我们知道,服务器对外提供服务,基本上都是放置在公网上的。所以说服务器放置在公网上会面临很多攻击,如果不做好必要的防护措施,服务器被人攻击只是时间上的问题。
而我们面临的众多攻击中,DDoS攻击是最常见同时也是影响较大的攻击。DDoS是分布式拒绝服务攻击,发起攻击者会将很多台电脑联在一起对同一台服务器进行请求。因为每一台服务器其实都是有资源、宽带和计算上的瓶颈的,特别是一些带宽小、内存小、CPU计算能力低的服务器在面临较多请求时,服务器负载瞬间上涨、带宽被占满,导致其它服务器无法处理其它合法用户的正常请求。
从本质上说,DDoS带来的请求也是正常请求,所以DDoS防护较难。但是,如果我们把服务器的真实IP隐藏起来,那可以很大程度减小DDoS攻击的可能。
有哪些手段可以隐藏服务器真实的IP呢,我觉得主要有以下几种方案:
1、禁用服务器ICMP回显响应
互联网上的服务器众多,一般情况下我们在公网上的服务器被人发现是要一段时间的,攻击者会通过IP段来扫描存活的机器,一旦扫描到某个IP时有回显,说明此IP是存活的,就会被攻击者记录下来,所以我们要关闭回显功能,这样别人扫描时服务器没有响应,可以避免被人发现。
不管是WindowsServer还是Linux都可以通过防火墙来关闭ICMP回显功能。
WindowsServer *** 作方法:
控制面板》查看方式“大图标”》Windows防火墙》左侧“高级设置”》入站规则》找到“文件和打印机共享(回显请求-ICMPv4-In)”和“文件和打印机共享(回显请求-ICMPv6-In)”双击,然后选中“已启用”和“阻止连接”,示:
Linux服务器 *** 作方法:
#vi/etc/sysconfig/iptables
添加几条规则,示:
2、利用CDN隐藏源站真实IP
CDN本来是内容分发用的,主要用来做资源加速的,但是CDN本身上也算是一种代理服务器,所以可以隐藏源站的IP。另外CDN节点都带有一定的防护功能,所以DDoS攻击时,CDN可以帮我们分担很多的流量,这样对于源站影响就较小了。
3、使用高防IP
通过主防IP转发,这样就能隐藏源服真实IP。
域名解析的ip,在用肉鸡流量攻击是用你得ip的,用你的域名找到你的ip,所谓的防御基本没用。普普通通的黑客想攻击你服务器都得达到20G。所谓的防御不过是化解流量,而真正能化解流量的方法就是超大的带宽,但是带宽是相当昂贵的,只有国家安全局,国防部用的起!那些所谓的大网络公司包括国内知名的这些公司也没有那么牛的带宽。不过要想防止被攻击保存数据不受影响只有在维护和技术方面做好工作。我是科誉网络的久久有问题需要可以找我。调整主机、路由器、防火墙的访问规则尽量严格 而且要注意限制服务器对外访问 以防被攻击变成工具…… 从问题根本考虑应尽快建立负载均衡机制!如有富余的IP资源,可以更换一个新的IP地址,将网站域名指向该新IP;
停用80端口,使用如81或其它端口提供>
谈及DDoS防御,先来说明下什么是DDoS攻击。
简单来说,就是攻击者借助于公网,将数量极其庞大的计算机设备集合起来作为攻击平台,对一个或者多个目标发起攻击,以达到瘫痪目标服务器的目的。
了解了DDoS的原理,那么就来浅谈下如何防御(本人不是专业应对网络攻击的人员,只是从事it行业,平时碰到过一次近似ddos的场景,所以只能说“浅谈”一下,笔者写过一篇关于ddos的文章,里面涉及了ddos的常见攻击方式,想要了解的可以去翻阅,这里不再详谈),下面进入正题。
1、经济条件允许的情况下,首选高性能网络服务器及专业防御平台,毕竟是专业性质的应对方案,比起我们自行考虑要安全、周全的多,当然毋庸置疑,价格肯定很昂贵了,中小型企业估计要望而却步;
2、别人攻击你的服务器,必然需要知道你的ip、dns之类的信息,比如,我们既然对外暴露自己的网站,那么可以尝试隐藏自身服务器的ip和变更dns,现在市面上还是有诸如百度、360之类的专业做安全防御的公司,他们会提供一些产品以达到上诉目的,当然,比起第一个方案确实要经济很多,也有一定呢防御效果;
3、我们自身可以做的事,比如监控到某些个异常ip一直高频访问,那么直接进行黑名单控制举行拒绝流量,同时我们的网站尽量静态化,越少的后端请求,被攻击的概率也就越低了;
4、另外,还看到过专业公司的一些解决方案,比如采用旁路部署等等,也有将防御提升到运营商层面的,在上游进行处理。
总而言之,我们既然处在互联网大环境下,就不可避免的可能会收到攻击威胁,网络中没有绝对的安全,只有尽可能的更安全,我们要做的是了解攻击者的原理和手段,从而采取相应的有效的措施,这才是上上之选。
游戏服务器被攻击都是很常见的,特别是游戏新上线时,都要承受住玩家突然猛增,被攻击等等。如果承受不住可能会直接宣布游戏倒闭。那么游戏服务器怎么防御?第一、确保游戏服务器系统安全。
服务器管理维护人员需要对服务器所有的项目进行检查,查看访问者是从哪里来的,然后查看网络和日志,通过日志分析有哪些可疑的流量。此外将一些不必要的服务及端口进行关闭,限制一些SYN半连接数,确保系统文件是最新的版本,然后系统的版本一定要更新到最新,将一些漏洞打上补丁。
第二、在骨干节点设置防火墙。
防火墙可以有效地抵御DDOS攻击,与其他服务器一样,高防服务器也需要设置相关的防火墙,对于一些攻击流量,可以牺牲一些主机,将一些恶意流量引导出去,保证游戏服务器的正常运行,同时处理这些恶意流量。
第三、接入专业游戏高防
接入专业游戏高防,通过与具备强大安全防护能力的安全厂商进行合作,在短时间内补齐短板,提升对抗能力,不仅可以防御各种DDOS和CC攻击,同时还能帮助游戏加速,从而更好的优化玩家的体验。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)