伺服器被ddos
Ⅰ 服務器被DDoS攻擊
摘自網路:
以下幾點是防禦DDOS攻擊幾點:
1、採用高性能的網路設備 首先要保證網路設備不能成為瓶頸,因此選擇路由器、交換機、硬體防火牆等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關系或協議的話就更好了,當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用 無論是路由器還是硬體防護牆設備要盡量避免採用網路地址轉換NAT的使用,因為採用此技術會較大降低網路通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網路包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。
3、充足的網路帶寬保證 網路帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論採取什麼措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主幹上了。但需要注意的是,主機上的網卡是1000M的並不意味著它的網路帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等於就有了百兆的帶寬,因為網路服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。
4、升級主機伺服器硬體 在有網路帶寬保證的前提下,請盡量提升硬體配置,要有效對抗每秒10萬個SYN攻擊包,伺服器的配置至少應該為:P4 2.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,若有志強雙CPU的話就用它吧,內存一定要選擇DDR的高速內存,硬碟要盡量選擇SCSI的,別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5、把網站做成靜態頁面 大量事實證明,把網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關於HTML的溢出還沒出現,看看吧!新浪、搜狐、網易等門戶網站主要都是靜態頁面,若你非需要動態腳本調用,那就把它弄到另外一台單獨主機去,免的遭受攻擊時連累主伺服器,當然,適當放一些不做資料庫調用腳本還是可以的,此外,最好在需要調用資料庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬於惡意行為。
6、增強操作系統的TCP/IP棧 Win2000和Win2003作為伺服器操作系統,本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能抵禦數百個,具體怎麼開啟,自己去看微軟的文章吧!《強化 TCP/IP 堆棧安全》。 也許有的人會問,那我用的是Linux和FreeBSD怎麼辦?很簡單,按照這篇文章去做吧!《SYN Cookies》。
7、安裝專業防火牆 ,用做抗DDOS等攻擊,加速樂、安全寶、伺服器安全狗等都可以看下。 如果是大流量攻擊,建議採用軟硬防相結合,或者是採用DDOS流量清洗
8、其他防禦措施
Ⅱ 伺服器為什麼被ddos攻擊怎麼解決攻擊
有可能是競爭對手整的,我們公司網站排名做的好,也被ddos攻擊了;Ddos攻擊一種為流量攻版擊,另一種為資源權耗盡攻擊,主要是針對伺服器主機的攻擊;注意一定要做好防禦措施,及時關注所使用的安全產品和網路設備,在系統中加裝防火牆系統,還要優化路由及網路結構。
如果已經被攻擊了的話,要麼是出錢買高防,要麼只能等它停止攻擊,然後將數據分散放到不同的伺服器上,但還是得給伺服器做好預防。
Ⅲ 伺服器老被DDOS攻擊,該怎麼辦
修改注冊表防範DDos攻擊
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
'關閉無效網關的檢查。當伺服器設置了多個網關,這樣在網路不通暢的時候系統會嘗試連接
'第二個網關,通過關閉它可以優化網路。
"EnableDeadGWDetect"=dword:00000000
'禁止響應ICMP重定向報文。此類報文有可能用以攻擊,所以系統應該拒絕接受ICMP重定向報文。
"EnableICMPRedirects"=dword:00000000
'不允許釋放NETBIOS名。當攻擊者發出查詢伺服器NETBIOS名的請求時,可以使伺服器禁止響應。
'注意系統必須安裝SP2以上
"NoNameReleaseOnDemand"=dword:00000001
'發送驗證保持活動數據包。該選項決定TCP間隔多少時間來確定當前連接還處於連接狀態,
