伺服器如何防止洪流攻擊

A. 關於伺服器安全你了解多少伺服器流量攻擊怎麼防禦

伺服器流量攻擊怎麼防禦?伺服器是為網路提供計算服務的設備，在企業網站中起著重要的作用。所以平時一定要注重對伺服器安全問題。如何防範伺服器被攻擊呢?

伺服器被攻擊的常見方式有兩種：一種是CC，一種是ddos。如果是CC攻擊方式，機房技術會根據攻擊的類型及時調整策略，CDN的服務在策略上可以先過一層，有效針對CC攻擊。

如果是DDOS，必須要機房有硬防才可以防禦，這個必須需要帶寬充足才可以解決的，同時CDN進行分流和清洗等。對於伺服器被攻擊並不是不可防範的，用戶在使用伺服器之前，銳速雲可以通過一些簡單的措施來提升伺服器的安全。

1、伺服器租用一定要把administrator禁用;禁止響應ICMP路由通告報文;禁用服務里的Workstation。

2、主機租用系統升級、打操作系統補丁，尤其是IIS6.0補丁、SQL SP3a補丁，甚至IE6.0補丁也要打，同時及時跟蹤最新漏洞補丁。

3、啟動系統自帶的Internet連接防火牆，在設置服務選項中勾選Web伺服器;阻止IUSR用戶提升許可權;防止SQL注入。

做好伺服器的ddos防禦措施，以防為主被攻擊還是很有必要的。若是黑客或者競爭對手要一直盯著你的伺服器或者網站，經常性的進行一些攻擊，那也是一件很要命的事情。

B. 如何防止伺服器被大流量攻擊

參考一下吧
由於DDoS攻擊往往採取合法的數據請求技術，再加上傀儡機器，造成DDoS攻擊成為目前最難防禦的網路攻擊之一。據美國最新的安全損失調查報告，DDoS攻擊所造成的經濟損失已經躍居第一。傳統的網路設備和周邊安全技術，例如防火牆和IDSs(Intrusion Detection Systems)， 速率限制，接入限制等均無法提供非常有效的針對DDoS攻擊的保護，需要一個新的體系結構和技術來抵禦復雜的DDoS拒絕服務攻擊。

DDoS攻擊揭秘

DDoS攻擊主要是利用了internet協議和internet基本優點——無偏差地從任何的源頭傳送數據包到任意目的地。

DDoS攻擊分為兩種：要麼大數據，大流量來壓垮網路設備和伺服器，要麼有意製造大量無法完成的不完全請求來快速耗盡伺服器資源。有效防止DDoS攻擊的關鍵困難是無法將攻擊包從合法包中區分出來：IDS進行的典型「簽名」模式匹配起不到有效的作用；許多攻擊使用源IP地址欺騙來逃脫源識別，很難搜尋特定的攻擊源頭。

有兩類最基本的DDoS攻擊：

● 帶寬攻擊：這種攻擊消耗網路帶寬或使用大量數據包淹沒一個或多個路由器、伺服器和防火牆；帶寬攻擊的普遍形式是大量表面看合法的TCP、UDP或ICMP數據包被傳送到特定目的地；為了使檢測更加困難，這種攻擊也常常使用源地址欺騙，並不停地變化。

● 應用攻擊：利用TCP和HTTP等協議定義的行為來不斷佔用計算資源以阻止它們處理正常事務和請求。HTTP半開和HTTP錯誤就是應用攻擊的兩個典型例子。

DDoS威脅日益致命

DDoS攻擊的一個致命趨勢是使用復雜的欺騙技術和基本協議，如HTTP，Email等協議，而不是採用可被阻斷的非基本協議或高埠協議，非常難識別和防禦，通常採用的包過濾或限制速率的措施只是通過停止服務來簡單停止攻擊任務，但同時合法用戶的請求也被拒絕，造成業務的中斷或服務質量的下降；DDoS事件的突發性，往往在很短的時間內，大量的DDoS攻擊數據就可是網路資源和服務資源消耗殆盡。

現在的DDoS防禦手段不夠完善

不管哪種DDoS攻擊，，當前的技術都不足以很好的抵禦。現在流行的DDoS防禦手段——例如黑洞技術和路由器過濾，限速等手段，不僅慢，消耗大，而且同時也阻斷有效業務。如IDS入侵監測可以提供一些檢測性能但不能緩解DDoS攻擊，防火牆提供的保護也受到其技術弱點的限制。其它策略，例如大量部署伺服器，冗餘設備，保證足夠的響應能力來提供攻擊防護，代價過於高昂。

黑洞技術

黑洞技術描述了一個服務提供商將指向某一目標企業的包盡量阻截在上游的過程，將改向的包引進「黑洞」並丟棄，以保全運營商的基礎網路和其它的客戶業務。但是合法數據包和惡意攻擊業務一起被丟棄，所以黑洞技術不能算是一種好的解決方案。被攻擊者失去了所有的業務服務，攻擊者因而獲得勝利。

