香港服务器受到DDOS攻击怎么办?
服务器被ddos攻击,就会导致的网站访问页面打不开。服务器进行远程控制很困难,有的用户们在对远程服务器进行连接的时候,存在操作困难,内存占用几率高,整个网站系统处于疲惫的状态。
如果你现在使用的服务器,遭受到ddos攻击的话,一般这种情况,是可以利用一些知名的软件来对服务器进行更好的防御。也就是利用防御的形式,针对目前网站上更多的防御软件,来进行防御软件安装,选择正确的系统软件进行安装即可。
有效的抵御DDOS的攻击的途径:
1.采用高性能的 *** 设备引。首先要保证 *** 设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、 口碑好的产品。 再就是假如和 *** 提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在 *** 接点处做一下流量限制来对抗某些种类的DDOS 攻击是非常有效的。
2、尽量避免 NAT 的使用。无论是路由器还是硬件防护墙设备要尽量避免采用 *** 地址转换 NAT 的使用, 因为采用此技术会较大降低 *** 通信能力。因为 NA T 需要对地址来回转换,转换过程中需要对 *** 包的校验和进行计算,因此浪费了很多 CPU 的时间。
3、充足的 *** 带宽保证。 *** 带宽直接决定了能抗受攻击的能力, 假若仅仅有 10M 带宽的话, 无论采取什么措施都很难对抗当今的 SYNFlood 攻击, 至少要选择 100M 的共享带宽,更好的当然是挂在1000M 的主干上了。但需要注意的是,主机上的网卡是 1000M 的并不意味着它的 *** 带宽就是千兆的, 若把它接在 100M 的交换机上, 它的实际带宽不会超过 100M, 再就是接在 100M的带宽上也不等于就有了百兆的带宽, 因为 *** 服务商很可能会在交换机上限制实际带宽为10M。
4、升级主机服务器硬件。在有 *** 带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒 10 万个 SYN 攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD。起关键作用的主要是 CPU 和内存, 若有志强双 CPU 的话就用它吧, 内存一定要选择 DDR 的高速内存, 硬盘要尽量选择SCSI 的,别只贪 IDE 价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用 3COM 或 Intel 等名牌的,若是 Realtek 的还是用在自己的 PC 上吧。
5、把网站做成静态页面:大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到为止关于 HTML 的溢出还没出现。若你非需要动态脚本调用, 那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器。
此外,更好在需要调用数据库的脚本中拒绝使用 *** 的访问, 因为经验表明使用 *** 访问你网站的80%属于恶意行为。
希望可以帮到您,谢谢!
服务器被攻击问题如何解决?
当服务器被攻击时,最容易被人忽略的地方,就是记录文件,服务器的记录文件了黑客活动的蛛丝马迹。在这里,我为大家介绍一下两种常见的网页服务器中最重要的记录文件,分析服务器遭到攻击后,黑客在记录文件中留下什么记录。
目前最常见的网页服务器有两种:Apache和微软的Internet Information Server (简称IIS)。这两种服务器都有一般版本和SSL认证版本,方便黑客对加密和未加密的服务器进行攻击。
IIS的预设记录文件地址在 c:winntsystem32logfilesw3svc1的目录下,文件名是当天的日期,如yymmdd.log。系统会每天产生新的记录文件。预设的格式是W3C延伸记录文件格式(W3C Extended Log File Format),很多相关软件都可以解译、分析这种格式的档案。记录文件在预设的状况下会记录时间、客户端IP地址、method(GET、POST等)、URI stem(要求的资源)、和HTTP状态(数字状态代码)。这些字段大部分都一看就懂,可是HTTP状态就需要解读了。一般而言,如果代码是在200到299代表成功。常见的200状态码代表符合客户端的要求。300到399代表必须由客户端采取动作才能满足所提出的要求。400到499和500到599代表客户端和服务器有问题。最常见的状态代码有两个,一个是404,代表客户端要求的资源不在服务器上,403代表的是所要求的资源拒绝服务。Apache记录文件的预设储存位置在/usr/local/apache/logs。最有价值的记录文件是access_log,不过 ssl_request_log和ssl_engine_log也能提供有用的资料。 access_log记录文件有七个字段,包括客户端IP地址、特殊人物识别符、用户名称、日期、Method Resource Protocol(GET、POST等;要求哪些资源;然后是协议的版本)、HTTP状态、还有传输的字节。
我在这里所用的是与黑客用的相似的模拟攻击网站方式和工具。(注意:在本文中所介绍的 *** 请大家不要试用,请大家自觉遵守 *** 准则!)