'不設該值,則系統每隔2小時對TCP是否有閑置連接進行檢查,這里設置時間為5分鍾。
"KeepAliveTime"=dword:000493e0
'禁止進行最大包長度路徑檢測。該項值為1時,將自動檢測出可以傳輸的數據包的大小,
'可以用來提高傳輸效率,如出現故障或安全起見,設項值為0,表示使用固定MTU值576bytes。
"EnablePMTUDiscovery"=dword:00000000
'啟動syn攻擊保護。預設項值為0,表示不開啟攻擊保護,項值為1和2表示啟動syn攻擊保護,設成2之後
'安全級別更高,對何種狀況下認為是攻擊,則需要根據下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
'設定的條件來觸發啟動了。這里需要注意的是,NT4.0必須設為1,設為2後在某種特殊數據包下會導致系統重啟。
"SynAttackProtect"=dword:00000002
'同時允許打開的半連接數量。所謂半連接,表示未完整建立的TCP會話,用netstat命令可以看到呈SYN_RCVD狀態
'的就是。這里使用微軟建議值,伺服器設為100,高級伺服器設為500。建議可以設稍微小一點。
"TcpMaxHalfOpen"=dword:00000064
'判斷是否存在攻擊的觸發點。這里使用微軟建議值,伺服器為80,高級伺服器為400。
"TcpMaxHalfOpenRetried"=dword:00000050
'設置等待SYN-ACK時間。預設項值為3,預設這一過程消耗時間45秒。項值為2,消耗時間為21秒。
'項值為1,消耗時間為9秒。最低可以設為0,表示不等待,消耗時間為3秒。這個值可以根據遭受攻擊規模修改。
'微軟站點安全推薦為2。
""=dword:00000001
'設置TCP重傳單個數據段的次數。預設項值為5,預設這一過程消耗時間240秒。微軟站點安全推薦為3。
"TcpMaxDataRetransmissions"=dword:00000003
'設置syn攻擊保護的臨界點。當可用的backlog變為0時,此參數用於控制syn攻擊保護的開啟,微軟站點安全推薦為5。
"TCPMaxPortsExhausted"=dword:00000005
'禁止IP源路由。預設項值為1,表示不轉發源路由包,項值設為0,表示全部轉發,設置為2,表示丟棄所有接受的
'源路由包,微軟站點安全推薦為2。
"DisableIPSourceRouting"=dword:0000002
'限制處於TIME_WAIT狀態的最長時間。預設為240秒,最低為30秒,最高為300秒。建議設為30秒。
"TcpTimedWaitDelay"=dword:0000001e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
'增大NetBT的連接塊增加幅度。預設為3,范圍1-20,數值越大在連接越多時提升性能。每個連接塊消耗87個位元組。
"BacklogIncrement"=dword:00000003
'最大NetBT的連接快的數目。范圍1-40000,這里設置為1000,數值越大在連接越多時允許更多連接。
"MaxConnBackLog"=dword:000003e8
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters]
'配置激活動態Backlog。對於網路繁忙或者易遭受SYN攻擊的系統,建議設置為1,表示允許動態Backlog。
"EnableDynamicBacklog"=dword:00000001
'配置最小動態Backlog。默認項值為0,表示動態Backlog分配的自由連接的最小數目。當自由連接數目
'低於此數目時,將自動的分配自由連接。默認值為0,對於網路繁忙或者易遭受SYN攻擊的系統,建議設置為20。
"MinimumDynamicBacklog"=dword:00000014
'最大動態Backlog。表示定義最大"准"連接的數目,主要看內存大小,理論每32M內存最大可以
'增加5000個,這里設為20000。
"MaximumDynamicBacklog"=dword:00002e20
'每次增加的自由連接數據。默認項值為5,表示定義每次增加的自由連接數目。對於網路繁忙或者易遭受SYN攻擊
'的系統,建議設置為10。
"DynamicBacklogGrowthDelta"=dword:0000000a
==============================================================================
以上存為.reg後即可直接導入.
