企业网站如何防御cc攻击?
1、服务器垂直扩展和水平扩容
资金允许的情况下,这是最简单的一种方法,本质上讲,这个方法并不是针对CC攻击的,而是提升服务本身处理并发的能力,但确实提升了对CC攻击的承载能力。
•垂直扩展:是指增加每台服务器的硬件能力,如升级CPU,增加内存,升级SSD固态硬盘等。
•水平扩容:是指通过增加提供服务的服务器来提升承载力。
上述扩展和扩容可以在服务的各个层级进行,包括:应用服务器、数据库服务器、缓存服务器等等。
2、数据缓存(内存级别,不要用文件)
对于服务中具备高度共性,多用户可重用,或单用户多次可重用的数据,一旦从数据库中检索出,或通过计算得出后,最好将其放在缓存中。后续请求均可直接从缓存中取得数据,减轻数据库的检索压力和应用服务器的计算压力,并且能够快速返回结果并释放进程,从而也能缓解服务器的内存压力。需要注意的是,缓存不要使用文件形式,可以使用redis、memcached等基于内存的no sql缓存服务,并且与应用服务器分离,单独部署在局域网内。局域网内的网络IO肯定比起磁盘IO要高。当然,为了不使局域网带宽成为瓶颈,千兆网络也是有必要的。
3、 页面静态化
与数据缓存一样,页面数据本质上也属于数据,常见的手段是生成静态化的html页面文件,利用客户端浏览器的缓存功能或者服务端的缓存服务,以及CDN节点的缓冲服务,均可以降低服务器端的数据检索和计算压力,快速相应结果并释放连接进程。
4、用户级别的调用频率限制
不管服务是有登陆态还是没登陆态,基于session等方式都可以为客户端分配唯一的识别ID(后称作SID),服务端可以将SID存到缓存中。当客户端请求服务时,如果没有带SID(cookie中或请求参数中等),则由服务端快速分配一个并返回。可以的话,本次请求可以不返回数据,或者将分配SID独立出业务服务。当客户端请求时带了合法SID(即SID能在服务端缓存中匹配到),便可以依据SID对客户端进行频率限制。而对于SID非法的请求,则直接拒绝服务。相比根据IP进行的频率限制,根据SID的频率限制更加精准可控,最大程度的避免误杀的情况。
5、IP限制
最后,IP限制依然可以结合上述规则一起使用,但是可以将其前置到外层的防火墙或负载均衡器上去做。并且可以调大限制的阈值(结合历史统计数量,预测一个极端的访问量阈值,在服务器可承受的范围内,尽量避免误伤),防止恶意访问穿透到应用服务器上,造成应用服务器压力。
我公司的服务器最近老是被攻击,如何防范?
1、当我们在发现服务器被攻击或被入侵后,建议应立即关闭所有网站服务,暂停至少3小时。
2、查看服务器日志,看下是怎么回事。并且对服务器进行整体安全扫描。检测是否存在病毒等威胁。
3、为系统升级安全补丁,包括所有运行着的服务器软件。
4、安装防火墙对攻击进行防御。市面上有很多的服务器安全软件,比如说安全狗,就是一款不错的服务器防火墙。
5、建议为服务器和网站重新配置权限,关闭删除可疑的系统账户。
6、重新设置各种管理密码,并把密码设置的复杂些。
7、对服务器日志进行备份,对所有网站的数据和程序进行备份操作,防止黑客恶意删除网站数据造成经济损失。
并且在接下来的几天里要密切关注服务器和网站的运行情况,看是否还会出现黑客攻击的情况发生,然后根据日志发现并修补那些未知的漏洞。
转~~~希望对你有用
如何防止黑客攻击网站
退出并重新进入。
选择“工具”→点击浏览器菜单栏上的“选项”(如果菜单栏没有出现,点击键盘的“Alt”键调出菜单栏)。在弹出的“选项”窗口中单击“内容”选项→删除“阻止弹出窗口”→单击“确定”按钮。
攻击模式
黑客攻击网络的方式多种多样。一般来说,攻击总是利用“系统配置缺陷”、“操作系统安全漏洞”或“通信协议安全漏洞”进行。已经发现了2000多种攻击,其中大部分黑客手段都有相应的解决方案。这些攻击可以大致分为以下六类:
拒绝服务攻击:一般来说,拒绝服务攻击是使目标对象(通常是工作站或重要服务器)的关键系统资源过载,使目标对象停止部分或全部服务。
已知的拒绝服务攻击有数百种,是最基本的入侵攻击,也是最难的攻击之一。典型的例子有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。
未经授权的访问企图:攻击者试图读取、写入或执行受保护的文件,包括试图获得受保护的访问。
预检测攻击(Pre-detection attack):在持续的未授权访问尝试过程中,攻击者通常会利用这种攻击尝试来获取网络内部和周围的信息。典型的例子有撒旦扫描、端口扫描、IP中途扫描等。
可疑活动:指通常定义的“标准”网络通信类别之外的活动,也可以指网络上不需要的活动,如IP未知协议和重复IP地址事件。
协议解码:协议解码可以用在以上任何一种意想不到的方法中。网络或安全管理员需要解码并得到相应的结果。解码的协议信息可以指示期望的活动,例如FTU用户和端口映射器代理。
如何正确的防范恶意攻击
一、一般网络恶意攻击分为3类
分别为ARP欺骗攻击、CC攻击、DDoS流量攻击。
( 1 ) ARP欺骗攻击
地址解析协议(ARP)是TCP/IP栈中的一个网络层,它将一个IP地址解析为MAC地址。ARP协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址,保证通信的进行。ARP攻击只能在以太网(LAN,如:机房、内部网、企业网络等)中进行,无法攻击外部网络(Internet、非本地局域网)。
