【高(gao)防(fang)(fang)服(fu)務(wu)器(qi)(qi)】高(gao)防(fang)(fang)服(fu)務(wu)器(qi)(qi)是(shi)什么 選購高(gao)防(fang)(fang)服(fu)務(wu)器(qi)(qi)注意事項

高防服務器是什么

獨(du)立高防服(fu)務(wu)器是(shi)一種(zhong)服(fu)務(wu)器，主要是(shi)指獨(du)立單個硬(ying)防防御10G,15G，20G，25G，30G，35G，40G左右，可(ke)以(yi)為單個客戶提供安全(quan)維(wei)護的。

如何防御

拒絕(jue)服(fu)(fu)務(wu)攻(gong)擊(ji)(ji)的(de)發展(zhan)從拒絕(jue)服(fu)(fu)務(wu)攻(gong)擊(ji)(ji)已經(jing)有了很多的(de)發展(zhan)，簡單(dan)Dos到DdoS。那么(me)什么(me)是(shi)(shi)Dos和DdoS呢？DoS是(shi)(shi)一(yi)(yi)種利用(yong)(yong)單(dan)臺(tai)計算(suan)機的(de)攻(gong)擊(ji)(ji)方(fang)式(shi)(shi)。而DdoS（Distributed Denial of Service，分布式(shi)(shi)拒絕(jue)服(fu)(fu)務(wu)）是(shi)(shi)一(yi)(yi)種基(ji)于DoS的(de)特殊形式(shi)(shi)的(de)拒絕(jue)服(fu)(fu)務(wu)攻(gong)擊(ji)(ji)，是(shi)(shi)一(yi)(yi)種分布、協作(zuo)的(de)大(da)規模攻(gong)擊(ji)(ji)方(fang)式(shi)(shi)，主(zhu)要瞄準比(bi)較(jiao)大(da)的(de)站點(dian)，比(bi)如(ru)一(yi)(yi)些商業公司、搜索引(yin)擎和政府(fu)部門的(de)站點(dian)。DdoS攻(gong)擊(ji)(ji)是(shi)(shi)利用(yong)(yong)一(yi)(yi)批受(shou)控(kong)制的(de)機器(qi)向一(yi)(yi)臺(tai)機器(qi)發起攻(gong)擊(ji)(ji)，這樣來勢迅猛的(de)攻(gong)擊(ji)(ji)令(ling)人難(nan)以(yi)防備，因此具有較(jiao)大(da)的(de)破(po)壞性。如(ru)果說(shuo)(shuo)以(yi)前網絡管(guan)理員對(dui)抗(kang)Dos可以(yi)采取過濾IP地址方(fang)法的(de)話，那么(me)面對(dui)當前DdoS眾(zhong)多偽造出來的(de)地址則顯得沒有辦法。所(suo)以(yi)說(shuo)(shuo)防范DdoS攻(gong)擊(ji)(ji)變(bian)得更加困難(nan)，如(ru)何采取措施有效的(de)應對(dui)呢？下面我們從兩個方(fang)面進(jin)行(xing)介紹。預防為主(zhu)保證安全DdoS攻(gong)擊(ji)(ji)是(shi)(shi)黑客最常(chang)用(yong)(yong)的(de)攻(gong)擊(ji)(ji)手(shou)段，下面列出了對(dui)付它(ta)的(de)一(yi)(yi)些常(chang)規方(fang)法。

（1）定期掃描

要定期掃描現有的網絡主節點，清查可能存在的安全漏洞，對新出現的漏洞及時進行清理。骨干節點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網絡主節點的都是服務器級別的計算機，所(suo)以定期掃描漏洞(dong)就變得更加(jia)重要了。

