做机房,尤其是高安全性的机房,你不仅需要良好的网络布局来实现网络的负载均衡,还需要强大的硬件防火墙来支撑。在这里,边肖将带你详细了解什么是高安全***器,以及DDos防护的原理。
高安全***器
单个独立的抗DDos能力在50G以上的服务器称为高安全***器,可以保证客户业务的安全性和稳定性。高安全***器属于服务器的范畴,每个机房的部署都不一样。硬防和软防也是目前的两种防护。什么是硬防御和软防御?可以用通俗易懂的方式帮助客户抵御ddos或CC攻击,全天候监控机房主要节点线路,检查服务器可能存在的安全漏洞。我们都称之为高安全***器。
硬防御和软防御
在选择高安全***器时,首先要知道防御的类型和规模。它是防火墙和外部网络之间以及私有网络和公共网络之间的保护屏障。防火墙有两种:一种是软件防火墙,另一种是硬件防火墙。
1.软件防火墙:软件防火墙寄生在操作平台上。软件防火墙是通过软件将内网和外网隔开的一道保护屏障。
2.硬件防火墙:硬件防火墙嵌入在系统中。硬件是软件和硬件的结合。硬件防火墙在性能和防御上优于软件防火墙。
牵引流
这是一种新的保护方式,流量牵引技术,智能区分正常流量和异常流量,将异常攻击流量拖到DDos或抗CC的保护设备上,而不是让服务器本身承担打击。
攻击类型
现在的攻击种类繁多,有Syn,Ack Flood,ICMP,HTTP GET,Udp_Flood,CC(Challenge Collapsar),Tcp全连接攻击等。就目前的防火墙设备而言,只能分析每个数据包,数据连接的状态也是有限的。保护Syn或者变体Syn和Ack的效果还可以,但是不能从根本上分析Tcp和UDP协议。其中Syn、UDP_Flood、CC(Challenge Collapsar)也是最常见,遇到最多的攻击。其中CC(Challenge Collapsar)攻击是最让客户和机房恶心和头疼的。
如何保护?
什么是操作系统和分布式拒绝服务?DoS是一种使用单台计算机的攻击方法。分布式拒绝服务(DDoS)是一种基于拒绝服务的特殊攻击形式。这是一种分布式协同的大规模攻击模式,主要针对比较大的网站,比如一些商业公司、搜索引擎、政府部门的网站。DdoS攻击是利用一组受控的机器来攻击一台机器。这样的突然袭击防不胜防,所以破坏力很大。如果过去网络管理员可以按照拒绝服务来过滤IP地址,那么现在就没有办法用拒绝服务来处理大量伪造的地址了。因此,防止DdoS攻击变得更加困难。如何采取有效措施应对?下面从两个方面进行介绍。DdoS攻击是黑客最常用的攻击手段,主要是为了保证安全而进行防范。以下是一些一般的处理方法。
(1)常规扫描
定期扫描现有网络主节点,检查可能存在的安全漏洞,及时清理新的漏洞。由于其高带宽,骨干计算机是黑客的最佳场所,因此加强这些主机的主机安全非常重要。另外,所有连接到网络主要节点的计算机都是服务器级计算机,因此定期扫描漏洞就变得更加重要。
(2)在骨干节点配置防火墙。
防火墙本身可以抵御DdoS攻击和其他攻击。当发现攻击时,可以将其定向到一些受害主机,这样可以保护真正的主机免受攻击。当然,这些牺牲性的面向主机的系统可以选择不重要的系统,或者像linux、unix这样漏洞少、对攻击有良好天然防御的系统。
(3)使用足够多的机器抵御黑客攻击。
这是一种理想的应对策略。如果用户有足够的能力和资源攻击黑客,那么在不断访问用户获取用户资源的过程中,自身的能量会逐渐消耗,黑客可能无法支撑攻击,直到用户被杀死。但是这种方式需要大量的投资,而且大部分设备平时都是闲置的,与中小企业网络的实际运行情况不符。
(4)充分利用网络设备保护网络资源。
所谓网络设备,是指路由器、防火墙等负载均衡设备,能够有效保护网络。网络被攻击,路由器先死,其他机器不死。重启后,故障路由器会恢复正常,快速启动,没有任何损失。如果其他服务器死亡,数据将会丢失,重新启动服务器是一个漫长的过程。特别是一家公司使用负载均衡设备,所以当一台路由器受到攻击崩溃时,另一台会立即工作。从而最小化DdoS攻击。
(5)过滤不必要的服务和端口。
过滤不必要的服务和端口,也就是过滤路由器上的假IP……很多服务器只开放服务端口是比较流行的做法。例如,WWW服务器只开放80个端口,关闭所有其他端口,或者在防火墙上实施阻塞策略。
(6)查看访客来源。
通过反向路由器查询和单播反向路径转发检查访问者的IP地址是否正确。如果是假的,就会被屏蔽。很多黑客经常用假的IP地址迷惑用户,很难发现它是从哪里来的。因此,使用单播反向路径转发可以减少虚假IP地址的发生,有助于提高网络安全性。
(7)过滤RFC1918的所有IP地址
RFC1918 IP地址是内网的IP地址,比如10.0.0,192.168.0.0,172.16.0.0。不是网段的固定IP地址,而是互联网中预留的区域IP地址,应该过滤掉。这种方法不过滤内部人员的访问,而是过滤攻击过程中伪造的大量虚假内部IP,从而减少DdoS攻击。
(8)限制同步/ICMP流量
用户要在路由器上配置SYN/ICMP的最大流量,限制SYN/internet控制报文协议可以占用的最大带宽,这样当大量SYN/ICMP流量超过限制时,就不是正常的网络访问,而是黑客攻击。在早期阶段限制SYN/ICMP流量是防止DOS的最佳方法。虽然这种方法对DDoS的效果并不明显,但还是能起到一定的作用。如果一个用户受到攻击,寻找机会应对攻击,他能做的抵抗攻击的事情将会非常有限。因为没有准备好大流量的灾难性攻击,很可能在用户恢复意识之前网络就瘫痪了。然而,用户仍然可以抓住机会寻找一线希望。
(1)检查攻击源。
黑客通常通过多个伪造的IP地址发动攻击。这时候如果用户能分辨出哪个是真IP地址,哪个是假IP地址,那么就知道这个IP来自哪个网段,然后要求网络管理员关闭这些机器,以便从一开始就消除攻击。如果发现这些IP地址是外部的,而不是公司的,可以通过临时过滤服务器或路由器上的IP地址来过滤这些IP地址。
(2)找出攻击者经过的路径,停止攻击。
如果黑客从某些端口发起攻击,用户可以阻止这些端口的入侵。但是这种方法只有一个出口到公司网络,受到外部DDoS攻击时无法工作。毕竟出口关闭后没有电脑可以上网。
如果我们按照文中的方法和思路来防范DDos,效果会非常显著,可以将攻击造成的损失降到最低。
以上是边肖介绍的高安全***器防御DDoS的原理。虽然无法彻底防御DDoS攻击,但仍然可以实现有效的缓解。这时候我们不仅要依靠高安全***器的知识,还要学会如何防御DDoS,根据不同的情况为企业制定高安全性的服务器解决方案。
本文来自安安分分做我自我投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/523217.html