運維過濾伺服器的ip地址

⑴ 伺服器被攻擊後怎麼處理

1、發現伺服器被入侵，應立即關閉所有網站服務，暫停至少3小時。這時候很多站長朋友可能會想，不行呀，網站關閉幾個小時，那該損失多大啊，可是你想想，是一個可能被黑客修改的釣魚網站對客戶的損失大，還是一個關閉的網站呢?你可以先把網站暫時跳轉到一個單頁面，寫一些網站維護的的公告。
2、下載伺服器日誌，並且對伺服器進行全盤殺毒掃描。這將花費你將近1-2小時的時間，但是這是必須得做的事情，你必須確認黑客沒在伺服器上安裝後門木馬程序，同時分析系統日誌，看黑客是通過哪個網站，哪個漏洞入侵到伺服器來的。找到並確認攻擊源，並將黑客掛馬的網址和被篡改的黑頁面截圖保存下來，還有黑客可能留下的個人IP或者代理IP地址。
3、Windows系統打上最新的補丁，然後就是mysql或者sql資料庫補丁，還有php以及IIS，serv-u就更不用說了，經常出漏洞的東西，還有就是有些IDC們使用的虛擬主機管理軟體。
4、關閉刪除所有可疑的系統帳號，尤其是那些具有高許可權的系統賬戶!重新為所有網站目錄配置許可權，關閉可執行的目錄許可權，對圖片和非腳本目錄做無許可權處理。
5、完成以上步驟後，你需要把管理員賬戶密碼，以及資料庫管理密碼，特別是sql的sa密碼，還有mysql的root密碼，要知道，這些賬戶都是具有特殊許可權的，黑客可以通過他們得到系統許可權!
6、Web伺服器一般都是通過網站漏洞入侵的，你需要對網站程序進行檢查(配合上面的日誌分析)，對所有網站可以進行上傳、寫入shell的地方進行嚴格的檢查和處理。如果不能完全確認攻擊者通過哪些攻擊方式進行攻擊，那就重裝系統，徹底清除掉攻擊源。

⑵ 什麼伺服器運維管理系統好用

1. 伺服器運維管理系統的好壞取決於具體需求和使用場景。
2. 目前市場上推薦使用雲管理軟體，但這並非適用於所有情況。
3. 對於僅具備內網IP地址的伺服器，雲管理軟體可能無法使用，除非實施網路地址轉換(NAT)。
4. 我們通常不推薦將伺服器直接暴露在公網上，除非確實需要這樣做。
5. 針對內網環境的伺服器管理，有多種成熟軟體和新興解決方案可供選擇。
6. 近期體驗了寶塔面板，雖然遇到一些小問題但能夠自行解決，對於基本的管理需求是足夠的。
7. 在監控方面，Zabbix、Nagios、Cacti等工具均表現優秀。
8. 作為運維人員，應盡可能避免暴露不必要的埠，以降低系統風險。
9. 關注安全，謹慎操作，更多網路知識等你探索。

⑶ 中小型企業如何防禦ddos攻擊

一、尋找機會應對
如果已遭受攻擊，那所能做的防範工作是非常有限的，因為在未准備好的情況下，有大流量災難性攻擊沖向用戶，很可能在用戶還沒回過神之際，網路已經癱瘓。但是，用戶還是可以抓住機會尋求一線希望的。
檢查攻擊來源，通常黑客會通過很多假IP地址發起攻擊，此時，用戶若能夠分辨出哪些是真IP哪些是假IP地址，然後了解這些IP來自哪些網段，再找網網管理員將這些機器關閉，從而在第一時間消除攻擊。如果發現這些IP地址是來自外面的而不是公司內部的IP的話，可以採取臨時過濾的方法，將這些IP地址在伺服器或路由器上過濾掉。
找出攻擊者所經過的路由，把攻擊屏蔽掉。若黑客從某些埠發動攻擊，用戶可把這些埠屏蔽掉，以阻止入侵。不過此方法對於公司網路出口只有一個，而又遭受到來自外部的DDoS攻擊時不太奏效，畢竟將出口埠封閉後所有計算機都無法訪問internet了。
最後還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時他無法完全消除入侵，但是過濾掉ICMP後可以有效的防止攻擊規模的升級，也可以在一定程度上降低攻擊的級別。
二、預防為主
DoS攻擊是黑客最常用的攻擊手段，下面列出了對付它的一些常規方法：
1. 過濾所有RFC1918IP地址
RFC1918IP地址是內部網的IP地址，它們不是某個網段的固定的IP地址，而是Internet內部保留的區域性IP地址，應該把它們過濾掉。此方法並不是過濾內部員工的訪問，而是將攻擊時偽造的大量虛假內部IP過濾，這樣也可以減輕DDoS的攻擊。
2. 用足夠的機器承受黑客攻擊
是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數設備處於空閑狀態，和目前中小企業網路實際運行情況不相符。
3. 充分利用網路設備保護網路資源
所謂網路設備是指路由器、防火牆等負載均衡設備，它們可將網路有效地保護起來。當網路被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經重啟後會恢復正常，而且啟動起來還很快，沒有什麼損失。若其他伺服器死掉，其中的數據會丟失，而且重啟伺服器又是一個漫長的過程。特別是一個公司使用了負載均衡設備，這樣當一台路由器被攻擊死機時，另一台將馬上工作。從而最大程度的削減了DDoS的攻擊。
4. 配置防火牆
防火牆本身能抵禦DDoS攻擊和其他一些攻擊。在發現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux漏洞少和天生防範攻擊優秀的系統。
5. 限制SYN/ICMP流量
用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能佔有的最高頻寬，這樣，當出現大量的超過所限定的SYN/ICMP流量時，說明不是正常的網路訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防範DOS的方法，雖然目前該方法對於DDoS效果不太明顯了，不過仍然能夠起到一定的作用。
6. 定期掃描
要定期掃描現有的網路主節點，清查可能存在的安全漏洞，對新出現的漏洞及時進行清理。骨幹節點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網路主節點的都是伺服器級別的計算機，所以定期掃描漏洞就變得更加重要了。