路由器

許多人運用路由器的過濾功能提供對DDoS攻擊的防禦，但對於現在復雜的DDoS攻擊不能提供完善的防禦。

路由器只能通過過濾非基本的不需要的協議來停止一些簡單的DDoS攻擊，例如ping攻擊。這需要一個手動的反應措施，並且往往是在攻擊致使服務失敗之後。另外，現在的DDoS攻擊使用互聯網必要的有效協議，很難有效的濾除。路由器也能防止無效的或私有的IP地址空間，但DDoS攻擊可以很容易的偽造成有效IP地址。

基於路由器的DDoS預防策略——在出口側使用uRPF來停止IP地址欺騙攻擊——這同樣不能有效防禦現在的DDoS攻擊，因為uRPF的基本原理是如果IP地址不屬於應該來自的子網網路阻斷出口業務。然而，DDoS攻擊能很容易偽造來自同一子網的IP地址，致使這種解決法案無效。

本質上，對於種類繁多的使用有效協議的欺騙攻擊，路由器ACLs是無效的。包括：

● SYN、SYN-ACK、FIN等洪流。

● 服務代理。因為一個ACL不能辨別來自於同一源IP或代理的正當SYN和惡意SYN，所以會通過阻斷受害者所有來自於某一源IP或代理的用戶來嘗試停止這一集中欺騙攻擊。

● DNS或BGP。當發起這類隨機欺騙DNS伺服器或BGP路由器攻擊時，ACLs——類似於SYN洪流——無法驗證哪些地址是合法的，哪些是欺騙的。

ACLs在防禦應用層（客戶端）攻擊時也是無效的，無論欺騙與否，ACLs理論上能阻斷客戶端攻擊——例如HTTP錯誤和HTTP半開連接攻擊，假如攻擊和單獨的非欺騙源能被精確的監測——將要求用戶對每一受害者配置數百甚至數千ACLs，這其實是無法實際實施的。

防火牆

首先防火牆的位置處於數據路徑下游遠端，不能為從提供商到企業邊緣路由器的訪問鏈路提供足夠的保護，從而將那些易受攻擊的組件留給了DDoS 攻擊。此外，因為防火牆總是串聯的而成為潛在性能瓶頸，因為可以通過消耗它們的會話處理能力來對它們自身進行DDoS攻擊。

其次是反常事件檢測缺乏的限制，防火牆首要任務是要控制私有網路的訪問。一種實現的方法是通過追蹤從內側向外側服務發起的會話，然後只接收「不幹凈」一側期望源頭發來的特定響應。然而，這對於一些開放給公眾來接收請求的服務是不起作用的，比如Web、DNS和其它服務，因為黑客可以使用「被認可的」協議（如HTTP）。

第三種限制，雖然防火牆能檢測反常行為，但幾乎沒有反欺騙能力——其結構仍然是攻擊者達到其目的。當一個DDoS攻擊被檢測到，防火牆能停止與攻擊相聯系的某一特定數據流，但它們無法逐個包檢測，將好的或合法業務從惡意業務中分出，使得它們在事實上對IP地址欺騙攻擊無效。

IDS入侵監測

IDS解決方案將不得不提供領先的行為或基於反常事務的演算法來檢測現在的DDoS攻擊。但是一些基於反常事務的性能要求有專家進行手動的調整，而且經常誤報，並且不能識別特定的攻擊流。同時IDS本身也很容易成為DDoS攻擊的犧牲者。

作為DDoS防禦平台的IDS最大的缺點是它只能檢測到攻擊，但對於緩和攻擊的影響卻毫無作為。IDS解決方案也許能託付給路由器和防火牆的過濾器，但正如前面敘述的，這對於緩解DDoS攻擊效率很低，即便是用類似於靜態過濾串聯部署的IDS也做不到。

DDoS攻擊的手動響應

作為DDoS防禦一部份的手動處理太微小並且太緩慢。受害者對DDoS攻擊的典型第一反應是詢問最近的上游連接提供者——ISP、宿主提供商或骨幹網承載商——嘗試識別該消息來源。對於地址欺騙的情況，嘗試識別消息來源是一個長期和冗長的過程，需要許多提供商合作和追蹤的過程。即使來源可被識別，但阻斷它也意味同時阻斷所有業務——好的和壞的。

其他策略

為了忍受DDoS攻擊，可能考慮了這樣的策略，例如過量供應，就是購買超量帶寬或超量的網路設備來處理任何請求。這種方法成本效益比較低，尤其是因為它要求附加冗餘介面和設備。不考慮最初的作用，攻擊者僅僅通過增加攻擊容量就可擊敗額外的硬體，互聯網上上千萬台的機器是他們取之不凈的攻擊容量資源。

