网络防火墙可以防止内部的攻击吗?
防火墙的功能要看它怎么设置。
如果它设置的好,除了必须的应用,其他任何应用都可以阻挡,包括内网的。如果设置不好,装了防火墙,也无济于事。
防火墙就像一栋大楼的很多门,你将相应的门开,相应的关,保证正常工作,又防止非法侵入。但如果你什么门都开,防火墙形同虚设。如果什么都关,没人可以进来也没法办事。
防火墙区别在于网络层级别不同,防护原理和级别不同,其他基本都一样。
8, 防火墙能不能阻止来自于网络内部的攻击
一般来说防火墙是阻止外网因特网与内网的信息交换,来自内网可能阻止不了
服务器怎么防止被攻击
1、关闭不必要的端口和服务
2、安装类似安全狗软件这种的防火墙,来防御攻击,同时查杀病毒。同时,可利用安全狗服云来管理服务器和网站,添加IP黑名单,分析安全威胁,并找到攻击源头并进行处理。
3、定期修改账户密码,尽量设置的复杂些,不要使用弱密码。
4、日常维护的时候要注意,不建议在服务器上安装过多的软件。
5、及时修复漏洞,在有官方安全补丁发布时,要及时更新补丁。
6、设置账户权限,不同的文件夹允许什么账号访问、修改等,同时,重要的文件夹建议增加密码。
7、建议要定期备份数据,当有发现问题时,可以及时替换成正常的文件
如何防止局域网内的网络攻击
网络攻击是近来常发生的问题,可以分为遭受外网攻击及内网攻击。以下分别说明:
1、外部来的DoS攻击会造成网络掉线,判别方法是从路由器的系统日志文件中可以看出,Qno侠诺的路由器会显示遭受攻击,而且路由器持续在工作。其它品牌的路由器,有些也有相关的功能,用户可以查看使用手册。DoS病毒攻击,如SYN攻击,因为发出大量数据包导致系统资源占用过多,使路由器损耗效能造成网络壅塞,达到瘫痪网吧网络对于广域网来的攻击,路由器能作的不多,也无法反击。此时,网吧管理者或网管应直接联系对应的运营商,请求更换WAN IP。
2、内网遭受DoS攻击时,也会造成掉线或壅塞。网吧管理者或网管可以从被激活的告警日志中,查找到内网攻击源头的中毒机器,第一时间先拔除PC机网络线,阻止DoS攻击影响扩大,并进行杀毒或重新安装系统。
3、内网遭受冲击波攻击是另一个原因,冲击波攻击,是针对网络特定服务端口(TCP/UDP 135~139,445)发出大量数据包导致系统资源占用过多,使路由器损耗效能造成网络壅塞,以达到瘫痪网吧网络的目的。同样网吧管理者或网管可以从Qno侠诺被激活的告警日志中,发现问题。 网吧管理者或网管可以针对特定服务端口(TCP/UDP 135~139,445)设置网络存取条例,并从被激活的防火墙日志中,查找到内网攻击源头的中毒机器,第一时间先拔除PC机网络线,阻止冲击波攻击影响扩大,并进行杀毒或重新安装系统。
4、内网遭受ARP攻击是最近常发生的原因,ARP病毒攻击以窜改内网PC机或路由器 IP或MAC地址,来达到盗取用户账号/密码,进一步进行网络盗宝等犯罪行为,或是恶意瘫痪网吧网络。ARP病毒攻击会造成内网IP或MAC冲突,出现短时间内部份断线。网吧要确定网吧已做好Qno侠诺路由器及内网PC机端双向绑定IP/MAC地址的防制工作,内网所有的PC机与路由器IP/MAC地址对应关系都被保存到路由器的ARP缓存表中,不能被轻易更改。此时ARP攻击虽然并不会扩及其它PC机,但网吧管理者或网管还是必须立即查找出内网攻击源头的中毒机器,进行杀毒或重新安装系统。路由器内建ARP病毒来源自动检测工具,系统日志中可提供攻击源的IP或MAC地址,帮助网吧进行查找攻击源机器。有些高阶路由器也都有相仿的设计。
网络遭受攻击,可从路由器相关功能找出遭受攻击类型,网吧管理者或网管查找、直击攻击源加以隔离与排除,在攻击发起时即能迅速加以解决,无需等到客人反应受到影响。
另外网络的雍堵也可能造成掉线.
