服务器一直被攻击怎么办?
香港阿里云被流量攻击了,一说到防御攻击,很多用户可能会想到CDN、高防IP等防御产品,这个思路是不错的。但是香港阿里云相对于国内的阿里云而言,更多情况下是无法直接使用国内的CDN和高防IP来防御的。大部分用户在使用香港阿里云时,都是没有备案直接使用的,那么在遇到攻击时,也是没法使用国内的高防节点来进行防御的。那么香港阿里云遇到流量攻击时应该怎么处理?
并非属于容易受攻击的行业,攻击流量较小时,我们可以优先采用升级服务器防御值的形式来进行防御。那如果本身就是属于极易受到攻击的行业或者攻击流量来势凶猛的话。这种情况下,我们可以通过使用海外的高防节点来进行防护,海外高防CDN、海外高防IP都是不错的选择,并且在防御价格上也并不一定会比国内的贵哦。
在增值防御产品的选择上怎么选划算?
1、直接找阿里云处理
通过联系阿里云售后进行处理,售后技术人员会根据您的实际情况去推荐使用相应的云端防护产品。
2、找专业做IDC安全防护的企业处理
通过联系具备有IDC相关资质的网络安全公司来量身定制防御方案,协助处理流量攻击的问题。
那么这两种方式哪种更划算呢?
单从价格上来说,大厂的云端防护产品在价格上必然不会很低的,如果追求性价比的话,也可以选择其他专业的规模中等的IDC公司来做云端安全防护。规模小些的IDC公司在价格上是会有绝对性的优势的,一般的流量攻击都是可以通过策略定制帮您防住的。
很多用户在面对攻击来袭时都会有遇到一个情况,虽然我们使用了高防IP,但是还是无法有效的防御住DDOS攻击,其实主要的原因在于,DDOS流量攻击的防御值已经超过了服务器本身的防御阈值了,这种情况下肯定是无法防御住的。今天小蚁君说说。
当然使用高防服务器防不住,除了攻击的确达到阈值外,我们还需要考虑的是,是否是因为我们所使用高防服务器的防御值并非是真实的防御。如果您是通过正规的IDC运营商去租用的高防服务器,一般都是真实的配置的,正规的企业也不会出租缩水的服务器。这种情况下也许真的是因为攻击流量达到阈值了。面对这种流量超过阈值的情况,一般情况下,客服会建议您更换防御值更大的服务器。其实我们也可以换台服务器,也可以选择在原有的服务器基础上增加防御值。例如原先您的防御是100G的,可以升级到200G。如果还是防不住,这种情况下,就没必要在盲目的去升级防御了。可以尝试去找IDC供应商去做一个防御策略,最好做一个可以包防住的套餐。当然这种包防住的价格是会很贵的。如果追求性价比的话,也是可以通过添加高防IP这类云端防御产品来进行防护的,效果也是特别好的。在价格上高防IP的价格高低不等,主要还是以防住的流量为计算标准来计费的。当然这个云端防护产品种类的选择范围还是挺大的,你可以根据业务的实际情况来去进行相应的选择哦
服务器被流量攻击怎么办,严重吗?捉急!
服务器被DDOS无需担心,除了网络不通之外,对服务器数据无任何影响,只等攻击停止,找机房解封即可。建议如果服务器联通性很重要的话,建议更换国内高防服务器。
服务器被恶意流量攻击怎么抵御?
在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。
如何防止服务器被大流量攻击?
1.修改密码账号
当我们在服务器租用以后,对于登录密码要进行修改,密码的组成尽量复杂一些,这样就可以防止服务器的密码被有心的人盗用,导致一些不必要的损失。
2.限制登录后台的IP
限制登录后台的IP好处在于不是自己设定的IP,那就不能进行后台登录,这样的话,在最根本上就严禁了其他IP来登录后台,为我们的安全上了一道密码锁。
3.及时修复漏洞
很多网络攻击者会根基系统存在的漏洞发动攻击,这样的话,就很容易造成安全事故的发生,因此对于服务器出现的漏洞一定要在第一时间及时的进行修复,杜绝网络攻击者利用这些漏洞进行网络攻击。
4.严禁服务器下载其他软件
大家都知道,很多的软件都带有一些广告,网络攻击者正是利用了这一点,在软件中插入病毒,当下载这些软件程序的时候,一起就把病毒植入了服务器,之后对服务器进行攻击,盗取数据等操作,服务器的数据信息就完全的暴露在了攻击者面前,对企业的伤害是不可言喻的。
5.定期维护
定期维护的重要性不言而喻,这都会对服务器的安全起到很好的保护作用。因此定期的扫描是运维人员日常工作重要的一个方面
服务器被流量攻击怎么办?