有效抵禦DDoS攻擊

從事於DDoS攻擊防禦需要一種全新的方法，不僅能檢測復雜性和欺騙性日益增加的攻擊，而且要有效抵禦攻擊的影響。

完整的DDoS保護圍繞四個關鍵主題建立：

1． 要緩解攻擊，而不只是檢測

2． 從惡意業務中精確辨認出好的業務，維持業務繼續進行，而不只是檢測攻擊的存在

3． 內含性能和體系結構能對上游進行配置，保護所有易受損點

4． 維持可靠性和成本效益可升級性

建立在這些構想上的DDoS防禦具有以下保護性質：

 通過完整的檢測和阻斷機制立即響應DDoS攻擊，即使在攻擊者的身份和輪廓不

斷變化的情況下。

 與現有的靜態路由過濾器或IDS簽名相比，能提供更完整的驗證性能。

 提供基於行為的反常事件識別來檢測含有惡意意圖的有效包。

 識別和阻斷個別的欺騙包，保護合法商務交易。

 提供能處理大量DDoS攻擊但不影響被保護資源的機制。

 攻擊期間能按需求布署保護，不會引進故障點或增加串聯策略的瓶頸點。

 內置智能只處理被感染的業務流，確保可靠性最大化和花銷比例最小化。

 避免依賴網路設備或配置轉換。

 所有通信使用標准協議，確保互操作性和可靠性最大化。

完整DDoS保護解決技術體系

基於檢測、轉移、驗證和轉發的基礎上實施一個完整DDoS保護解決方案來提供完全保護，通過下列措施維持業務不間斷進行：

1． 時實檢測DDoS停止服務攻擊攻擊。

2． 轉移指向目標設備的數據業務到特定的DDoS攻擊防護設備進行處理。

3． 從好的數據包中分析和過濾出不好的數據包，阻止惡意業務影響性能，同時允許合法業務的處理。

4． 轉發正常業務來維持商務持續進行。

C. 如何防止伺服器被DOSS流量攻擊.

1. 以攻擊時間段構建防禦體系

   這個分類方式核心是根據DDoS攻擊發起的過程而產生的，可以大致分為事前安全、事中抵抗、事後分析，然後分析總結出結論後，再進行下一輪的事情安全循環。
   

2. 以硬軟體構建DDoS防禦體系

   （1）硬體方面首先要保證網路設備不能成為瓶頸，需要力所能及地採用高性能的網路設備構建網路體系。因此選擇路由器、交換機、硬體防火牆等設備的時候要盡量選用知名度高、口碑好的產品。

   （2）保證有充足的網路帶寬支持。

   （3）對伺服器硬體進行升級或擴容，特別是伺服器的CPU和內存。

   （4）選擇部署DDOS硬體防火牆的機房，比如說：景安網路鄭州BGP機房

3. 以管理員職責構建DDoS防禦體系

   （1）從企業管理員來看，關閉不惜要的服務、限制無用的埠連接、及時更新系統補丁等常規伺服器安全配置。

   （2）從IDC來看，目前國內基本都是主機託管的方式進行網路運營的，所以面對DDoS的時候，IDC應該盡一份力，如機房部署硬體防火牆，增加機房帶寬的總出口等。

4. 以攻擊類型構建防禦體系
   

D. 網站伺服器被攻擊怎麼辦 如何防止被攻擊詳細解答

1、查看下是什麼類型的攻擊。檢查下系統日誌，看下攻擊者都去了哪些地方。
2、關閉不必要的服務和埠
3、整體掃描下伺服器，看下存在什麼問題， 有漏洞及時打補丁；檢查是否有影子賬戶，不是自己建立的賬號；內容是否又被修改的痕跡等，如果發現問題及時進行清理。
4、重新設置賬戶密碼，密碼設置的復雜些；以及設置賬戶許可權。
5、對伺服器上的安全軟體進行升級，或者是對防護參數進行重新設置，使他符合當時的環境。如果伺服器上沒有安裝防護軟體，可以看下伺服器安全狗和網站安全狗。還可以將伺服器添加到安全狗服雲平台上，這樣當有攻擊發生時，可以快速知道，並進行處理等。
6、檢測網站，是否又被掛馬、被篡改、掛黑鏈等，如果有，及時清理。
7、如果是大流量攻擊，可以看下DOSS流量清洗，這個很多安全廠商都有這個服務，包括安全狗，安全寶、加速樂等。
8、定期備份數據文件。如果之前有做備份，可以對重要數據進行替換。

E. 伺服器被惡意流量攻擊怎麼抵禦

在骨幹節點配置防火牆

防火牆本身能抵禦DdoS攻擊和其他一些攻擊。在發現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防範攻擊優秀的系統。

用足夠的機器承受黑客攻擊

這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數設備處於空閑狀態，和目前中小企業網路實際運行情況不相符。

充分利用網路設備保護網路資源

所謂網路設備是指路由器、防火牆等負載均衡設備，它們可將網路有效地保護起來。當網路被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經重啟後會恢復正常，而且啟動起來還很快，沒有什麼損失。若其他伺服器死掉，其中的數據會丟失，而且重啟伺服器又是一個漫長的過程。特別是一個公司使用了負載均衡設備，這樣當一台路由器被攻擊死機時，另一台將馬上工作。從而最大程度的削減了DdoS的攻擊。