當然可以在裡面相應的添加其他設置進行一次性修改注冊表.如:
'關閉445埠
"SMBDeviceEnabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]
'禁止C$,D$一類的共享
"AutoShareServer"=dword:00000000
'禁止ADMIN$預設共享
"AutoShareWks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
'限制IPC$預設共享
"restrictanonymous"=dword:00000000
Ⅳ 伺服器IP被人ddos攻擊怎麼辦
ddos攻擊是一種比較原始攻擊,攻擊者通過流量式或請求數量訪問,超過伺服器正常承受能力,讓伺服器處於癱瘓。正常訪問者無法訪問到伺服器,是使伺服器處於離線狀態。遇到DDOS攻擊常見有三種方式來防禦。
1.使用高防伺服器:高防伺服器主要是指獨立單個硬防防禦,可以為單個客戶提供安全維護,總體來看屬於伺服器的一種,根據各個IDC機房的環境不同,有的提供有硬防,有使用軟防。簡單來說,就是能夠幫助伺服器拒絕服務攻擊,並且定時掃描現有的網路主節點,查找可能存在的安全漏洞的伺服器類型。高防伺服器租用價格要比普通伺服器租用價格貴。適合經常有小流量的攻擊的站點、游戲、應用等伺服器
2.使用防火牆軟體:防火牆獲取攻擊者的IP地址、與伺服器的連接數,並將其屏蔽,從而可以防禦到小型的DDoS攻擊。這種方法適用於規模較小的騷擾型DDoS攻擊。
3.專業的DDOS防禦增值服務:面對DDoS這種全行業都要無法避免的問題,服務商提供專業DDoS防護解決方案。防護方案部署到伺服器上,包括切換高防IP、CDN節點等。通過海量帶寬資源分散攻擊者流量,您將再也不用擔心沒有足夠的資源來發布您的業務,將再也不用擔心DDoS攻擊可能削弱您的業務,您將獲得一個最具競爭力的純凈商業環境來保障業務的正常開展。
希望能幫到你哦
Ⅳ 伺服器老被DDOS攻擊,該怎麼辦
一、分析一下ddos原因,是你的對手原因,還是你伺服器原因,
比如以前容易被ddos的伺服器一內般是私服,賭博站容,釣魚站等非法站也容易被ddos.
二、有的說是ddos,有的技術人員沒有分析出是cc還是真的ddos
cc的一般是可以查到攻擊ip的,查到後封掉對應ip就可以了。
三、真的ddos,機房沒有防禦的話,會封掉你的ip,大流量攻擊會影響機房的出口。
針對ddos一般選擇機房的時候注意機房有高防伺服器,攻擊的時候可以購買高防服務,實現相應流量的防禦。
Ⅵ 為什麼伺服器一直被ddos攻擊怎麼辦
DDoS也就是分布式拒絕服務攻擊。它使用與普通的拒絕服務攻擊同樣的方法,但是發起攻擊的源是多個。通常攻擊者使用下載的工具滲透無保護的主機,當獲得該主機的適當的訪問許可權後,攻擊者在主機中安裝軟體的服務或進程。這些代理保持睡眠狀態,直到從它們的主控端得到指令,對指定的目標發起拒絕服務攻擊。
DDOS防禦是一個系統工程,現在的DDOS攻擊是分布、協奏更為廣泛的大規模攻擊陣勢,當然其破壞能力也是前所不及的。這也使得DDOS的防範工作變得更加困難。想僅僅依靠某種系統或高防防流量攻擊伺服器防住DDOS做好網站安全防護是不現實的,可以肯定的是,完全杜絕DDOS目前是不可能的,但通過適當的措施抵禦99.9%的DDOS攻擊是可以做到的,基於攻擊和防禦都有成本開銷的緣故,若通過適當的辦法增強了抵禦DDOS的能力
也就意味著加大了攻擊者的攻擊成本,那麼絕大多數攻擊者將無法繼續下去而放棄,也就相當於成功的抵禦了DDOS攻擊。近年來隨著網路的不斷普及,流量攻擊在互聯網上的大肆泛濫,DDOS攻擊的危害性不斷升級,面對各種潛在不可預知的攻擊,越來越多的企業顯的不知所措和力不從心。
單一的高防防流量攻擊伺服器就像一個大功率的防火牆一樣能解決的問題是有限的,而集群式的高防防流量攻擊技術,也不是一般企業所能掌握和使用的。怎麼樣可以確保在遭受DDOS攻擊的條件下,伺服器系統能夠正常運行呢或是減輕DDOS攻擊的危害性?
