做機房,特別是高防機房,不僅需要一套好的網絡佈局來實現網絡的負載均衡,還需要一套強大的硬件防火牆來做支撐,下邊就由小編就帶你們詳細瞭解一下什麼是高防服務器,以及防護DDos的原理。
高防服務器
抗DDos能力在50G以上的單個獨立服務器,我們稱之爲高防服務器,能保障客戶的業務安全及穩定,高防服務器地屬於服務器的範疇內,每個機房的部署都是有區別的,硬防和軟防也是目前防護的兩大種類。硬防和軟防是什麼呢?用通俗易懂的說法就能夠幫助客戶抗下ddos或是CC攻擊,對機房主節點線路進行全天候監測,檢查服務器可能存在的安全漏洞,咱們都稱之爲高防服務器。
硬防和軟防
在選擇高安全性服務器時,您必須首先了解防禦的類型和規模。防火牆是內部網和外部網之間以及專用網和公用網之間的一道保護屏障。防火牆分爲兩種類型:一種是軟件防火牆,另一種是硬件防火牆。
1.軟件防火牆:軟件防火牆寄生在操作平臺上。軟件防火牆是通過軟件將內部網與外部網絡隔離的保護屏障。
2.硬件防火牆:硬件防火牆嵌入在系統中。硬件防火牆是由軟件和硬件結合而成的。硬件防火牆在性能和防禦方面優於軟件防火牆。
流量牽引
這是新型防護手段,流量牽引技術,智能化的區分開正常與異常流量,把異常的攻擊流量牽引到抗DDos或CC的防護設備上去,而不是讓服務器自身來承受打擊。
攻擊種類
現在的攻擊種類也多樣化,Syn、Ack Flood、ICMP、HTTP GET、UDP_Flood、CC(Challenge Collapsar)、Tcp全連接攻擊等這些都是攻擊手段,就目前的防火牆設備來說只能分析每個數據包,分析數據連接的狀態也是有限的,防護Syn或變異的Syn、Ack效果還行,但對Tcp和Udp協議不能從根本上來分析。其中Syn、UDP_Flood、CC(Challenge Collapsar)這幾類也是最常見,遇到最頻繁的攻擊方式。當中CC(Challenge Collapsar)攻擊是最爲噁心,最讓客戶和機房頭痛的攻擊方式。
如何防護
什麼是操作系統和分佈式拒絕服務?DoS是一種使用單臺計算機的攻擊方法。分佈式拒絕服務(DDoS)是基於拒絕服務攻擊的一種特殊形式。這是一種分佈式、協作的大規模攻擊模式,主要針對相對較大的網站,如一些商業公司的、搜索引擎和政府部門的網站。DdoS攻擊是利用一組受控機器攻擊一臺機器。這樣的突然襲擊很難防範,因此具很強的破壞性。如果網絡管理員過去可以根據拒絕服務過濾IP地址,那麼就沒有辦法處理拒絕服務的大量僞造地址。因此,防止DdoS攻擊變得更加困難。如何採取有效措施來處理它?以下是從兩個方面的介紹。DdoS攻擊是黑客最常用的攻擊手段,主要是爲了確保安全而進行的防範。下面列出了一些常規的處理方法。
(1)常規掃描
定期掃描現有網絡主節點,檢查可能存在的安全漏洞,並及時清理新出現的漏洞。主幹節點計算機由於其高帶寬而成爲黑客的最佳位置,因此加強這些主機自身的主機安全非常重要。此外,所有連接到網絡主節點的計算機都是服務器級計算機,因此定期掃描漏洞變得更加重要。
(2)在主幹節點配置防火牆
防火牆本身可以抵禦DdoS攻擊和其他攻擊。當發現攻擊時,可以將攻擊定向到一些犧牲主機,這可以保護真正的主機免受攻擊。當然,這些面向犧牲主機的系統可以選擇不重要的系統,或者是像linux和unix這樣漏洞很少、對攻擊有很好的自然防禦能力的系統。
(3)使用足夠的機器來抵禦黑客攻擊
這是一個理想的應對策略。如果用戶有足夠的能力和資源來攻擊黑客,當它不斷訪問用戶、來獲取用戶資源時,它自己的能量逐漸被消耗,黑客可能無法支持攻擊,直到用戶被殺死。然而,這種方法需要大量的投資,而且大多數設備平時都是閒置的,這與中小企業網絡的實際運行不相符合。
(4)充分利用網絡設備保護網絡資源
所謂網絡設備是指路由器、防火牆等負載均衡設備,可以有效保護網絡。當網絡受到攻擊時,路由器首先死亡,但其他機器沒有死亡。重啓後,失效路由器將恢復正常,並快速啓動,不會有任何損失。如果其他服務器死亡,數據將會丟失,重新啓動服務器是一個漫長的過程。特別是,一家公司使用負載平衡設備,因此當一臺路由器受到攻擊並崩潰時,另一臺會立即工作。從而最大限度地減少DdoS攻擊。
(5)過濾不必要的服務和端口
過濾不必要的服務和端口,也就是在路由器上過濾假的IP…許多服務器只打開服務端口是一種流行的做法,例如,WWW服務器只打開80個端口,並關閉所有其他端口或在防火牆上執行阻塞策略。
(6)檢查訪客來源
通過反向路由器查詢,使用單播反向路徑轉發等方法檢查訪問者的IP地址是否正確。如果它是假的,它將被阻止。許多黑客攻擊經常用假的IP地址來迷惑用戶,並且很難找出它來自哪裏。因此,使用單播反向路徑轉發可以減少虛假IP地址的發生,有助於提高網絡安全性。
(7)過濾所有RFC1918的IP地址
RFC1918 IP地址是內部網的IP地址,例如10.0.0.0、 192.168.0.0和172.16.0.0。它們不是網段的固定IP地址,而是保留在互聯網內部的區域IP地址,應該過濾掉。該方法不過濾內部人員的訪問,而是過濾攻擊過程中僞造的大量虛假內部IP,從而減少DdoS攻擊。
(8)限制同步/ICMP流量
用戶應在路由器上配置SYN/ICMP的最大流量,以限制SYN/ICMP數據包可佔用的最大帶寬,以便當大量SYN/ICMP流量超過限制時,這不是正常的網絡訪問,而是黑客入侵。早期限制SYN/ICMP流量是防止DOS的最好方法,雖然這種方法對DDoS的影響並不明顯,但仍然可以起到一定的作用。如果用戶受到攻擊,尋找處理攻擊的機會,他能做些什麼來抵抗攻擊將是非常有限的。由於一場大流量的災難性攻擊沒有做好準備,網絡很可能在用戶恢復意識之前就癱瘓了。然而,用戶仍然可以抓住機會尋找一線希望。
(1)檢查攻擊來源
通常黑客會通過多個假IP地址發起攻擊,此時,如果用戶能分辨出哪個是真正的IP地址,哪個是假IP地址,然後知道IP來自哪個網段,然後要求網絡管理員關閉這些機器,以便從一開始就消除攻擊。如果您發現這些IP地址來自外部,而不是來自公司的IP,您可以通過臨時過濾服務器或路由器上的IP地址來過濾這些IP地址。
(2)找出攻擊者通過的路徑並阻止攻擊
如果黑客從某些端口發起攻擊,用戶就可以阻止這些端口的入侵。然而,這種方法對公司的網絡只有一個出口,當受到外部DDoS攻擊時,它無法工作。畢竟,在退出端口關閉後,沒有一臺計算機能夠訪問互聯網。
如果按照本文的方法和思路去防範DDos的話,收到的效果還是非常顯著的,可以將攻擊帶來的損失降低到最小。