（2）在骨干節點配置防火墻

防火墻本身能抵(di)御(yu)DdoS攻擊(ji)(ji)和(he)其他一(yi)些(xie)攻擊(ji)(ji)。在發現受到攻擊(ji)(ji)的時(shi)候，可以將攻擊(ji)(ji)導(dao)向(xiang)一(yi)些(xie)犧牲(sheng)主機，這樣可以保護(hu)真正的主機不(bu)被攻擊(ji)(ji)。當(dang)然導(dao)向(xiang)的這些(xie)犧牲(sheng)主機可以選擇不(bu)重要的，或者(zhe)是linux以及unix等漏洞少和(he)天生防范攻擊(ji)(ji)優(you)秀的系(xi)統。

（3）用足夠的機器承受黑客攻擊

這是(shi)一種(zhong)較為理想的(de)(de)應對策略。如果(guo)用(yong)戶擁有(you)足夠(gou)的(de)(de)容量和足夠(gou)的(de)(de)資(zi)源給黑(hei)客攻(gong)擊(ji)，在它不(bu)斷訪問用(yong)戶、奪取用(yong)戶資(zi)源之時，自己(ji)的(de)(de)能量也在逐漸耗失(shi)，或(huo)許未等用(yong)戶被攻(gong)死，黑(hei)客已無力支招兒了。不(bu)過此方法(fa)需要投(tou)入的(de)(de)資(zi)金(jin)比較多，平時大多數設(she)備處于空閑(xian)狀態，和中小(xiao)企業網絡(luo)實際運行情況不(bu)相符。

（4）充分利用網絡設備保護網絡資源

所謂網絡設備是指路由器、防火墻等負載均衡設備，它們可將網絡有效地保護起來。當網絡被攻擊時最先死掉的是路由器，但其(qi)(qi)他機器(qi)(qi)(qi)沒有死。死掉的路由器(qi)(qi)(qi)經(jing)重(zhong)啟后會(hui)恢復(fu)正常，而(er)且(qie)啟動(dong)起(qi)來(lai)還很(hen)快(kuai)，沒有什(shen)么損失(shi)。若其(qi)(qi)他服務器(qi)(qi)(qi)死掉，其(qi)(qi)中的數據(ju)會(hui)丟失(shi)，而(er)且(qie)重(zhong)啟服務器(qi)(qi)(qi)又是(shi)一個(ge)漫長的過程。特別(bie)是(shi)一個(ge)公司使用了(le)負載均衡設備，這樣當一臺路由器(qi)(qi)(qi)被攻擊死機時，另一臺將馬上(shang)工(gong)作。從(cong)而(er)最大(da)程度的削減了(le)DdoS的攻擊。

（5）過濾不必要的服務和端口

過濾(lv)不必(bi)要的(de)服(fu)務和端口，即在路由(you)器上過濾(lv)假IP……只開(kai)放服(fu)務端口成為(wei)很多服(fu)務器的(de)流行做法(fa)，例如WWW服(fu)務器那么只開(kai)放80而將其他(ta)所(suo)有端口關閉或在防火墻上做阻止(zhi)策(ce)略。

（6）檢查訪問者的來源

使用(yong)(yong)(yong)Unicast Reverse Path Forwarding等通過反向路由(you)器(qi)查詢的方法檢查訪問者的IP地(di)址(zhi)(zhi)是否(fou)是真，如果(guo)是假(jia)的，它(ta)(ta)將予以屏蔽。許多黑客攻擊常采用(yong)(yong)(yong)假(jia)IP地(di)址(zhi)(zhi)方式迷(mi)惑(huo)用(yong)(yong)(yong)戶，很(hen)難查出它(ta)(ta)來自何處。因(yin)此(ci)，利用(yong)(yong)(yong)Unicast Reverse Path Forwarding可減少(shao)假(jia)IP地(di)址(zhi)(zhi)的出現，有助于提高(gao)網(wang)絡安(an)全性(xing)。