( 2 ) CC攻击
相对而言,这种攻击比较有害。主机空间中有一个参数IIS连接数。当所访问的网站超过IIS连接数时,网站将出现不可用的服务。攻击者使用受控制的机器不断地向被攻击的网站发送访问请求,迫使IIS超过其连接限制数,当CPU或带宽资源耗尽时,网站将被攻击至关闭。对于高达100兆字节的攻击,防火墙是相当费力的,有时甚至会导致防火墙CPU资源耗尽而导致防火墙崩溃。高达100兆以上,在上层路由时操作员通常会阻止攻击的IP。CC攻击对动态网站造成的破坏最大,通常几台的电脑就可以搞垮一个网站。
(3)DDoS攻击
这是一种DDoS攻击,而且这种攻击是最有害的。其原理是向目标服务器发送大量数据包,占用其带宽。对于流量攻击,简单地添加防火墙是无用的,必须有足够的带宽与防火墙配合进行防御。
二、 解决办法
(1) ARP欺骗
1)ARP欺骗是通过重复应答实现的,那么只需要在本机添加一条静态的ARP映射,这样就不需要询问网关MAC地址了,这种方法只对主机欺骗有效。对于网关欺骗还需要在网关中也添加一条到主机的静态ARP映射。1.用管理身份运行命令提示符;输入netsh i i show in,查看一下本机有哪些网络连接;
2)查看一下网关的MAC地址。注意如果正遭受ARP欺骗攻击,通过此方法查处的可能是虚假的MAC地址。输入arp -a命令查询本机的arp映射表,如果找不到网关的信息,可以先ping一下网关;
3)输入:netsh -c “i i” add neighbors 连接的Idx号 网关IP 网关MAC 添加一条静态映射,我已经添加过了,所以会显示 对象已存在。
(2) CC攻击防御策略
1)取消域名绑定
一般来说,cc攻击的目标是网站的域名。例如,如果我们的网站域名是“mj007.cn”,攻击者会在攻击工具中将目标设置为域名,然后进行攻击。我们对这种攻击的反应是在IIS上解绑定域名,使CC攻击没有目标。具体步骤如下:打开“IIS管理器”来定位特定网站点击右键“属性”打开网站属性面板中,单击“高级”按钮右边的IP地址,选择域名条目进行编辑,删除“主机头值”或改变到另一个值(域名)。
经过模拟测试,取消域名绑定后,Web服务器的CPU立即恢复正常状态,通过IP接入连接一切正常。然而,同样明显的是,取消域名或更改域名不会改变其他人的访问权限。此外,针对IP的CC攻击是无效的,即使更改域名攻击者发现后,他也会攻击新域名。
2)域名欺骗解析
如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的,这样他再多的肉鸡或者代理也会宕机,让其自作自受。
另外,当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站,让其网警来收拾他们。现在一般的Web站点都是利用类似"新网"这样的服务商提供的动态域名解析服务,大家可以登录进去之后进行设置。
3)更改Web端口
一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器,定位到相应站点,打开站点"属性"面板,在"网站标识"下有个TCP端口默认为80,我们修改为其他的端口就可以了。
4)IIS屏蔽IP
我们通过命令或在查看日志发现了CC攻击的源IP,就可以在IIS中设置屏蔽该IP对Web站点的访问,从而达到防范IIS攻击的目的。在相应站点的"属性"面板中,点击"目录安全性"选项卡,点击"IP地址和域名现在"下的"编辑"按钮打开设置对话框。在此窗口中我们可以设置"授权访问"也就是"白名单",也可以设置"拒绝访问"即"黑名单"。比如我们可以将攻击者的IP添加到"拒绝访问"列表中,就屏蔽了该IP对于Web的访问。
5)采用防护CDN
前4种方法都是对网站访问有很大的伤害的,而采用CDN话是可以智能识别别并拦截CC攻击,有效减少了误杀率,让网站可以达到正常访问的效果,国内以阿里云WAF防火墙、蔓捷信息高防最为出名,其中蔓捷信息高防物伤力高,防御能力强,推荐使用。
(3) DDoS攻击防御方法
1)选择带有DDoS硬件防火墙的机房
目前大部分的硬防机房对100G以内的DDoS流量攻击都能做到有效防护。选择硬防主要是针对DDoS流量攻击这一块的,如果你的企业网站一直遭受流量攻击的困扰,那你可以考虑将你的网站服务器放到DDoS防御机房。但是有的企业网站流量攻击超出了硬防的防护范围了,那就得考虑下面第二种了。
2)CDN流量清洗防御
目前,大多数的CDN服务提供商是普通的CDN,不具有保护功能,购买CDN应注意检查,购买可以防止600 Gbps的 DDoS攻击,可以说应对当前绝大多数的DDoS攻击是没问题的。同时,CDN技术不仅对企业网站流量攻击具有保护功能,也可以加快企业的网站的速度(前提应该基于CDN节点的位置),解决某些地方的缓慢网站打开。
3)负载均衡技术
这种类型主要针对DDoS攻击中的CC攻击进行防护,它使web服务器或其他类型的服务器超载,这些服务器具有大量的网络流量,通常由页面或链接生成。当然,这种现象也可能发生在访问量很大的网站上,但我们必须将这些正常的现象与分布式拒绝服务攻击区分开来。将负载均衡方案添加到企业网站后,不仅可以保护网站不受CC攻击,还可以平衡用户对各个web服务器的访问,减轻单个web服务器的负担,加快网站访问速度。
0条大神的评论