分析过程
网页服务器版本是很重要的信息,黑客一般先向网页服务器提出要求,让服务器送回本身的版本信息。只要把「HEAD / HTTP/1.0」这个字符串用常见的netcat utility(相关资料网址:)和OpenSSL binary(相关资料网址:)送到开放服务器的通讯端口就成了。注意看下面的示范:
C:nc -n 10.0.2.55 80
HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Sun, 08 Mar 2001 14:31:00 GMT
Content-Type: text/html
Set-Cookie: ASPSESSIONIDG *** *** QPA=IHOJAGJDECOLLGIBNKMCEEED; path=/
Cache-control: private
这种形式的要求在IIS和Apache的记录文件中会生成以下记录:
IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200
Linux: 11.1.2.80 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0
虽然这类要求合法,看似很平常,不过却常常是 *** 攻击的前奏曲。access_log和IIS的记录文件没有表明这个要求是连到SSL服务器还是一般的网页服务器,可是Apache的 ssl_request_log和ssl_engine_log(在/usr/local/apache/logs目录下)这两个记录文件就会记录是否有联机到SSL服务器。请看以下的ssl_request_log记录文件:
[07/Mar/2001:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0
第三和第四个字段表示客户端使用的是哪种加密方式。以下的ssl_request_log分别记录从OpenSSL、 Internet Explorer和Netscape客户端程序发出的要求。
[07/Mar/2001:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692
[07/Mar/2001:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692
[07/Mar/2001:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692
[07/Mar/2001:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692
另外黑客通常会复制一个网站(也就是所谓的镜射网站。),来取得发动攻击所需要的信息。网页原始码中的批注字段常有目录、文件名甚至密码的有用资料。复制网站常用的工具包括窗口系统的Teleport Pro(网址:)和Unix系统的wget(网址:)。在这里我为大家分析wget和TeleportPro这两个软件攻击网页服务器后记录文件中的内容。这两个软件能全面快速搜寻整个网站,对所有公开的网页提出要求。只要检查一下记录文件就知道,要解译镜射这个动作是很简单的事。以下是IIS的记录文件:
16:28:52 11.1.2.80 GET /Default.asp 200
16:28:52 11.1.2.80 GET /robots.txt 404
16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200
16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200
16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200
16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200
16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200
注:11.1.2.80这个主机是Unix系统的客户端,是用wget软件发出请求。
16:49:01 11.1.1.50 GET /Default.asp 200
16:49:01 11.1.1.50 GET /robots.txt 404
16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200
16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200
16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200
16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200
16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200
注:11.1.1.50系统是窗口环境的客户端,用的是TeleportPro发出请求。
注意:以上两个主机都要求robots.txt这个档,其实这个档案是网页管理员的工具,作用是防止wget和TeleportPro这类自动抓文件软件对某些网页从事抓取或搜寻的动作。如果有人提出robots.txt档的要求,常常代表是要镜射整个网站。但,TeleportPro和wget这两个软件都可以把要求robots.txt这个文件的功能取消。另一个侦测镜射动作的方式,是看看有没有同一个客户端IP反复提出资源要求。
黑客还可以用网页漏洞稽核软件:Whisker(网址:),来侦查网页服务器有没有安全后门(主要是检查有没有cgi-bin程序,这种程序会让系统产生安全漏洞)。以下是IIS和Apache网页服务器在执行Whisker后产生的部分记录文件。
IIS:
13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404
13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200
13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404
13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200
13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200
13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200
13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404
13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200
13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200
13:17:56 11.1.1.50 HEAD /carbo.dll 404
13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403
13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500
13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500
Apache:
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstop.html HTTP/1.0" 404 289
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273
11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0
11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0
大家要侦测这类攻击的关键,就在于从单一IP地址发出大量的404 HTTP状态代码。只要注意到这类信息,就可以分析对方要求的资源;于是它们就会拼命要求提供 cgi-bin scripts(Apache 服务器的 cgi-bin 目录;IIS服务器的 scripts目录)。
小结
网页如果被人探访过,总会在记录文件留下什么线索。如果网页管理员警觉性够高,应该会把分析记录文件作为追查线索,并且在检查后发现网站真的有漏洞时,就能预测会有黑客攻击网站。
接下来我要向大家示范两种常见的网页服务器攻击方式,分析服务器在受到攻击后黑客在记录文件中痕迹。
(1)MDAC攻击
MDAC攻击法可以让网页的客户端在IIS网页服务器上执行命令。如果有人开始攻击IIS服务器,记录文件就会记下客户端曾经呼叫msadcs.dll文档:
17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200
17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200
(2)利用原始码漏洞
第二种攻击方式也很普遍,就是会影响ASP和Java网页的暴露原始码漏洞。最晚被发现的安全漏洞是 +.htr 臭虫,这个bug会显示ASP原始码。 如果有人利用这个漏洞攻击,就会在IIS的记录文件里面留下这些线索:
17:50:13 11.1.2.80 GET /default.asp+.htr 200
网页常会只让有权限的使用者进入。接下来我们要让各位看 Apache的access_log记录文件会在登录失败时留下什么线索:
12.1.2.8 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462
注:第三栏里面的使用者名称是「user」。还有要注意HTTP的状态代号是401,代表非法存取。
服务器被DDoS攻击
摘自 *** :
以下几点是防御DDOS攻击几点:
1、采用高性能的 *** 设备 首先要保证 *** 设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和 *** 提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在 *** 接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
2、尽量避免NAT的使用 无论是路由器还是硬件防护墙设备要尽量避免采用 *** 地址转换NAT的使用,因为采用此技术会较大降低 *** 通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对 *** 包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。
3、充足的 *** 带宽保证 *** 带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,更好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M的并不意味着它的 *** 带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为 *** 服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。
4、升级主机服务器硬件 在有 *** 带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,若有志强双CPU的话就用它吧,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,别只贪IDE价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。
5、把网站做成静态页面 大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器,当然,适当放一些不做数据库调用脚本还是可以的,此外,更好在需要调用数据库的脚本中拒绝使用 *** 的访问,因为经验表明使用 *** 访问你网站的80%属于恶意行为。
6、增强操作系统的TCP/IP栈 Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个,具体怎么开启,自己去看微软的文章吧!《强化 TCP/IP 堆栈安全》。 也许有的人会问,那我用的是Linux和FreeBSD怎么办?很简单,按照这篇文章去做吧!《SYN Cookies》。
7、安装专业防火墙 ,用做抗DDOS等攻击,加速乐、安全宝、服务器安全狗等都可以看下。 如果是大流量攻击,建议采用软硬防相结合,或者是采用DDOS流量清洗
8、其他防御措施
如何防止服务器被恶意 *** 攻击?
