符腳本處理嗎?
(是)
四,防止SQL注入
打開SQL Server,在master庫用查詢分析器執行以下語句:
exec sp_dropextendedproc 'xp_cmdshell'
使用了以上幾個方法後,能有效保障你的伺服器不會隨便被人黑或清玩家數據,當然我技術有限,有的高手還有更多方法入侵你的伺服器,這
需要大家加倍努力去學習防黑技術,也希望高手們對我的評論給予指點,修正出更好的解決方案,對玩家的數據做出更有力的保障~~~
❸ 當海外伺服器被惡意攻擊了如何應對
第一,對網站受到攻擊狀況進行評估。
評估網站被攻擊後的狀況,比如DDOS攻擊的次數及大小,然後做出相應的決策,確定是進行數據牽引還是關閉操作,又或者是需要找到相關的漏洞打補丁。Windows系統打上最新的補丁,然後就是mysql或者sql資料庫補丁,還有php以及IIS,serv-u就更不用說了,經常出漏洞的東西,還有就是有些IDC們使用的虛擬主機管理軟體。
第二,隱藏網站伺服器的IP地址。
使用CDN要求將網站域名解析為CDN自動生成的cname記錄值,而網站域名不解析為網站伺服器的IP地址。這樣,網站伺服器的IP地址就不會自然地暴露在公共網路上,從而避免了對網站伺服器的有針對性的攻擊,提高了網站伺服器的安全性。
第三,建立鏡像網站。
一些大型網站在伺服器受到攻擊時會建立一個鏡像網站,這樣可以通過設置301跳轉讓用戶可以正常的跳轉訪問,但是這個對搜索引擎並不友好,只是以防萬一出現被攻擊的狀況。
第四,建立預防DDOS策略。
被攻擊的類型比較多,建站DDOS防禦策略是從根本上解決網站被攻擊的問題。
第五,選擇高防伺服器。
高防伺服器的安全性較普通伺服器要高很多,選擇高防伺服器可以有效的避免網站被攻擊的情況。
❹ 雲伺服器被攻擊怎麼解決
想避免 DDOS 攻擊 ,務必先搞清楚 ,當今銷售市場 99 %的DDOS攻擊是對於 IP 以百G攻擊流量導致網路伺服器宕機,以便做到攻擊目地 ,因而 你務必防止伺服器ip泄漏並掩藏 源ip ,那樣黑客就無法找到源伺服器ip ,也沒法使用ddos有效地攻擊你。
根據隱藏源伺服器 IP 的思路 ,我們可以給網站做一個高防CDN ,既可加速 ,又可以預防 被DDOS 攻擊 。高防CDN 能夠做到掩藏源伺服器目地 。當查詢 IP 時只能查詢 高防cdn的節點 ,而CDN 節點這般之多。 即便他人想攻擊你,也必須得一個個的IP 去打,這樣造成的攻擊成本自然就提高 ,對他們來說完全不劃算 ,而且還未必能找到 。當然不僅要做到 源IP不暴露 在防禦上也是就近機房清洗 ,回源速度快 ,絲毫不影響用戶體驗 ,不過值得一提的是不要把域名直接解析到源站IP ,也不要用源伺服器 IP 直接進行訪問 。
許多網站管理員都等網址被攻擊了才上高防cdn ,因此沒用,由於另一方早已記住了你的ip ,直接繞過高防CND節點 。根據源ip攻擊你,怎樣防禦 ?所以在接入防護之前一定要確定源IP 是干凈的,否者就要申請更換公網IP
因此,避免伺服器遭受ddos攻擊的最好是方式就是說 把高防CDN布置在好,不能讓另一方 了解 你的源伺服器ip ,即便 高防cdn 其中一個節點被打死 ,還可以立即切換到互聯 數據高防cdn備用節點 上。
❺ 關於伺服器安全你了解多少伺服器流量攻擊怎麼防禦
伺服器流量攻擊怎麼防禦?伺服器是為網路提供計算服務的設備,∞在企業網站中起著重要的作用。所以平時一定要注重對伺服器安全問題。如何防範伺服器被攻擊呢?
