新網(wǎng)知識社區(qū)
>
云服務資訊
>正文
服務器如何防ddos攻擊?攻擊服務器的方式有哪些?
分類:云服務資訊
編輯:聊聊云計算
瀏覽量:129
2021-04-27 14:09:01
現(xiàn)在的網(wǎng)絡技術在快速發(fā)展的同時,也使得網(wǎng)絡安全成為大家重點關注的問題,有很多的企業(yè)都出現(xiàn)了服務器遭受攻擊的情況,因此做好服務器的防護已經(jīng)成為重中之重的工作之一,在服務器所遭受的攻擊中,有一種ddos攻擊,它是比較常見的一種攻擊服務器的方式,那么服務器如何防ddos攻擊?攻擊服務器的方式有哪些呢?下面新網(wǎng)就給朋友們詳細的來說說關于防止被ddos攻擊的問題。
服務器如何防ddos
當高級攻擊者侵入開始緩存時,清潔設備將攔截HTTP請求并進行特殊處理。最簡單的方法是統(tǒng)計源IP的HTTP請求頻率,高于特定頻率的IP地址添加到黑名單中。該方法簡單,但是容易造成誤殺,并且不能阻止來自代理服務器的攻擊,因此逐漸被廢除。、、
另一種防御是DNS攻擊防御,也是跟HTTP的防御是很類似的。第一就是緩存咯,第二是重傳,這也許是由于直接丟棄DNS數(shù)據(jù)包,而導致UDP層重新發(fā)送請求而引起的哦。為了保護授權域DNS,設備會提取接收到的DNS域名列表和ISP DNS IP列表,以便在正常服務期間進行備份。這時發(fā)起攻擊,未包含在此列表中的請求將被丟棄,從而大大降低了性能壓力。對于域名,實現(xiàn)相同的域名白名單機制,非白名單中的域名解析請求被丟棄。
1.定期檢查服務器漏洞
定期檢查服務器軟件安全漏洞,是確保服務器安全的最基本措施。無論是操作系統(tǒng)(Windows或linux),還是網(wǎng)站常用應用軟件(mysql、Apache、nginx、FTP等),服務器運維人員要特別關注這些軟件的最新漏洞動態(tài),出現(xiàn)高危漏洞要及時打補丁修補。
2.隱藏服務器真實IP
通過CDN節(jié)點中轉加速服務,可以有效的隱藏網(wǎng)站服務器的真實IP地址。CDN服務根據(jù)網(wǎng)站具體情況進行選擇,對于普通的中小企業(yè)站點或個人站點可以先使用免費的CDN服務,待網(wǎng)站流量提升了,需求高了之后,再考慮付費的CDN服務。
3.關閉不必要的服務或端口
這也是服務器運維人員最常用的做法。在服務器防火墻中,只開啟使用的端口,比如網(wǎng)站web服務的80端口、數(shù)據(jù)庫的3306端口、SSH服務的22端口等。關閉不必要的服務或端口,在路由器上過濾假IP。
4.購買高防提高承受能力
該措施是通過購買高防的盾機,提高服務器的帶寬等資源,來提升自身的承受攻擊能力。一些知名IDC服務商都有相應的服務提供,比如阿里云、騰訊云等。但該方案成本預算較高,對于普通中小企業(yè)甚至個人站長并不合適,且不被攻擊時造成服務器資源閑置。
攻擊服務器的方式有哪些?
1、TCP SYN/ACK反射面進攻
TCP反射面ddos進攻就是指網(wǎng)絡攻擊向一切種類的TCP服務項目推送蒙騙數(shù)據(jù)文件,使其看上去源于受害人的ip地址,這促使TCP服務項目向受害人的ip地址發(fā)送SYN / ACK數(shù)據(jù)文件,比如,網(wǎng)絡攻擊愿意進攻的IP是1.2.3.4。以便精準定位它,網(wǎng)絡攻擊將數(shù)據(jù)文件發(fā)送至端口號80上的一切任意Web服務器,在其中標頭是仿冒的,由于Web服務器覺得該數(shù)據(jù)文件來源于1.2.3.4,事實上它沒有。這將使Web服務器將SYN / ACK推送回1.2.3.4以確定它接到了數(shù)據(jù)文件。
2、喪尸黑客攻擊
僵尸網(wǎng)絡是受感柒的PC和/或服務器的大數(shù)字(范疇從10到100,000+),能夠由網(wǎng)絡攻擊從說白了的C&C(指令和操縱)服務器操縱。依據(jù)僵尸網(wǎng)絡的種類,網(wǎng)絡攻擊能夠應用它來實行各種各樣不一樣的進攻。比如,它可用以第7層HTTP進攻,網(wǎng)絡攻擊會使每一受感柒的PC /服務器向受害人的網(wǎng)址推送HTTP GET或POST懇求,直至Web服務器的資源耗光才行。
3、第7層HTTP DDoS
服務器如何防ddos
當高級攻擊者侵入開始緩存時,清潔設備將攔截HTTP請求并進行特殊處理。最簡單的方法是統(tǒng)計源IP的HTTP請求頻率,高于特定頻率的IP地址添加到黑名單中。該方法簡單,但是容易造成誤殺,并且不能阻止來自代理服務器的攻擊,因此逐漸被廢除。、、
