如何最大限度保護(hù)服務(wù)器不被攻擊

這篇文章主要講解了“如何最大限度保護(hù)服務(wù)器不被攻擊”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來(lái)研究和學(xué)習(xí)“如何最大限度保護(hù)服務(wù)器不被攻擊”吧！

第一階段是目標(biāo)確認(rèn)：黑客將鎖定Internet上公司網(wǎng)絡(luò)的IP地址。這個(gè)鎖定的IP地址可能代表企業(yè)的網(wǎng)絡(luò)服務(wù)器，DNS服務(wù)器，互聯(lián)網(wǎng)網(wǎng)關(guān)等。選擇這些攻擊目標(biāo)的目的也是多種多樣的，例如賺錢(qián)（有人會(huì)為黑客攻擊某些網(wǎng)站付費(fèi)），或者是為了打破樂(lè)趣。

第二階段是準(zhǔn)備階段：在這個(gè)階段，黑客將入侵互聯(lián)網(wǎng)上的大量計(jì)算機(jī)而沒(méi)有良好的保護(hù)系統(tǒng)（基本上是網(wǎng)絡(luò)上的家用計(jì)算機(jī)，NDSL寬帶或有線電纜是主要方法），黑客將在未來(lái)植入所需的工具。

第三階段是實(shí)際攻擊階段：黑客將攻擊命令發(fā)送給所有受到攻擊的計(jì)算機(jī)（即僵尸計(jì)算機(jī)），并命令計(jì)算機(jī)使用預(yù)先植入的攻擊工具連續(xù)向攻擊目標(biāo)發(fā)送數(shù)據(jù)包，使得目標(biāo)無(wú)法處理大量數(shù)據(jù)或帶寬被占滿。

聰明的黑客還會(huì)讓這些僵尸計(jì)算機(jī)欺騙攻擊數(shù)據(jù)包的IP地址，并將攻擊目標(biāo)的IP地址插入數(shù)據(jù)包的原始地址。這稱為反射攻擊。在服務(wù)器或路由器看到這些數(shù)據(jù)包之后，它會(huì)將收到的響應(yīng)轉(zhuǎn)發(fā)（即反映）到原始IP地址，這將進(jìn)一步增加到目標(biāo)主機(jī)的數(shù)據(jù)流。所以，我們無(wú)法阻止這種DDoS攻擊，但是知道這種攻擊的原理，我們可以最大限度地減少這種攻擊的影響。

減少攻擊影響

入侵過(guò)濾是一種簡(jiǎn)單的安全策略，所有網(wǎng)絡(luò)（ISP）都應(yīng)該實(shí)現(xiàn)。在網(wǎng)絡(luò)邊緣（例如直接連接到外部網(wǎng)絡(luò)的每個(gè)路由器），應(yīng)建立路由聲明，以丟棄具有此網(wǎng)絡(luò)地址的源IP標(biāo)記的所有數(shù)據(jù)包。雖然這種方法不能防止DDoS攻擊，但它可以預(yù)防DDoS反射攻擊。

減輕DDoS攻擊危害

但是很多大型ISP好像都因?yàn)楦鞣N原因拒絕實(shí)現(xiàn)入侵過(guò)濾,因此我們需要其它方式來(lái)降低DDoS帶來(lái)的影響。目前最有效的一個(gè)方法就是反追蹤(backscattertraceback method)。

要采用這種方式,首先應(yīng)該確定目前所遭受的是外部DDoS攻擊,而不是來(lái)自內(nèi)網(wǎng)或者路由問(wèn)題。接下來(lái)就要盡快在全部邊緣路由器的外部接口上進(jìn)行配置,拒絕所有流向DDoS攻擊目標(biāo)的數(shù)據(jù)流。

將 路由器設(shè)置為拒絕這些資料包后,路由器會(huì)在每次拒絕數(shù)據(jù)包時(shí)發(fā)送一個(gè)因特網(wǎng)控制訊息協(xié)議(ICMP)包,并將"destinationunreachable"信息和被拒絕的數(shù)據(jù)包打包發(fā)送給來(lái)源IP地址。接下來(lái),打開(kāi)路由器日志,查看那個(gè)路由器收到的攻擊資料包最多。然后根據(jù)所記錄的數(shù)據(jù)包來(lái)源IP確定哪個(gè)網(wǎng)段的資料量最大。在這個(gè)路由器上調(diào)整路由器針對(duì)這個(gè)網(wǎng)段為“黑洞”狀態(tài),并藉由修改子網(wǎng)掩碼的方法將這個(gè)網(wǎng)段隔離開(kāi)。然后再尋找這個(gè)網(wǎng)段的所有者的信息,聯(lián)系你的ISP以及數(shù)據(jù)發(fā)送網(wǎng)段的ISP,將攻擊情況匯報(bào)給他們,并請(qǐng)求協(xié)助。不論他們是否愿意幫忙,無(wú)非是一個(gè)電話的問(wèn)題。接下來(lái)為了讓服務(wù)和合法流量通過(guò),你可以將其它一些攻擊情況較輕的路由器恢復(fù)正常,只保留承受攻擊最重的那個(gè)路由器,并拒絕攻擊來(lái)源最大的網(wǎng)段。如果你的ISP和對(duì)方ISP很負(fù)責(zé)的協(xié)助阻擋攻擊數(shù)據(jù)包,你的服務(wù)器你的網(wǎng)絡(luò)將很快恢復(fù)正常。

感謝各位的閱讀，以上就是“如何最大限度保護(hù)服務(wù)器不被攻擊”的內(nèi)容了，經(jīng)過(guò)本文的學(xué)習(xí)后，相信大家對(duì)如何最大限度保護(hù)服務(wù)器不被攻擊這一問(wèn)題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！