（7）過濾所有RFC1918 IP地址

RFC1918 IP地址(zhi)是內部(bu)網的(de)(de)IP地址(zhi)，像10.0.0.0、192.168.0.0和(he)172.16.0.0，它們不是某個網段的(de)(de)固定的(de)(de)IP地址(zhi)，而(er)是Internet內部(bu)保(bao)留的(de)(de)區域(yu)性IP地址(zhi)，應該把它們過(guo)(guo)濾(lv)掉。此方(fang)法并(bing)不是過(guo)(guo)濾(lv)內部(bu)員工的(de)(de)訪問，而(er)是將(jiang)攻擊時偽(wei)造的(de)(de)大量(liang)虛(xu)假(jia)內部(bu)IP過(guo)(guo)濾(lv)，這樣也可以減輕DdoS的(de)(de)攻擊。

（8）限制SYN/ICMP流量

用(yong)(yong)戶(hu)(hu)應在(zai)路(lu)由器上配置SYN/ICMP的(de)(de)(de)(de)(de)(de)最(zui)大(da)流(liu)量(liang)來限制SYN/ICMP封包所(suo)能占(zhan)有的(de)(de)(de)(de)(de)(de)最(zui)高(gao)頻寬，這(zhe)樣，當出現大(da)量(liang)的(de)(de)(de)(de)(de)(de)超(chao)過(guo)(guo)所(suo)限定(ding)的(de)(de)(de)(de)(de)(de)SYN/ICMP流(liu)量(liang)時，說明不是(shi)(shi)正常(chang)的(de)(de)(de)(de)(de)(de)網(wang)絡訪問，而是(shi)(shi)有黑客入侵。早期通(tong)過(guo)(guo)限制SYN/ICMP流(liu)量(liang)是(shi)(shi)最(zui)好的(de)(de)(de)(de)(de)(de)防范DOS的(de)(de)(de)(de)(de)(de)方法，雖然該方法對于DdoS效(xiao)果(guo)不太(tai)明顯了，不過(guo)(guo)仍然能夠(gou)起到一定(ding)的(de)(de)(de)(de)(de)(de)作用(yong)(yong)。尋找機(ji)會(hui)應對攻擊如果(guo)用(yong)(yong)戶(hu)(hu)正在(zai)遭受攻擊，他所(suo)能做的(de)(de)(de)(de)(de)(de)抵(di)御工作將是(shi)(shi)非(fei)常(chang)有限的(de)(de)(de)(de)(de)(de)。因(yin)為在(zai)原本沒(mei)有準備好的(de)(de)(de)(de)(de)(de)情況下有大(da)流(liu)量(liang)的(de)(de)(de)(de)(de)(de)災難性攻擊沖(chong)向用(yong)(yong)戶(hu)(hu)，很(hen)可能在(zai)用(yong)(yong)戶(hu)(hu)還(huan)沒(mei)回過(guo)(guo)神之際，網(wang)絡已經(jing)癱(tan)瘓(huan)。但是(shi)(shi)，用(yong)(yong)戶(hu)(hu)還(huan)是(shi)(shi)可以抓住機(ji)會(hui)尋求一線希望(wang)的(de)(de)(de)(de)(de)(de)。

（1）檢查(cha)攻擊來源，通(tong)常(chang)黑客會通(tong)過(guo)很多假IP地址發起攻擊，此時(shi)，用戶若(ruo)能夠(gou)分(fen)辨出哪(na)些(xie)(xie)(xie)是真IP哪(na)些(xie)(xie)(xie)是假IP地址，然后(hou)了解這(zhe)(zhe)些(xie)(xie)(xie)IP來自哪(na)些(xie)(xie)(xie)網段，再找(zhao)網網管理員(yuan)將(jiang)這(zhe)(zhe)些(xie)(xie)(xie)機器(qi)關(guan)閉(bi)，從而在第一時(shi)間消除(chu)攻擊。如果發現這(zhe)(zhe)些(xie)(xie)(xie)IP地址是來自外面的而不是公司內部的IP的話(hua)，可以采取臨時(shi)過(guo)濾的方法，將(jiang)這(zhe)(zhe)些(xie)(xie)(xie)IP地址在服(fu)務器(qi)或(huo)路由器(qi)上過(guo)濾掉(diao)。