1、短暂网络壅塞,有可能是网吧内突发的带宽高峰,网吧管理员或网管应关注路由器的带宽统计,可先持续关注状况。若是尖峰时段,网吧客人较多,带宽也会比较吃紧,或是有用户使用BT、P2P软件做大量上传,占用大量带宽,造成网络卡。网吧管理员或网管此时应设置QoS流量管理规范内网用户最大使用带宽,才能让网络联机恢复正常,解决壅塞情况。
2、尖峰时段持续性壅塞,是有用户使用BT、P2P 软件进行大量下载,或在线观看电影、视讯等占用大量带宽行为。若是用户观看电影人数很多,网吧应考虑于内网安装电影服务器供用户使用,才不致因观看影片人多占用对外带宽。对于大量下载,则应考虑建置内部私服加以改善。
3、若是长时间从路由器看到带宽占用率高,有可能表示网吧根本带宽不足,线路带宽过小,不足以提供目前在线众多人数使用,应考虑加大线路带宽。这时就可利用多WAN口特性进行带宽的升级,解决带宽不足的问题。
措施:基于路由器的防范方法
一.内部PC基于IP地址限速
现在网络应用众多,BT、电驴、迅雷、FTP、在线视频等,都是非常占用带宽,以一个200台规模的网吧为例,出口带宽为10M,每台内部PC的平均带宽为50K左右,如果有几个人在疯狂的下载,把带宽都占用了,就会影响其他人的网络速度了,另外,下载的都是大文件,IP报文最大可以达到1518个BYTE,也就是1.5k,下载应用都是大报文,在网络传输中,一般都是以数据包为单位进行传输,如果几个人在同时下载,占用大量带宽,如果这时有人在玩网络游戏,就可能会出现卡的现象。
一个基于IP地址限速的功能,可以给整个网吧内部的所有PC进行速度限制,可以分别限制上传和下载速度,既可以统一限制内部所有PC的速度,也可以分别设置内部某台指定PC的速度。速度限制在多少比较合适呢?和具体的出口带宽和网吧规模有关系,不过最低不要小于40K的带宽,可以设置在100-400K比较合适。
二:内部PC限制NAT的链接数量
NAT功能是在网吧中应用最广的功能,由于IP地址不足的原因,运营商提供给网吧的一般就是1个IP地址,而网吧内部有大量的PC,这么多的PC都要通过这唯一的一个IP地址进行上网,如何做到这点呢?
答案就是NAT(网络IP地址转换)。内部PC访问外网的时候,在路由器内部建立一个对应列表,列表中包含内部PCIP地址、访问的外部IP地址,内部的IP端口,访问目的IP端口等信息,所以每次的ping、QQ、下载、WEB访问,都有在路由器上建立对应关系列表,如果该列表对应的网络链接有数据通讯,这些列表会一直保留在路由器中,如果没有数据通讯了,也需要20-150秒才会消失掉。(对于RG-NBR系列路由器来说,这些时间都是可以设置的)
现在有几种网络病毒,会在很短时间内,发出数以万计连续的针对不同IP的链接请求,这样路由器内部便要为这台PC建立万个以上的NAT的链接。
由于路由器上的NAT的链接是有限的,如果都被这些病毒给占用了,其他人访问网络,由于没有NAT链接的资源了,就会无法访问网络了,造成断线的现象,其实这是被网络病毒把所有的NAT资源给占用了。
针对这种情况,不少网吧路由器提供了可以设置内部PC的最大的NAT链接数量的功能,可以统一的对内部的PC进行设置最大的NAT的链接数量设置,也可以给每台PC进行单独限制。
同时,这些路由器还可以查看所有的NAT链接的内容,看看到底哪台PC占用的NAT链接数量最多,同时网络病毒也有一些特殊的端口,可以通过查看NAT链接具体内容,把到底哪台PC中毒了给揪出来。
三:ACL防网络病毒