⑷ 如何防範伺服器被攻擊

不管哪種DDoS攻擊，，當前的技術都不足以很好的抵禦。現在流行的DDoS防禦手段——例如黑洞技術和路由器過濾，限速等手段，不僅慢，消耗大，而且同時也阻斷有效業務。如IDS入侵監測可以提供一些檢測性能但不能緩解DDoS攻擊，防火牆提供的保護也受到其技術弱點的限制。其它策略，例如大量部署伺服器，冗餘設備，保證足夠的響應能力來提供攻擊防護，代價過於高昂。

黑洞技術

黑洞技術描述了一個服務提供商將指向某一目標企業的包盡量阻截在上游的過程，將改向的包引進「黑洞」並丟棄，以保全運營商的基礎網路和其它的客戶業務。但是合法數據包和惡意攻擊業務一起被丟棄，所以黑洞技術不能算是一種好的解決方案。被攻擊者失去了所有的業務服務，攻擊者因而獲得勝利。

路由器

許多人運用路由器的過濾功能提供對DDoS攻擊的防禦，但對於現在復雜的DDoS攻擊不能提供完善的防禦。

路由器只能通過過濾非基本的不需要的協議來停止一些簡單的DDoS攻擊，例如ping攻擊。這需要一個手動的反應措施，並且往往是在攻擊致使服務失敗之後。另外，現在的DDoS攻擊使用互聯網必要的有效協議，很難有效的濾除。路由器也能防止無效的或私有的IP地址空間，但DDoS攻擊可以很容易的偽造成有效IP地址。

基於路由器的DDoS預防策略——在出口側使用uRPF來停止IP地址欺騙攻擊——這同樣不能有效防禦現在的DDoS攻擊，因為uRPF的基本原理是如果IP地址不屬於應該來自的子網網路阻斷出口業務。然而，DDoS攻擊能很容易偽造來自同一子網的IP地址，致使這種解決法案無效。

防火牆

首先防火牆的位置處於數據路徑下游遠端，不能為從提供商到企業邊緣路由器的訪問鏈路提供足夠的保護，從而將那些易受攻擊的組件留給了DDoS攻擊。此外，因為防火牆總是串聯的而成為潛在性能瓶頸，因為可以通過消耗它們的會話處理能力來對它們自身進行DDoS攻擊。

其次是反常事件檢測缺乏的限制，防火牆首要任務是要控制私有網路的訪問。一種實現的方法是通過追蹤從內側向外側服務發起的會話，然後只接收「不幹凈」一側期望源頭發來的特定響應。然而，這對於一些開放給公眾來接收請求的服務是不起作用的，比如Web、DNS和其它服務，因為黑客可以使用「被認可的」協議（如HTTP）。

第三種限制，雖然防火牆能檢測反常行為，但幾乎沒有反欺騙能力——其結構仍然是攻擊者達到其目的。當一個DDoS攻擊被檢測到，防火牆能停止與攻擊相聯系的某一特定數據流，但它們無法逐個包檢測，將好的或合法業務從惡意業務中分出，使得它們在事實上對IP地址欺騙攻擊無效。

IDS入侵監測

IDS解決方案將不得不提供領先的行為或基於反常事務的演算法來檢測現在的DDoS攻擊。但是一些基於反常事務的性能要求有專家進行手動的調整，而且經常誤報，並且不能識別特定的攻擊流。同時IDS本身也很容易成為DDoS攻擊的犧牲者。

作為DDoS防禦平台的IDS最大的缺點是它只能檢測到攻擊，但對於緩和攻擊的影響卻毫無作為。IDS解決方案也許能託付給路由器和防火牆的過濾器，但正如前面敘述的，這對於緩解DDoS攻擊效率很低，即便是用類似於靜態過濾串聯部署的IDS也做不到。

DDoS攻擊的手動響應

作為DDoS防禦一部份的手動處理太微小並且太緩慢。受害者對DDoS攻擊的典型第一反應是詢問最近的上游連接提供者——ISP、宿主提供商或骨幹網承載商——嘗試識別該消息來源。對於地址欺騙的情況，嘗試識別消息來源是一個長期和冗長的過程，需要許多提供商合作和追蹤的過程。即使來源可被識別，但阻斷它也意味同時阻斷所有業務——好的和壞的。

⑸ 伺服器如何防禦ddos攻擊

一、確保伺服器系統安全

雲霸天下IDC高防IP

1、隱藏伺服器真實IP

2、關閉不必要的服務或埠

3、購買高防提高承受能力

4、限制SYN/ICMP流量

5、網站請求IP過濾

6、部署DNS智能解析

7、提供餘量帶寬

目前而言，DDOS攻擊並沒有最好的根治之法，做不到徹底防禦，只能採取各種手段在一定程度上減緩攻擊傷害。所以平時伺服器的運維工作還是要做好基本的保障。