2、网站业务添加CDN,预算充足的情况下可以考虑添加CDN,但是大流量的攻击可能产生高额CDN费用,需要酌情考虑。
3、定期排查服务器安全漏洞,及时修补服务器漏洞,防止被黑客利用漏洞进行服务器攻击。
4、设置防火墙,防火墙是可以在部分攻击上打到抵御的效果的,禁用一些不用的端口防止非法分子利用其端口进行攻击,同时可以通过防火墙设置把攻击重定向。
5、提升服务器配置,一般的攻击如果不是非常猛烈,可以适当提升服务器带宽,CPU和内存,保证资源不被攻击消耗殆尽。
6、通过反向路由进行ip真实性检测,禁用非真实IP也可以防御攻击。
7、限制SYN/ICMP流量,在路由器上配置SYN/ICMP的最大流量限制SYN/ICMP封包所能占有的最高频宽,大量的异常流量那基本上就是攻击了。
8、过滤所有RFC1918,IP地址RFC1918是内部网的IP地址,过滤攻击时伪造的大量虚假内部IP,也是能减轻攻击DDOS攻击。
目前来说解决服务器被DDOS攻击最常见的办法就是使用硬件防火墙了,也就是我们常说的高防服务器,高防服务器都会带有一定量的硬防,或大或小。
1、定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
2、在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
3、用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
4、充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。
5、过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法,例如>
6、检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
7、过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10000、19216800 和1721600,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
8、限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。
所谓的ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。1对ARP攻击的防护方法
个人建议开启360安全卫士中的局域网防护(ARP防火墙)和绑定IP地址和MAC地址了。
方法如下:
开始→运行→ cmd →打开命令提示符,输入 ipconfig /all
Physical Adress 后面的就是MAC物理地址
IP Adress 后面的就是IP地址
再在命令提示符中输入ARP -s IP Adress(您的IP地址) Physical Adress (您的MAC地址)
[我打了空格的在DOS命令行下都要打空格]
2对ARP病毒的解决
一般出现ARP缓存攻击、网关欺骗或开启360安全卫士局域网防护(ARP防火墙)和绑定MAC和IP地址仍然出现ARP攻击。这些现象说明是局域网有一台机子中了ARP病毒,在向别的机子发送ARP欺骗广播。解决方法是这样的,先定位ARP病毒主机,然后查杀该电脑中的ARP病毒。
(1)定位方法
一、DOS命令法
在DOS命令窗口下运行arp -a命令。
输入后的返回信息如下(注意:这是我列的假设):
Internet Address Physical Address Type
19216801 00-50-56-e6-49-56 dynamic
这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒
电脑的MAC地址!这时,再根据网络正常时,全网的IP—MAC地址对照表,查找中毒电脑的IP地址
就可以了。由此可见,在网络正常的时候,保存一个全网电脑的IP—MAC地址对照表是多么的重要
。可以使用nbtscan工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。
nbtscan工具的使用方法:
就以上例,查找一台MAC地址为“00-50-56-e6-49-56 ”的病毒主机。
1将压缩包中的nbtscanexe 和cygwin1dll解压缩放到c:下(或放在DOS命令的默认路径C:\Wi
ndows\System32下)
2在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中
输入:C: \nbtscan -r 192168161/24(这里需要根据用户实际网段输入[命令:“nbtscan -r
192168160/24”(搜索整个192168160/24网段, 即192168161-19216816254);或“
nbtscan 1921681625-137”搜索1921681625-137 网段,即1921681625-19216816137。
输出结果第一列是IP地址,最后一列是MAC地址。]),回车。
3通过查询IP--MAC对应表,查出“00-50-56-e6-49-56 ”的病毒主机的IP地址为“1921680
1”。
二、利用抓包软件
使用Sniffer抓包
在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送
ARP Request请求包,那么这台电脑一般就是病毒源。原理:无论何种ARP病毒变种,行为方式有
两种,一是欺骗网关,二是欺骗网内的所有主机。最终的结果是,在网关的ARP缓存表中,网内所
有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也
成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机,后者相反,使
得主机发往网关的数据包均发送到中毒主机。
(2)查杀ARP病毒,这个可以去百度搜下ARP病毒专杀,如趋势ARP病毒专杀!
这是我在360论坛发的ARP攻击解决贴,希望对您有帮助!DNS劫持,缓存投毒,DDoS攻击,反射式DNS放大攻击。
1DNS劫持,DNS劫持又称域名劫持,这类攻击一般是通过恶意软件、修改缓存、控制域名管理系统等方式取得DNS解析控制权,然后通过修改DNS解析记录或更改解析服务器方式,将用户引导至不可达的站点或受攻击者控制的非法网站,以达到非法获取用户数据,谋取非法利益的目的。2缓存投毒,攻击者将非法网络域名地址传送给DNS服务器,一旦服务器接收该非法地址,其缓存就会被攻击。其实现方式有多种,比如可以通过利用客户ISP端的DNS缓存服务器的漏洞进行攻击或控制,从而改变该ISP内的用户访问域名的响应结果;或者,黑客通过利用用户权威域名服务器上的漏洞,如当用户权威域名服务器同时可以被当作缓存服务器使用,黑客可以实现缓存投毒,将错误的域名纪录存入缓存中,从而使所有使用该缓存服务器的用户得到错误的DNS解析结果。
与钓鱼攻击采用非法URL不同,DNS缓存中毒使用的是合法的URL地址,用户往往会以为登陆的是自己熟悉的网站,其实却是其他的网站。3DDoS攻击,攻击者通过控制多台计算机并伪造大量的源IP向攻击目标持续不断地发起海量DNS查询请求,使得DNS服务器频繁地进行全球迭代查询,从而导致网络带宽耗尽而无法进行正常DNS查询请求。攻击者还会利用DNS协议中存在的漏洞,恶意创造一个载荷过大的请求,导致目标DNS服务器崩溃。4反射式DNS放大攻击,DNS反射放大攻击主要是利用DNS回复包比请求包大的特点,放大流量,伪造请求包的源IP地址为受害者IP,将应答包的流量引入受害的服务器。
可以的。
伪造这个词应该是修改数据包,而不是使用代理。 TCP无法伪造IP,因为需要三次握手,比较安全;UDP可以伪造,但是由于伪造攻击很多,部分机房再路由上做了过滤,原地址不是机房的IP的数据包自动丢弃; 不过很多监管不严的机房里还是可以伪造的。
扩展资料:
IP欺骗的防范,一方面需要目标设备采取更强有力的认证措施,不仅仅根据源IP就信任来访者,更多的需要强口令等认证手段;另一方面采用健壮的交互协议以提高伪装源IP的门槛。
有些高层协议拥有独特的防御方法,比如TCP(传输控制协议)通过回复序列号来保证数据包来自于已建立的连接。由于攻击者通常收不到回复信息,因此无从得知序列号。不过有些老机器和旧系统的TCP序列号可以被探得。
参考资料来源:百度百科-ip地址欺骗
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)