网络病毒层出不穷,但是道高一尺,魔高一丈,所有的网络病毒都是通过网络传输的,网络病毒的数据报文也一定遵循TCP/IP协议,一定有源IP地址,目的IP地址,源TCP/IP端口,目的TCP/IP端口,同一种网络病毒,一般目的IP端口是相同的,比如冲击波病毒的端口是135,震荡波病毒的端口是445,只要把这些端口在路由器上给限制了,那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了,内部的网络病毒发起的报文,由于在路由器上作了限制,路由器不加以处理,则可以降低病毒报文占据大量的网络带宽。
优秀的网吧路由器应该提供功能强大的ACL功能,可以在内部网接口上限制网络报文,也可以在外部王接口上限制病毒网络报文,既可以现在出去的报文,也可以限制进来的网络报文。
四:WAN口防ping功能
以前有一个帖子,为了搞跨某个网站,只要有大量的人去ping这个网站,这个网站就会跨了,这个就是所谓的拒绝服务的攻击,用大量的无用的数据请求,让他无暇顾及正常的网络请求。
网络上的黑客在发起攻击前,都要对网络上的各个IP地址进行扫描,其中一个常见的扫描方法就是ping,如果有应答,则说明这个ip地址是活动的,就是可以攻击的,这样就会暴露了目标,同时如果在外部也有大量的报文对RG-NBR系列路由器发起Ping请求,也会把网吧的RG-NBR系列路由器拖跨掉。
现在多数网吧路由器都设计了一个WAN口防止ping的功能,可以简单方便的开启,所有外面过来的ping的数据报文请求,都装聋作哑,这样既不会暴露自己的目标,同时对于外部的ping攻击也是一个防范。
五:防ARP地址欺骗功能
大家都知道,内部PC要上网,则要设置PC的IP地址,还有网关地址,这里的网关地址就是NBR路由器的内部网接口IP地址,内部PC是如何访问外部网络呢?就是把访问外部网的报文发送给NBR的内部网,由NBR路由器进行NAT地址转发后,再把报文发送到外部网络上,同时又把外部回来的报文,去查询路由器内部的NAT链接,回送给相关的内部PC,完成一次网络的访问。
在网络上,存在两个地址,一个是IP地址,一个是MAC地址,MAC地址就是网络物理地址,内部PC要把报文发送到网关上,首先根据网关的IP地址,通过ARP去查询NBR的MAC地址,然后把报文发送到该MAC地址上,MAC地址是物理层的地址,所有报文要发送,最终都是发送到相关的MAC地址上的。
所以在每台PC上,都有ARP的对应关系,就是IP地址和MAC地址的对应表,这些对应关系就是通过ARP和RARP报文进行更新的。
目前在网络上有一种病毒,会发送假冒的ARP报文,比如发送网关IP地址的ARP报文,把网关的IP对应到自己的MAC上,或者一个不存在的MAC地址上去,同时把这假冒的ARP报文在网络中广播,所有的内部PC就会更新了这个IP和MAC的对应表,下次上网的时候,就会把本来发送给网关的MAC的报文,发送到一个不存在或者错误的MAC地址上去,这样就会造成断线了。
这就是ARM地址欺骗,这就是造成内部PC和外部网的断线,该病毒在前一段时间特别的猖獗。针对这种情况,防ARP地址欺骗的功能也相继出现在一些专业路由器产品上。
六:负载均衡和线路备份
举例来说,如锐捷RG-NBR系列路由器全部支持VRRP热备份协议,最多可以设定2-255台的NBR路由器,同时链接2-255条宽带线路,这些NBR和宽带线路之间,实现负载均衡和线路备份,万一线路断线或者网络设备损坏,可以自动实现的备份,在线路和网络设备都正常的情况下,便可以实现负载均衡。该功能在锐捷的所有的路由器上都支持。
而RG-NBR系列路由器中的RG-NBR1000E,更是提供了2个WAN口,如果有需要,还有一个模块扩展插槽,可以插上电口或者光接口模块,同时链接3条宽带线路,这3条宽带线路之间,可以实现负载均衡和线路备份,可以基于带宽的负载均衡,也可以对内部PC进行分组的负载均衡,还可以设置访问网通资源走网通线路,访问电信资源走电信线路的负载均衡。
路由器如何设置可以防止局域网内的ARP攻击?