首先查看网站的服务器,当我们发现网站被攻击时不要过度惊慌失措,看服务器是不是被黑了,找出网站存在的黑链,做好网站的安全防御,具体分三步1、开启IP禁PING,可以防止被扫描2、关闭不需要的端口3、打开网站的防火墙这些是只能防简单的攻击,如果你觉得太麻烦那可以咨询九曲黄河的技术,可以免费为你提供防护对策。
如何防止服务器被大流量攻击?
参考一下吧
由于DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器,造成DDoS攻击成为目前最难防御的网络攻击之一。据美国最新的安全损失调查报告,DDoS攻击所造成的经济损失已经跃居第一。传统的网络设备和周边安全技术,例如防火墙和IDSs(Intrusion Detection Systems), 速率限制,接入限制等均无法提供非常有效的针对DDoS攻击的保护,需要一个新的体系结构和技术来抵御复杂的DDoS拒绝服务攻击。
DDoS攻击揭秘
DDoS攻击主要是利用了internet协议和internet基本优点——无偏差地从任何的源头传送数据包到任意目的地。
DDoS攻击分为两种:要么大数据,大流量来压垮网络设备和服务器,要么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。有效防止DDoS攻击的关键困难是无法将攻击包从合法包中区分出来:IDS进行的典型“签名”模式匹配起不到有效的作用;许多攻击使用源IP地址欺骗来逃脱源识别,很难搜寻特定的攻击源头。
有两类最基本的DDoS攻击:
● 带宽攻击:这种攻击消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器和防火墙;带宽攻击的普遍形式是大量表面看合法的TCP、UDP或ICMP数据包被传送到特定目的地;为了使检测更加困难,这种攻击也常常使用源地址欺骗,并不停地变化。
● 应用攻击:利用TCP和HTTP等协议定义的行为来不断占用计算资源以阻止它们处理正常事务和请求。HTTP半开和HTTP错误就是应用攻击的两个典型例子。
DDoS威胁日益致命
DDoS攻击的一个致命趋势是使用复杂的欺骗技术和基本协议,如HTTP,Email等协议,而不是采用可被阻断的非基本协议或高端口协议,非常难识别和防御,通常采用的包过滤或限制速率的措施只是通过停止服务来简单停止攻击任务,但同时合法用户的请求也被拒绝,造成业务的中断或服务质量的下降;DDoS事件的突发性,往往在很短的时间内,大量的DDoS攻击数据就可是网络资源和服务资源消耗殆尽。
现在的DDoS防御手段不够完善
不管哪种DDoS攻击,,当前的技术都不足以很好的抵御。现在流行的DDoS防御手段——例如黑洞技术和路由器过滤,限速等手段,不仅慢,消耗大,而且同时也阻断有效业务。如IDS入侵监测可以提供一些检测性能但不能缓解DDoS攻击,防火墙提供的保护也受到其技术弱点的限制。其它策略,例如大量部署服务器,冗余设备,保证足够的响应能力来提供攻击防护,代价过于高昂。
黑洞技术
黑洞技术描述了一个服务提供商将指向某一目标企业的包尽量阻截在上游的过程,将改向的包引进“黑洞”并丢弃,以保全运营商的基础网络和其它的客户业务。但是合法数据包和恶意攻击业务一起被丢弃,所以黑洞技术不能算是一种好的解决方案。被攻击者失去了所有的业务服务,攻击者因而获得胜利。
路由器
许多人运用路由器的过滤功能提供对DDoS攻击的防御,但对于现在复杂的DDoS攻击不能提供完善的防御。
路由器只能通过过滤非基本的不需要的协议来停止一些简单的DDoS攻击,例如ping攻击。这需要一个手动的反应措施,并且往往是在攻击致使服务失败之后。另外,现在的DDoS攻击使用互联网必要的有效协议,很难有效的滤除。路由器也能防止无效的或私有的IP地址空间,但DDoS攻击可以很容易的伪造成有效IP地址。
基于路由器的DDoS预防策略——在出口侧使用uRPF来停止IP地址欺骗攻击——这同样不能有效防御现在的DDoS攻击,因为uRPF的基本原理是如果IP地址不属于应该来自的子网网络阻断出口业务。然而,DDoS攻击能很容易伪造来自同一子网的IP地址,致使这种解决法案无效。
本质上,对于种类繁多的使用有效协议的欺骗攻击,路由器ACLs是无效的。包括:
● SYN、SYN-ACK、FIN等洪流。
● 服务代理。因为一个ACL不能辨别来自于同一源IP或代理的正当SYN和恶意SYN,所以会通过阻断受害者所有来自于某一源IP或代理的用户来尝试停止这一集中欺骗攻击。