（2）找出攻(gong)擊(ji)者所經過的(de)路(lu)由，把攻(gong)擊(ji)屏蔽掉。若黑客從某些(xie)端口(kou)發動(dong)攻(gong)擊(ji)，用(yong)戶可把這些(xie)端口(kou)屏蔽掉，以阻止入侵。不過此方(fang)法(fa)對于公司網絡出口(kou)只有一個(ge)，而又遭(zao)受到來自外部的(de)DdoS攻(gong)擊(ji)時(shi)不太奏效，畢竟將出口(kou)端口(kou)封(feng)閉后所有計算機都無法(fa)訪(fang)問internet了。

（3）最(zui)后還(huan)有(you)一(yi)種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時他無(wu)法完(wan)全消除入侵(qin)，但是過濾掉ICMP后可以有(you)效的防止攻擊規模的升級，也可以在一(yi)定程度上降低攻擊的級別。

不(bu)知道身為網絡(luo)管(guan)理員的你是否遇(yu)到過服務(wu)(wu)器因(yin)為拒絕服務(wu)(wu)攻擊(ji)（DDOS攻擊(ji)）都癱瘓的情況呢？就(jiu)網絡(luo)安全而言(yan)目(mu)前最讓(rang)人擔心(xin)和(he)(he)害怕的入侵攻擊(ji)就(jiu)要算是DDOS攻擊(ji)了。他和(he)(he)傳統的攻擊(ji)不(bu)同，采取的是仿(fang)真多(duo)個客戶端來連接(jie)服務(wu)(wu)器，造成服務(wu)(wu)器無法(fa)(fa)完(wan)成如此(ci)多(duo)的客戶端連接(jie)，從而無法(fa)(fa)提供服務(wu)(wu)。

目(mu)前網絡安(an)全界對(dui)于DdoS的防范最有效的防御辦法:

蜘(zhi)蛛(zhu)系(xi)統(tong):由全世界各個國家以及地區組(zu)成一個龐(pang)大的網(wang)絡(luo)(luo)系(xi)統(tong),相當于一個虛幻的網(wang)絡(luo)(luo)任何人檢測(ce)到的只是我們節點服(fu)務器ip并(bing)不是您真實數據(ju)所在的真實ip地址,每(mei)個節點全部采用(yong)百M獨享服(fu)務器單機抗(kang)2G以上(shang)流量攻擊(ji) 金盾軟防無視任何cc攻擊(ji).

無論是G口發(fa)包(bao)(bao)還是肉雞(ji)攻(gong)(gong)擊,使用(yong)我們蜘(zhi)蛛系統在保障您(nin)個(ge)(ge)人服(fu)(fu)務(wu)(wu)(wu)器(qi)或者數據安全的(de)(de)狀態下(xia),只影響一(yi)個(ge)(ge)線路,一(yi)個(ge)(ge)地(di)區,一(yi)個(ge)(ge)省或者一(yi)個(ge)(ge)省的(de)(de)一(yi)條線路的(de)(de)用(yong)戶.并且我們會在一(yi)分(fen)鐘(zhong)內更換已經(jing)癱(tan)瘓的(de)(de)節(jie)點服(fu)(fu)務(wu)(wu)(wu)器(qi)保證(zheng)網站(zhan)正常(chang)狀態.還可以把G口發(fa)包(bao)(bao)的(de)(de)服(fu)(fu)務(wu)(wu)(wu)器(qi)或者肉雞(ji)發(fa)出的(de)(de)數據包(bao)(bao)全部返(fan)回到(dao)發(fa)送點,使G口發(fa)包(bao)(bao)的(de)(de)服(fu)(fu)務(wu)(wu)(wu)器(qi)與肉雞(ji)全部變(bian)成癱(tan)瘓狀態.試想如果沒(mei)了G口服(fu)(fu)務(wu)(wu)(wu)器(qi)或者肉雞(ji)黑客用(yong)什么來攻(gong)(gong)擊您(nin)的(de)(de)網站(zhan)