给无线路由加密码,数字和字母组合的。纯数字很容易被破解 。路由器里设置静态IP/MAC绑定:打开路由器→DHCP服务器→静态地址分配→把每个人的IP地址和对应的MAC物理地址填上去→保存然后重启路由。
在右页面可以看见一些基本参数:SSID号可以填入自己喜欢的名字也可不作修改,修改目的是便于在无线设备设置时与别人的无线路由器进行区分频段,在周围有多个无线路由器时修改(一般相对于别人路由频段+-3进行设置,不建议使用13频段,因为部分带wifi功能的手机或PDA无法识别该频段)。
确定开启无线功能;开启安全设置已打钩(允许SSID广播,建议初级用户打勾,防止自己忘记路由器SSID号,造成不必要的麻烦),进行密码设置;
一般家用网络安全类型选择"WEP",安全选项选择“自动选择”;
密钥格式选择:“ASCII码”(16进制较麻烦,很难记住密码);
在密匙1后面的密钥类型选择一个相应值(建议128位);
在密匙内容对应的框中填入自己的密码,注意字符个数不能多也不能少。选择64位密钥需输入16进制数字符10个,或者ASCII码字符5个。选择128位密钥需输入16进制数字符26个,或者ASCII码字符13个。选择152位密钥需输入16进制数字符32个,或者ASCII码字符16个。
确定以上设置步骤完成按“保存”按钮,无线路由器部分设置到此结束。
服务器被DDOS攻击最佳解决方案是什么?报网警有用么?
服务器被DDOS攻击最佳解决方案是什么?报网警有用么?
目前,有效缓解DDoS攻击的解决方案可分为 3 大类:
架构优化
服务器加固
商用的DDoS防护服务
架构优化
在预算有限的情况下,建议您优先从自身架构的优化和服务器加固上下功夫,减缓DDoS攻击造成的影响。
部署DNS智能解析通过智能解析的方式优化DNS解析,有效避免DNS流量攻击产生的风险。同时,建议您托管多家DNS服务商。
屏蔽未经请求发送的DNS响应信息
典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中,在DNS服务器对查询请求进行处理之后,服务器会将响应信息返回给DNS解析器。
但值得注意的是,响应信息是不会主动发送的。服务器在没有接收到查询请求之前,就已经生成了对应的响应信息,这些回应就应被丢弃。
丢弃快速重传数据包
即便是在数据包丢失的情况下,任何合法的DNS客户端都不会在较短的时间间隔内向同- -DNS服务器发送相同的DNS查询请求。如果从相同IP地址发送至同一目标地址的相同查询请求发送频率过高,这些请求数据包可被丢弃。
启用TTL
如果DNS服务器已经将响应信息成功发送了,应该禁 止服务器在较短的时间间隔内对相同的查询请求信息进行响应。
对于一个合法的DNS客户端,如果已经接收到了响应信息,就不会再次发送相同的查询请求。
每一个响应信息都应进行缓存处理直到TTL过期。当DNS服务器遭遇大查询请求时,可以屏蔽掉不需要的数据包。
丢弃未知来源的DNS查询请求和响应数据
通常情况下,攻击者会利用脚本对目标进行分布式拒绝服务攻击( DDoS攻击) , 而且这些脚本通常是有漏洞的。因此,在服务器中部署简单的匿名检测机制,在某种程度上可以限制传入服务器的数据包数量。
丢弃未经请求或突发的DNS请求
这类请求信息很可能是由伪造的代理服务器所发送的,或是由于客户端配置错误或者是攻击流量。无论是哪一种情况,都应该直接丢弃这类数据包。
非泛洪攻击(non-flood) 时段,可以创建一个白名单 ,添加允许服务器处理的合法请求信息。
白名单可以屏蔽掉非法的查询请求信息以及此前从未见过的数据包。
这种方法能够有效地保护服务器不受泛洪攻击的威胁,也能保证合法的域名服务器只对合法的DNS查询请求进行处理和响应。
启动DNS客户端验证
伪造是DNS攻击中常用的一种技术。如果设备可以启动客户端验证信任状,便可以用于从伪造泛洪数据中筛选出非泛洪数据包。
对响应信息进行缓存处理如果某- -查询请求对应的响应信息已经存在于服务器的DNS缓存之中,缓存可以直接对请求进行处理。这样可以有效地防止服务器因过载而发生宕机。