● DNS或BGP。当发起这类随机欺骗DNS服务器或BGP路由器攻击时,ACLs——类似于SYN洪流——无法验证哪些地址是合法的,哪些是欺骗的。
ACLs在防御应用层(客户端)攻击时也是无效的,无论欺骗与否,ACLs理论上能阻断客户端攻击——例如HTTP错误和HTTP半开连接攻击,假如攻击和单独的非欺骗源能被精确的监测——将要求用户对每一受害者配置数百甚至数千ACLs,这其实是无法实际实施的。
防火墙
首先防火墙的位置处于数据路径下游远端,不能为从提供商到企业边缘路由器的访问链路提供足够的保护,从而将那些易受攻击的组件留给了DDoS 攻击。此外,因为防火墙总是串联的而成为潜在性能瓶颈,因为可以通过消耗它们的会话处理能力来对它们自身进行DDoS攻击。
其次是反常事件检测缺乏的限制,防火墙首要任务是要控制私有网络的访问。一种实现的方法是通过追踪从内侧向外侧服务发起的会话,然后只接收“不干净”一侧期望源头发来的特定响应。然而,这对于一些开放给公众来接收请求的服务是不起作用的,比如Web、DNS和其它服务,因为黑客可以使用“被认可的”协议(如HTTP)。
第三种限制,虽然防火墙能检测反常行为,但几乎没有反欺骗能力——其结构仍然是攻击者达到其目的。当一个DDoS攻击被检测到,防火墙能停止与攻击相联系的某一特定数据流,但它们无法逐个包检测,将好的或合法业务从恶意业务中分出,使得它们在事实上对IP地址欺骗攻击无效。
IDS入侵监测
IDS解决方案将不得不提供领先的行为或基于反常事务的算法来检测现在的DDoS攻击。但是一些基于反常事务的性能要求有专家进行手动的调整,而且经常误报,并且不能识别特定的攻击流。同时IDS本身也很容易成为DDoS攻击的牺牲者。
作为DDoS防御平台的IDS最大的缺点是它只能检测到攻击,但对于缓和攻击的影响却毫无作为。IDS解决方案也许能托付给路由器和防火墙的过滤器,但正如前面叙述的,这对于缓解DDoS攻击效率很低,即便是用类似于静态过滤串联部署的IDS也做不到。
DDoS攻击的手动响应
作为DDoS防御一部份的手动处理太微小并且太缓慢。受害者对DDoS攻击的典型第一反应是询问最近的上游连接提供者——ISP、宿主提供商或骨干网承载商——尝试识别该消息来源。对于地址欺骗的情况,尝试识别消息来源是一个长期和冗长的过程,需要许多提供商合作和追踪的过程。即使来源可被识别,但阻断它也意味同时阻断所有业务——好的和坏的。
其他策略
为了忍受DDoS攻击,可能考虑了这样的策略,例如过量供应,就是购买超量带宽或超量的网络设备来处理任何请求。这种方法成本效益比较低,尤其是因为它要求附加冗余接口和设备。不考虑最初的作用,攻击者仅仅通过增加攻击容量就可击败额外的硬件,互联网上上千万台的机器是他们取之不净的攻击容量资源。
有效抵御DDoS攻击
从事于DDoS攻击防御需要一种全新的方法,不仅能检测复杂性和欺骗性日益增加的攻击,而且要有效抵御攻击的影响。
完整的DDoS保护围绕四个关键主题建立:
1. 要缓解攻击,而不只是检测
2. 从恶意业务中精确辨认出好的业务,维持业务继续进行,而不只是检测攻击的存在
3. 内含性能和体系结构能对上游进行配置,保护所有易受损点
4. 维持可靠性和成本效益可升级性
建立在这些构想上的DDoS防御具有以下保护性质:
通过完整的检测和阻断机制立即响应DDoS攻击,即使在攻击者的身份和轮廓不
断变化的情况下。
与现有的静态路由过滤器或IDS签名相比,能提供更完整的验证性能。
提供基于行为的反常事件识别来检测含有恶意意图的有效包。
识别和阻断个别的欺骗包,保护合法商务交易。
提供能处理大量DDoS攻击但不影响被保护资源的机制。
攻击期间能按需求布署保护,不会引进故障点或增加串联策略的瓶颈点。
内置智能只处理被感染的业务流,确保可靠性最大化和花销比例最小化。
避免依赖网络设备或配置转换。
所有通信使用标准协议,确保互操作性和可靠性最大化。
完整DDoS保护解决技术体系
基于检测、转移、验证和转发的基础上实施一个完整DDoS保护解决方案来提供完全保护,通过下列措施维持业务不间断进行:
1. 时实检测DDoS停止服务攻击攻击。
2. 转移指向目标设备的数据业务到特定的DDoS攻击防护设备进行处理。
3. 从好的数据包中分析和过滤出不好的数据包,阻止恶意业务影响性能,同时允许合法业务的处理。
4. 转发正常业务来维持商务持续进行。
0条大神的评论