华纳云

租用普通的香港服务器如何预防DDOS攻击

时间 : 2021-03-10 15:37:05
编辑 : 华纳云
阅读量 : 955

租用高防服务器的用户相对来说,比较容易抵御ddos攻击,因为有机房防御,服务器自卫,技术护航。普通的香港服务器租用者也不必气馁。面对可能出现的DDOS攻击,做好预防工作也是很容易应对的。那么,租用普通的香港服务器要做哪些预防工作呢? 

(1)定期扫描主骨干节点

定期扫描已有的网络主节点,发现可能存在的安全漏洞,及时排除新的安全漏洞。由于主干节点的计算机具有较高的带宽,是黑客利用的最佳场所,因此加强这些服务器本身的主机安全就显得尤为重要。并且所有与网络主节点连接的都是服务器级的计算机,因此定期进行漏洞扫描显得尤为重要。

(2)主骨干节点配置防火墙

防火墙本身可以抵御DdoS攻击和其他攻击。当发现攻击时,可以将攻击指向一些牺牲主机,这样可以保护真实主机不受攻击。当然,这些牺牲主机可以选择不重要的,或者像linux、unix这样的系统,这些系统几乎没有漏洞,对攻击有很好的自然防御。

(3)足够的机器应对黑客攻击

这是一种理想的应对策略。如果一个用户有足够的能力和资源让黑客攻击,那么他在不断访问用户、抢占用户资源的同时,自己的能量也会逐渐消耗掉。也许在用户被攻击致死之前,黑客已经无能为力了。但是这种方式需要投入大量资金,而且平时设备大多闲置,与目前中小企业网的实际运行情况不符。

(4)利用网络设备保护网络资源

我们所说的网络设备是指能够有效地保护网络安全的路由器、防火墙等负载均衡设备。路由器首先在网络受到攻击时死亡,但是其他机器并未死亡。重新启动后,死路由将恢复正常,并且重新启动的速度仍然很快,没有任何损失。如果另一个服务器死亡,数据将丢失,而重新启动服务器将是一个漫长的过程。尤其是有一家公司使用负载平衡装置,这样当一台路由器受到攻击而死亡时,另一台就会立即工作。这样就最大限度地减少了 DdoS攻击。  

(5)过滤不必要的服务和端口  

对不需要的服务和端口进行过滤,也就是在路由器上过滤假 IP…只打开服务端口,是当前许多服务器普遍采用的做法,比如 WWW服务器只打开80个端口,而关闭其他所有端口或者在防火墙上执行阻止策略。  

(6)检查访问者的来源  

通过反向路由器查询的方法,例如 Unicast Reverse Path Forwarding,可以检查访问者的 IP地址是否正确,如果正确,就会被屏蔽。很多黑客攻击都是用假的 IP地址来迷惑用户,很难找出它是从哪里来的。所以使用 Unicast发布路径可以减少假 IP地址的出现,从而帮助提高网络安全。  

(7)过滤所有RFC1918 IP地址  

RFC1918 IP地址是内部网的 IP地址,比如10.0.0.0、192.168.0.0和172.16.0.0,这些 IP地址并非某个网段的固定 IP地址,而是保留在 Internet内部的区域性 IP地址,应当对其进行过滤。这种方法并没有过滤内部员工的访问,而是在攻击过程中大量使用了伪造的内部 IP过滤,这也降低了 DdoS的攻击。

(8)限制SYN/ICMP流量  

在路由器上,用户应该配置 SYN/ICMP的最大流量,以限制 SYN/ICMP封包所能拥有的最高频率范围,以便当大量 SYN/ICMP流量超出限定范围时,表明并非正常网络访问,而是黑客入侵。尽早限制 SYN/ICMP流量是防止 DdoS的最好方法,尽管目前这种方法对 DdoS的效果不太明显,但仍能发挥一定作用。

华纳云
+852 62099666
华纳云
拨打
电话
华纳云
客服
咨询
华纳云
技术
支持
华纳云
Amanda
华纳云
华纳云
Stars
华纳云
华纳云
Jamie
华纳云 华纳云
华纳云
Daly
华纳云 华纳云
华纳云
Charles
华纳云 华纳云
华纳云
Allen
华纳云 华纳云
华纳云
渠道
支持
华纳云
华纳云