使用ACL的权限
很多请求中包含了服务器不具有或不支持的信息,可以进行简单的阻断设置。例如,外部IP地址请求区域转换或碎片化数据包,直接将这类请求数据包丢弃。
利用ACL , BCP38及IP信营功能
托管DNS服务器的任何企业都有用户轨迹的限制,当攻击数据包被伪造,伪造请求来自世界各地的源地址。设置-个简单的过滤器可阻断不需 要的地理位置的IP地址请求或只允许在地理位置白名单内的IP请求。
同时,也存在某些伪造的数据包可能来自与内部网络地址的情况,可以利用BCP38通过硬件过滤清除异常来源地址的请求。
部署负载均衡通过部署负载均衡( SLB )服务器有效减缓CC攻击的影响。通过在SLB后端负载多台服务器的方式,对DDoS攻击中的CC攻击进行防护。
部署负载均衡方案后,不仅具有CC攻击防护的作用,也能将访问用户均衡分配到各个服务器上,减少单台服务器的负担,加快访问速度。
使用专有网络通过网络内部逻辑隔离,防止来自内网肉鸡的攻击。
提供余量带宽通过服务器性能测试,评估正常业务环境下能承受的带宽和请求数,确保流量通道
不止是日常的量,有-定的带宽余量可以有利于处理大规模攻击。
服务器加固
在服务器上进行安全加固,减少可被攻击的点,增大攻击方的攻击成本:
确保服务器的系统文件是最新的版本,并及时更新系统补丁。
对所有服务器主机进行检查,清楚访问者的来源。
过滤不必要的服务和端口。例如, WWW服务器,只开放80端口,将其他所有端口关闭,或在防火墙上做阻止策略。
限制同时打开的SYN半连接数目,缩短SYN半连接的timeout时间,限制SYN/ICMP流量。
仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更,则说明服务器可能遭到了攻击。
限制在防火墙外与网络文件共享。降低黑客截取系统文件的机会,若黑客以特洛伊木马替换它,文件传输功能无疑会陷入瘫痪。
充分利用网络设备保护网络资源。在配置路由器时应考虑以下策略的配置:流控、包过滤、半连接超时、垃圾包丢弃,来源伪造的数据包丢弃, SYN阀值,禁用ICMP和UDP广播。
通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接,限制疑似恶意IP的连接、传输速率。
识别游戏特征,自动将不符合游戏特征的连接断开。
防止空连接和假人攻击,将空连接的IP地址直接加入黑名单。
配置学习机制,保护游戏在线玩家不掉线。例如,通过服务器搜集正常玩家的信息,当面对攻击时,将正常玩家导入预先准备的服务器,并暂时放弃新进玩家的接入,以保障在线玩家的游戏体验。
商用的DDoS防护服务
针对超大流量的攻击或者复杂的游戏CC攻击,可以考虑采用专业的DDoS解决方案。目前,阿里云、磐石云、腾讯云有针对各种业务场景的DDOS攻击解决方案。
目前,通用的游戏行业安全解决方案做法是在IDC机房前端部署防火墙或者流量清洗的一些设备, 或者采用大带宽的高防机房来清洗攻击。
当宽带资源充足时,此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈:例如单点的IDC很容易被打满,对游戏公司本身的成本要求也比较高。
您可根据自己的预算和遭受攻击的严重程度,来决定采用哪些安全措施。
安全防护有日志留存的可以选择报网警,前提是你自己的业务没有涉灰问题。
报网警有用吗?
至于报警,肯定有用,你不报警,警方没有线索,怎么抓人?
但是,这个作用不一定立即体现,警方需要时间侦查,需要取证。
DDoS的特点决定了,如果不在攻击时取证,证据很快就没了。因此要攻击者反复作案,才好抓。
对一一个被害人,只作案一次,或者随机寻找被害人的情况,最难抓。
而且调查涉及多方沟通、协调,比如被利用的主机的运营者,被害人,可能涉及多地警方的合作等等。
指望警方减少犯罪分子是可以的,但是指望通过报警拯救你的业务,只能说远水解不了近渴。
0条大神的评论