1.在各个地区部署 *** ip的节点,使访问者能够迅速连接到附近的节点,使访问者能够更快地访问网站,CDN缓存能够进一步提高网站的访问速度,减轻对网站服务器的压力,提高网站服务器的稳定性。
2. *** ip的防御机制并非一种固定的防御策略。针对各种攻击类型,可以更好的阻断清理攻击,针对网站的攻击类型,采取针对性的防御策略。
3.网站服务器隐藏在后端, *** ip节点部署在前端,访问者访问或攻击与 *** ip节点连接, *** ip的防御机制自动识别是否为攻击,如果有,则自动清洗过滤。
4.将网站域名分析为 *** ip自动生成的CNAME记录值,并修改网站域名分析,网站域名未分析为网站服务器IP,从而使网站服务器IP地址隐藏在公共 *** 中。
云服务器被攻击,有哪些防护方式呢?
云技术的出现确实带给了现代企业非常大的便利。但是与好处伴随而来的,当然也有不愿触及的信息安全隐患。既然企业想要利用云技术带来的好处,那么自然也要想办法解决云中安全隐患,降低企业面临的风险。酷酷云给您七个秘诀。
秘诀一:从基本做起,及时安装系统补丁。不论是Windows还是Linux,任何操作系统都有漏洞,及时打上补丁避免漏洞被蓄意攻击利用,是服务器安全重要的保证之一。
秘诀二:安装和设置防火墙。对服务器安全而言,安装防火墙非常必要。防火墙对于非法访问具有很好的预防作用,但是安装了防火墙并不等于服务器安全了。在安装防火墙之后,还需要根据自身的 *** 环境,对防火墙进行适当的配置以达到更好的防护效果。
秘诀三:安装杀毒软件。现在 *** 上的病毒非常猖獗,这就需要在 *** 服务器上安装 *** 版的杀毒软件来控制病毒传播。同时,在 *** 杀毒软件的使用中,要定期或及时升级杀毒软件,并且每天自动更新病毒库。
秘诀四:关闭不需要的服务和端口。服务器操作系统在安装时,会启动一些不需要的服务,这样会占用系统的资源,而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器,可以完全关闭;对于其间要使用的服务器,也应该关闭不需要的服务,如Telnet等。另外,还要关掉没有必要开的TCP端口。
秘诀五:定期对服务器进行备份。为防止不能预料的系统故障或用户不小心的非法操作,必须对系统进行安全备份。除了对全系统进行每月一次的备份外,还应对修改过的数据进行每周一次的备份。同时,应该将修改过的重要系统文件存放在不同服务器上,以便出现系统崩溃时(通常是硬盘出错),可以及时地将系统恢复到正常状态
秘诀六:账号和密码保护。账号和密码保护可以说是服务器系统的之一道防线,目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统,那么前面的防卫措施几乎就失去了作用,所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。
秘诀七:监测系统日志。通过运行系统日志程序,∞系统会记录下所有用户使用系统的情形,包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表,通过对报表进行分析,就可以知道是否有异常现象。
从以上7个秘诀中,我们可以了解到服务器安全防护的技巧,同时我们也了解了构成云服务器的安全问题。都说云可能引发一场数据安全防护的变革,只要确保云本身的安全,其大数据和处理效率高的特性让传统的IT安全防护等级提升了好几倍,安全系数自然也会提高不少。
酷酷云服务器为您诚意解答,服务器租户的选择,酷酷云值得信赖。
0条大神的评论