伺服器被攻擊的常見方式有兩種:一種是CC,一種是ddos。如果是CC攻擊方式,機房技術會根據攻擊的類型及時調整策略,CDN的服務在策略上可以先過一層,有效針對CC攻擊。
如果是DDOS,必須要機房有硬防才可以防禦,這個必須需要帶寬充足才可以解決的,同時CDN進行分流和清洗等。對於伺服器被攻擊並不是不可防範的,用戶在使用伺服器之前,銳速雲可以通過一些簡單的措施來提升伺服器的安全。
1、伺服器租用一定要把administrator禁用;禁止響應ICMP路由通告報文;禁用服務里的Workstation。
2、主機租用系統升級、打操作系統補丁,尤其是IIS6.0補丁、SQL SP3a補丁,甚至IE6.0補丁也要打,同時及時跟蹤最新漏洞補丁。
3、啟動系統自帶的Internet連接防火牆,在設置服務選項中勾選Web伺服器;阻止IUSR用戶提升許可權;防止SQL注入。
做好伺服器的ddos防禦措施,以防為主被攻擊還是很有必要的。若是黑客或者競爭對手要一直盯著你的伺服器或者網站,經常性的進行一些攻擊,那也是一件很要命的事情。
酷酷雲伺服器為您誠意解答,伺服器租戶的選擇,酷酷雲值得信賴。
❻ 伺服器經常被攻擊,如何防範
互聯網高速發展,網站隨之而來伴隨著各種風險。很多網站的伺服器經常被攻擊,導致伺服器延遲、卡頓的現象。伺服器常被攻擊表明很可能存在安全漏洞,建議及時查找漏洞,安裝補丁、升級系統,並做好伺服器的日常防護。今天壹基比小喻為大家說一下網站伺服器經常被攻擊了怎麼辦?
1.設置復雜密碼
不要小看密碼設置,其對於保持在線安全和保護數據至關重要。創建復雜的雲服務密碼,字元越多,電腦就越難猜出。特殊字元、數字和字母的隨機組合要比姓名或生日更強。
2.殺毒和高防應用
為伺服器建立多道防線,殺毒程序通常可以在病毒感染電腦前識別並清除掉。專業的高防伺服器是應對攻擊的最好辦法,推薦西部數碼的ddos高防,可有效防禦各類ddos攻擊。
3.保持備份和更新
保持應用程序更新到最新版。如果網站是基於WordPress的,建議把不使用的插件卸載或完全刪除,而不只是禁用。在更新之前備份重要數據。另外,仔細檢查文件許可權,誰有何種級別的許可權。
4.部署SSL證書
網站最好使用SSL證書。超過一半以上的網站已經加密了,不要落下。在網頁上如需提交敏感信息,優先檢查網站域名前是否是https。瀏覽器會在這種鏈接前顯示一個綠色鎖圖標。
5.資料庫避免敏感信息
存在資料庫里的身份證和銀行卡信息是易受攻擊和盜取的目標。所以,建議不要把此類信息存儲在資料庫中。
❼ 如何防止伺服器被惡意網路攻擊
1.在各個地區部署代理ip的節點,使訪問者能夠迅速連接到附近的節點,使訪問者能夠更快地訪問網站,CDN緩存能夠進一步提高網站的訪問速度,減輕對網站伺服器的壓力,提高網站伺服器的穩定性。
2.代理ip的防禦機制並非一種固定的防禦策略。針對各種攻擊類型,可以更好的阻斷清理攻擊,針對網站的攻擊類型,採取針對性的防禦策略。
3.網站伺服器隱藏在後端,代理ip節點部署在前端,訪問者訪問或攻擊與代理ip節點連接,代理ip的防禦機制自動識別是否為攻擊,如果有,則自動清洗過濾。
4.將網站域名分析為代理ip自動生成的CNAME記錄值,並修改網站域名分析,網站域名未分析為網站伺服器IP,從而使網站伺服器IP地址隱藏在公共網路中。
❽ 伺服器經常被ddos攻擊怎麼辦
DDOS攻擊全稱分布式拒絕服務(Distributed
Denial of
Service)攻擊指藉助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平台,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者將攻擊程序通過代理程序安裝在網路上的各個「肉雞」上,代理程序收到指令時就發動攻擊。
2、系統資源優化合理優化系統,避免系統資源的浪費,盡可能減少計算機執行少的進程,更改工作模式,刪除不必要的中斷讓機器運行更有效,優化文件位置使數據讀寫更快,空出更多的系統資源供用戶支配,以及減少不必要的系統載入項及自啟動項,提高web伺服器的負載能力。
3、過濾不必要的服務和埠禁止未用的服務,將開放埠的數量最小化十分重要。埠過濾模塊通過開放或關閉一些埠,允許用戶使用或禁止使用部分服務,對數據包進行過濾,分析埠,判斷是否為允許數據通信的埠,然後做相應的處理。
4、限制特定的流量檢查訪問來源並做適當的限制,以防止異常、惡意的流量來襲,限制特定的流量,主動保護網站安全。目前,DDOS攻擊並沒有最好的根治之法,做不到徹底防禦,只能採取各種手段在一定程度上減緩攻擊傷害。所以平時伺服器的運維工作還是要做好基本的保障,並借鑒上述方案,將DDOS攻擊帶來的損失盡量降低到最小。
