什么是高防服务器,如何保护DDos的原理

对机房,尤其是高防机房来说,不仅需要一套好的网络布局来实现网络的负载平衡,还需要一套强大的硬件防火墙做支撑,下面就让小编带你详细了解一下什么是高防服务器,以及如何保护 DDos的原理。
高防服务器
在50 G以上抗 DDos能力的独立服务器中,我们称其为高防御服务器,可以保证客户的业务安全与稳定,高防御服务器属于服务器类,每个机房的部署都有区别,目前防护主要有硬、软两种。硬防护和软防护是什么?

以通俗易懂的语言就能帮助客户抵御 ddos或 CC攻击,对机房的主要节点线路进行全天候监控,检查服务器可能存在的安全漏洞,我们称之为高防御服务器。
攻击种类
攻击的类型也变得多种多样, Syn, Ack Flood, ICMP, HTTP GET,UDP_Flood, CC (Challenge Collapsar), Tcp全连接攻击等等,这些都是攻击的手段,就目前的防火墙设备而言,只能分析每一个数据包,分析数据连接的状态也是有限的,保护 Syn或变种 Syn, Ack效应还行.

但是 Tcp和 Udp协议无法从根本上进行分析。CC (Challenge Collapsar)这几个类别中, Syn,UDP_Flood, CC这几个类别也是最常见的攻击方式。在这些攻击中, CC (Challenge Collapsar)是最令人厌恶、最令客户和机房头疼的。
如何防护
操作系统和分布式拒绝服务是什么?

DoS是一种利用单机进行攻击的方法。DDoS (DDoS)是一种特殊的基于拒绝服务的攻击。这种分布式、协作的大规模攻击模式,主要是针对大型网站.

比如一些商业公司的网站,搜索引擎,政府部门网站等。ddoS攻击是使用一组被控制的机器来攻击一个机器。这种突如其来的攻击是难以避免的,因而具有很大的破坏性。在过去,如果网络管理员能够过滤基于拒绝服务的 IP地址,那么将无法处理大量伪造的拒绝服务地址。所以预防 DdoS攻击变得更加困难。

怎样采取有效措施来应对?

这里有两个方面的介绍。多态攻击是黑客最常用的攻击方式,主要是为保证网络安全而进行的防御。以下是一些常见的处理方法列表。
(1)常规扫描
对已有网络主节点进行定期扫描,检查可能存在的安全漏洞,及时清除新的漏洞。由于高带宽,主干节点计算机成为黑客攻击的最好场所,加强这些主机本身的安全性至关重要。另外,所有连接到网络主节点的计算机都是服务器级的,所以定期进行漏洞扫描就显得尤为重要。
(2)在主干节点配置防火墙
这个防火墙可以抵抗 doS攻击和其它攻击。在发现攻击后,可以将攻击指向某些牺牲主机,从而保护真正的主机不受攻击。这些牺牲主机的系统当然可以选择那些无关紧要的,也可以选择像 linux和 unix这样漏洞很少并且自然防御攻击的系统。
(3)使用足够的机器来抵御黑客攻击
那是理想的应对策略。若用户拥有足够的能力和资源来攻击黑客,则在持续访问用户、获取用户资源时,其自身的能量就会逐渐消耗,黑客可能无法支持攻击,直到用户死亡。但是,这种方法需要大量的投资,并且大部分设备通常是闲置的,这与中小企业网络的实际运行情况并不相符。
(4)充分利用网络设备保护网络资源
我们所说的网络设备是指路由器、防火墙等能够有效保护网络安全的负载平衡设备。在网络受到攻击时,路由器先死了,而其他的机器却没有。重新启动后,故障路由器将恢复正常,启动迅速,不会有任何损失。一旦其它服务器死亡,数据就会丢失,重启服务器需要很长时间。具体地说,一个公司使用负载平衡装置,这样当一个路由器受到攻击或崩溃时,另一个就能立即工作。这样就将 DdoS攻击降到最低。
(5)过滤不必要的服务和端口
对不需要的服务和端口进行过滤,也就是说,在路由器上过滤假 IP…很多服务器只打开服务端口,比如, WWW服务器只打开80个端口,其他所有端口都关闭,或者在防火墙上执行阻塞策略。
(6)检查访客来源
采用反向路由器查询、单播反向路径转发等方式对访问者的 IP地址进行检查。假如是假的,就会被阻止。很多黑客经常使用虚假的 IP地址来迷惑用户,他们很难找到 IP地址的来源。利用单播反向路径转发可以减少假 IP地址的产生,提高了网络的安全性。
(7)过滤所有RFC1918的IP地址
IP地址RFC1918是内部网的 IP地址,例如10.0.0.0,192.168.0.0,172.16.0.0。他们并非网段的固定 IP地址,而是保留在因特网内的区域 IP地址,应加以过滤。这种方法不过滤内部用户的访问,而是过滤了大量伪造的内部 IP,降低了 DdoS攻击。
(8)限制同步/ICMP流量
在路由器上,用户应该配置 SYN/ICMP的最大流量,以限制 SYN/ICMP数据包所能占用的最大带宽,这样,当 SYN/ICMP流量过高时,就不是正常的网络访问,而是黑客攻击。SYN/ICMP流量的早期限制是预防 DOS的最好方法,尽管它对 DDoS的影响不明显,但仍有一定的效果。当用户受到攻击时,寻找机会来处理,这样用户能够做的抵抗攻击的能力就会很有限。因为对大流量的灾难性攻击还没准备好,网络可能会在用户意识恢复前就瘫痪。不过,用户仍可抓住机会寻找一线希望。
(1)检查攻击来源
一般情况下,黑客会通过多个假 IP地址进行攻击,这时,如果用户能够识别出哪个是真 IP地址,哪个是假 IP地址,然后知道 IP来自哪个网段,那么就需要网络管理员将这些机器关掉,以消除最初的攻击。若发现这些 IP地址来自外部,而非公司内部,则可以通过临时过滤服务器或路由器上的 IP地址对其进行过滤。
(2)找出攻击者通过的路径并阻止攻击
当黑客从某些端口发起攻击时,用户可以阻止入侵端口。但是,这种方法对于企业网络只有一个出口,而且在受到外部 DDoS攻击时不起作用。归根结底,在关闭出口之后,没有一台电脑能进入互联网。
若按本文的方法和思路对 DDos进行防御,则收到的效果仍然十分显著,可以将攻击造成的损失降至最低。。
以上就是小编为大家介绍的高防服务器防御DDoS原理的相关介绍,什么是高防服务器,如何保护DDos的原理.

本文固定链接:http://www.rakbuluo.com/b63/

什么是高防服务器,如何保护DDos的原理
原文链接:,转发请注明来源!

回复 匿名 点击这里取消回复。

要发表评论,您必须先登录