1.異常流量的清洗過濾:
通過DDOS防火牆對異常流量的清洗過濾,通過數據包的規則過濾、數據流指紋檢測過濾、及數據包內容定製過濾等頂尖技術能准確判斷外來訪問流量是否正常,進一步將異常流量禁止過濾。
2.分布式集群防禦:
這是目前網路安全界防禦大規模DDOS攻擊的最有效辦法。分布式集群防禦的特點是在每個節點伺服器配置多個IP地址,並且每個節點能承受不低於10G的DDOS攻擊,如一個節點受攻擊無法提供服務,系統將會根據優先順序設置自動切換另一個節點,並將攻擊者的數據包全部返回發送點,使攻擊源成為癱瘓狀態,從更為深度的安全防護角度去影響企業的安全執行決策。
Ⅶ 伺服器被惡意ddos攻擊怎麼辦
因為企業之間的惡意競爭,伺服器被ddos是難免的事情,下面分享幾點防禦ddos的方法:
一.網路設備設施
網路架構、設施設備是整個系統得以順暢運作的硬體基礎,用足夠的機器、容量去承受攻擊,充分利用網路設備保護網路資源是一種較為理想的應對策略,說到底攻防也是雙方資源的比拼,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失。相應地,投入資金也不小,但網路設施是一切防禦的基礎,需要根據自身情況做出平衡的選擇。
二、有效的抗D思想及方案
硬碰硬的防禦偏於「魯莽」,通過架構布局、整合資源等方式提高網路的負載能力、分攤局部過載的流量,通過接入第三方服務識別並攔截惡意流量等等行為就顯得更加「理智」,而且對抗效果良好。
三.預防為主保安全
DDoS的發生可能永遠都無法預知,而一來就兇猛如洪水決堤,因此網站的預防措施和應急預案就顯得尤為重要。通過日常慣性的運維操作讓系統健壯穩固,沒有漏洞可鑽,降低脆弱服務被攻陷的可能,將攻擊帶來的損失降低到最小。
面對攻擊大家需要具備安全意識,完善自身的安全防護體系才是正解。隨著互聯網業務的越發豐富,可以預見DDoS攻擊還會大幅度增長,攻擊手段也會越來越復雜多樣。安全是一項長期持續性的工作,需要時刻保持一種警覺,更需要全社會的共同努力。
Ⅷ 伺服器被ddos攻擊應該怎麼辦
ddoS的攻擊方式有很多種,最基本的ddoS攻擊就是利用合理的服務請求來佔用過多的服務資源內,從而使合法用容戶無法得到服務的響應。單一的ddoS攻擊一般是採用一對一方式的,當攻擊目標CPU速度低、內存小或者網路帶寬小等等各項指標不高的性能,它的效果是明顯的。隨著計算機與網路技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網路,這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少。這時候分布式的拒絕服務攻擊手段(DDoS)就應運而生了。DDoS就是利用更多的傀儡機(肉雞)來發起進攻,以比從前更大的規模來進攻受害者。
當受到DDoS攻擊時,可以選擇用一些防火牆來進行防禦,或者選擇機房進行流量遷移和清洗,這種兩種方法對於小流量攻擊的確有效,而且價格也便宜。但是當攻擊者使用大流量DDoS攻擊時,這兩種方法就完全防禦不住了,這種情況就必須考慮更換更高防護的高防伺服器了,高防的優勢還是很明顯的,配置簡單,接入方便見效快,對於大流量攻擊也完全不在話下。
Ⅸ 伺服器經常被ddos攻擊怎麼辦
ddos攻擊是一種比較原始攻擊,攻擊者通過流量式或請求數量訪問,超過伺服器正常承受能力,讓伺服器處於癱瘓。正常訪問者無法訪問到伺服器,是使伺服器處於離線狀態。遇到DDOS攻擊常見有三種方式來防禦。
1.使用高防伺服器:高防伺服器主要是指獨立單個硬防防禦,可以為單個客戶提供安全維護,總體來看屬於伺服器的一種,根據各個IDC機房的環境不同,有的提供有硬防,有使用軟防。簡單來說,就是能夠幫助伺服器拒絕服務攻擊,並且定時掃描現有的網路主節點,查找可能存在的安全漏洞的伺服器類型。高防伺服器租用價格要比普通伺服器租用價格貴。適合經常有小流量的攻擊的站點、游戲、應用等伺服器
2.使用防火牆軟體:防火牆獲取攻擊者的IP地址、與伺服器的連接數,並將其屏蔽,從而可以防禦到小型的DDoS攻擊。這種方法適用於規模較小的騷擾型DDoS攻擊。
3.專業的DDOS防禦增值服務:面對DDoS這種全行業都要無法避免的問題,泰海科技服務商提供專業DDoS防護解決方案。防護方案部署到伺服器上,包括切換高防IP、CDN節點等。通過海量帶寬資源分散攻擊者流量,您將再也不用擔心沒有足夠的資源來發布您的業務,將再也不用擔心DDoS攻擊可能削弱您的業務,您將獲得一個最具競爭力的純凈商業環境來保障業務的正常開展。
希望能幫到你哦
高防伺服器租用