❾ 伺服器被ddos攻擊如何防禦
首先,用戶要去嘗試了解攻擊來自於何處,原因是黑客在攻擊時所調用的IP地址並不一定是真實的,一旦掌握了真實的地址段,可以找到相應的碼段進行隔離,或者臨時過濾。同時,如果連接核心網的埠數量有限,也可以將埠進行屏蔽。
相較被攻擊之後的疲於應對,有完善的安全機制無疑要更好。有些人可能會選擇大規模部署網路基礎設施,但這種辦法只能拖延黑客的攻擊進度,並不能解決問題。與之相比的話,還不如去「屏蔽」那些區域性或者說臨時性的地址段,減少受攻擊的風險面。
此外,還可以在骨幹網、核心網的節點設置防護牆,這樣在遇到大規模攻擊時,可以讓主機減少被直接攻擊的可能。考慮到核心節點的帶寬通常較高,容易成為黑客重點攻擊的位置,所以定期掃描現有的主節點,發現可能導致風險的漏洞,就變得非常重要。
❿ 怎麼防禦DDoS攻擊
一.網路設備設施
網路架構、設施設備是整個系統得以順暢運作的硬體基礎,用足夠的機器、容量去承受攻擊,充分利用網路設備保護網路資源是一種較為理想的應對策略,說到底攻防也是雙方資源的比拼,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失。相應地,投入資金也不小,但網路設施是一切防禦的基礎,需要根據自身情況做出平衡的選擇。
1. 擴充帶寬硬抗
網路帶寬直接決定了承受攻擊的能力,國內大部分網站帶寬規模在10M到100M,知名企業帶寬能超過1G,超過100G的基本是專門做帶寬服務和抗攻擊服務的網站,數量屈指可數。但DDoS卻不同,攻擊者通過控制一些伺服器、個人電腦等成為肉雞,如果控制1000台機器,每台帶寬為10M,那麼攻擊者就有了10G的流量。當它們同時向某個網站發動攻擊,帶寬瞬間就被占滿了。增加帶寬硬防護是理論最優解,只要帶寬大於攻擊流量就不怕了,但成本也是難以承受之痛,國內非一線城市機房帶寬價格大約為100元/M*月,買10G帶寬頂一下就是100萬,因此許多人調侃拼帶寬就是拼人民幣,以至於很少有人願意花高價買大帶寬做防禦。
2. 使用硬體防火牆
許多人會考慮使用硬體防火牆,針對DDoS攻擊和黑客入侵而設計的專業級防火牆通過對異常流量的清洗過濾,可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果網站飽受流量攻擊的困擾,可以考慮將網站放到DDoS硬體防火牆機房。但如果網站流量攻擊超出了硬防的防護范圍(比如200G的硬防,但攻擊流量有300G),洪水瞞過高牆同樣抵擋不住。值得注意一下,部分硬體防火牆基於包過濾型防火牆修改為主,只在網路層檢查數據包,若是DDoS攻擊上升到應用層,防禦能力就比較弱了。
3. 選用高性能設備
除了防火牆,伺服器、路由器、交換機等網路設備的性能也需要跟上,若是設備性能成為瓶頸,即使帶寬充足也無能為力。在有網路帶寬保證的前提下,應該盡量提升硬體配置。
二、有效的抗D思想及方案
硬碰硬的防禦偏於「魯莽」,通過架構布局、整合資源等方式提高網路的負載能力、分攤局部過載的流量,通過接入第三方服務識別並攔截惡意流量等等行為就顯得更加「理智」,而且對抗效果良好。
4. 負載均衡
普通級別伺服器處理數據的能力最多隻能答復每秒數十萬個鏈接請求,網路處理能力很受限制。負載均衡建立在現有網路結構之上,它提供了一種廉價有效透明的方法擴展網路設備和伺服器的帶寬、增加吞吐量、加強網路數據處理能力、提高網路的靈活性和可用性,對DDoS流量攻擊和CC攻擊都很見效。CC攻擊使伺服器由於大量的網路傳輸而過載,而通常這些網路流量針對某一個頁面或一個鏈接而產生。在企業網站加上負載均衡方案後,鏈接請求被均衡分配到各個伺服器上,減少單個伺服器的負擔,整個伺服器系統可以處理每秒上千萬甚至更多的服務請求,用戶訪問速度也會加快。
5. CDN流量清洗
CDN是構建在網路之上的內容分發網路,依靠部署在各地的邊緣伺服器,通過中心平台的分發、調度等功能模塊,使用戶就近獲取所需內容,降低網路擁塞,提高用戶訪問響應速度和命中率,因此CDN加速也用到了負載均衡技術。相比高防硬體防火牆不可能扛下無限流量的限制,CDN則更加理智,多節點分擔滲透流量,目前大部分的CDN節點都有200G 的流量防護功能,再加上硬防的防護,可以說能應付目絕大多數的DDoS攻擊了。這里我們推薦一款高性比的CDN產品:網路雲加速,非常適用於中小站長防護。相關鏈接
6. 分布式集群防禦
分布式集群防禦的特點是在每個節點伺服器配置多個IP地址,並且每個節點能承受不低於10G的DDoS攻擊,如一個節點受攻擊無法提供服務,系統將會根據優先順序設置自動切換另一個節點,並將攻擊者的數據包全部返回發送點,使攻擊源成為癱瘓狀態,從更為深度的安全防護角度去影響企業的安全執行決策。