如果(guo)我們按照本文的(de)方(fang)法和思路去防范(fan)DdoS的(de)話，收到(dao)的(de)效果(guo)還是非常(chang)顯著的(de)，可以將攻擊帶來的(de)損失降低到(dao)最小。

注:Ddos攻擊只能被減弱，無法被徹底消除。

高防服務器選購注意

1、網站空間的穩定性和速度

高(gao)防服(fu)務器網站(zhan)(zhan)空間(jian)的穩定(ding)性和速度相(xiang)當重(zhong)要，這些因素都(dou)影響網站(zhan)(zhan)的正常運作，需(xu)要有一(yi)(yi)定(ding)的了解，最好(hao)可以在購買(mai)前可以試用的，使用的時(shi)間(jian)不用太長(chang)，大(da)概在24小(xiao)時(shi)就行，一(yi)(yi)天的時(shi)間(jian)絕(jue)對能試驗出主機的好(hao)。

2、網站空間的價格

大型服務商的(de)虛擬主(zhu)機(ji)產品價格要貴一(yi)些，而一(yi)些小型公司可能價格比較便(bian)宜，要根據網站的(de)重要程度來決(jue)定選(xuan)擇哪種(zhong)層次的(de)空(kong)間(jian)提供(gong)商。高防(fang)機(ji)房專家提醒大家，切(qie)記不能貪圖便(bian)宜，一(yi)分錢一(yi)分貨。

3、虛擬主機的限制

沒有限(xian)(xian)(xian)制的(de)空間問(wen)題一(yi)定(ding)會很(hen)(hen)大(da)，一(yi)般都是cpu、流量、iis鏈接(jie)(jie)數(shu)的(de)限(xian)(xian)(xian)制。而這幾種(zhong)之中最普(pu)遍接(jie)(jie)受的(de)就是限(xian)(xian)(xian)制iis鏈接(jie)(jie)數(shu)的(de)方式(shi)，限(xian)(xian)(xian)制iis鏈接(jie)(jie)數(shu)很(hen)(hen)重要，試想下一(yi)臺(tai)高防服(fu)務器(qi)上你(ni)的(de)主機不限(xian)(xian)(xian)制iis鏈接(jie)(jie)數(shu)，別(bie)人的(de)也不限(xian)(xian)(xian)制，這樣的(de)防攻擊服(fu)務器(qi)很(hen)(hen)容(rong)易(yi)掛(gua)掉(diao)，對網站的(de)正常運行會有很(hen)(hen)大(da)的(de)影響，到時候你(ni)空間莫名(ming)其(qi)妙的(de)被停了。

4、網站空間服務商的專業水平和服務質量

這是(shi)高防服務器選(xuan)擇(ze)網站(zhan)空間的(de)(de)(de)又一(yi)要素(su)，如果選(xuan)擇(ze)了質量比較低下的(de)(de)(de)空間服務商，很可能會(hui)在(zai)網站(zhan)運營中遇(yu)到(dao)各種(zhong)問(wen)(wen)題，甚(shen)至(zhi)經常(chang)出現網站(zhan)無(wu)法(fa)正常(chang)訪問(wen)(wen)的(de)(de)(de)情況，這樣都會(hui)嚴重(zhong)影(ying)響(xiang)網絡營銷工作的(de)(de)(de)開展。專家(jia)建議大家(jia)選(xuan)擇(ze)隨時有QQ或是(shi)有400電話的(de)(de)(de)空間商，這樣可以更(geng)直(zhi)接(jie)的(de)(de)(de)解決遇(yu)到(dao)的(de)(de)(de)問(wen)(wen)題。