另一種防御是DNS攻擊防御,也是跟HTTP的防御是很類似的。第一就是緩存咯,第二是重傳,這也許是由于直接丟棄DNS數(shù)據(jù)包,而導致UDP層重新發(fā)送請求而引起的哦。為了保護授權域DNS,設備會提取接收到的DNS域名列表和ISP DNS IP列表,以便在正常服務期間進行備份。這時發(fā)起攻擊,未包含在此列表中的請求將被丟棄,從而大大降低了性能壓力。對于域名,實現(xiàn)相同的域名白名單機制,非白名單中的域名解析請求被丟棄。
另一種是方法就是統(tǒng)計每個TCP連接的長度,并計算單位時間內(nèi)通過的數(shù)據(jù)包的數(shù)量,這樣就可以準確識別。在TCP連接中,HTTP報文太少,異常報文過多。可能在TCP連接上發(fā)送了太多使用HTTP 1.1協(xié)議的HTTP泛洪攻擊。那么就會發(fā)送多個HTTP請求了。
1.定期檢查服務器漏洞
定期檢查服務器軟件安全漏洞,是確保服務器安全的最基本措施。無論是操作系統(tǒng)(Windows或linux),還是網(wǎng)站常用應用軟件(mysql、Apache、nginx、FTP等),服務器運維人員要特別關注這些軟件的最新漏洞動態(tài),出現(xiàn)高危漏洞要及時打補丁修補。
2.隱藏服務器真實IP
通過CDN節(jié)點中轉加速服務,可以有效的隱藏網(wǎng)站服務器的真實IP地址。CDN服務根據(jù)網(wǎng)站具體情況進行選擇,對于普通的中小企業(yè)站點或個人站點可以先使用免費的CDN服務,待網(wǎng)站流量提升了,需求高了之后,再考慮付費的CDN服務。
3.關閉不必要的服務或端口
這也是服務器運維人員最常用的做法。在服務器防火墻中,只開啟使用的端口,比如網(wǎng)站web服務的80端口、數(shù)據(jù)庫的3306端口、SSH服務的22端口等。關閉不必要的服務或端口,在路由器上過濾假IP。
4.購買高防提高承受能力
該措施是通過購買高防的盾機,提高服務器的帶寬等資源,來提升自身的承受攻擊能力。一些知名IDC服務商都有相應的服務提供,比如阿里云、騰訊云等。但該方案成本預算較高,對于普通中小企業(yè)甚至個人站長并不合適,且不被攻擊時造成服務器資源閑置。
攻擊服務器的方式有哪些?
1、TCP SYN/ACK反射面進攻
TCP反射面ddos進攻就是指網(wǎng)絡攻擊向一切種類的TCP服務項目推送蒙騙數(shù)據(jù)文件,使其看上去源于受害人的ip地址,這促使TCP服務項目向受害人的ip地址發(fā)送SYN / ACK數(shù)據(jù)文件,比如,網(wǎng)絡攻擊愿意進攻的IP是1.2.3.4。以便精準定位它,網(wǎng)絡攻擊將數(shù)據(jù)文件發(fā)送至端口號80上的一切任意Web服務器,在其中標頭是仿冒的,由于Web服務器覺得該數(shù)據(jù)文件來源于1.2.3.4,事實上它沒有。這將使Web服務器將SYN / ACK推送回1.2.3.4以確定它接到了數(shù)據(jù)文件。
2、喪尸黑客攻擊
僵尸網(wǎng)絡是受感柒的PC和/或服務器的大數(shù)字(范疇從10到100,000+),能夠由網(wǎng)絡攻擊從說白了的C&C(指令和操縱)服務器操縱。依據(jù)僵尸網(wǎng)絡的種類,網(wǎng)絡攻擊能夠應用它來實行各種各樣不一樣的進攻。比如,它可用以第7層HTTP進攻,網(wǎng)絡攻擊會使每一受感柒的PC /服務器向受害人的網(wǎng)址推送HTTP GET或POST懇求,直至Web服務器的資源耗光才行。
3、第7層HTTP DDoS
根據(jù)HTTP的第7層進攻(比如HTTP GET或HTTP POST)是這種DDoS進攻,它根據(jù)向Web服務器發(fā)送很多HTTP懇求來效仿網(wǎng)址來訪者以耗光其資源。盡管在其中某些進攻具備可用以鑒別和阻攔他們的方式,可是沒法隨便鑒別的HTTP水災。他們并不是少見,對系統(tǒng)管理員而言十分嚴苛,由于他們飛速發(fā)展以繞開普遍的檢驗方式 。
聲明:免責聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻自行上傳,本網(wǎng)站不擁有所有權,也不承認相關法律責任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請發(fā)
送郵件至:operations@xinnet.com進行舉報,并提供相關證據(jù),一經(jīng)查實,本站將立刻刪除涉嫌侵權內(nèi)容。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉載,或轉載時
需注明出處:新網(wǎng)idc知識百科
商品已成功加入購物車