【高防服(fu)(fu)務(wu)器】高防服(fu)(fu)務(wu)器是什么 選購高防服(fu)(fu)務(wu)器注意事項(xiang)

高防服務器是什么

獨立高防(fang)服(fu)務器是一種服(fu)務器，主要(yao)是指獨立單個硬防(fang)防(fang)御10G,15G，20G，25G，30G，35G，40G左(zuo)右，可以為(wei)單個客戶提供安全維護(hu)的。

如何防御

拒(ju)絕(jue)服務攻(gong)(gong)(gong)擊(ji)(ji)的(de)(de)(de)(de)發(fa)展從(cong)(cong)拒(ju)絕(jue)服務攻(gong)(gong)(gong)擊(ji)(ji)已(yi)經有了(le)很多的(de)(de)(de)(de)發(fa)展，簡單(dan)Dos到DdoS。那么什(shen)么是(shi)(shi)Dos和DdoS呢(ni)(ni)？DoS是(shi)(shi)一種(zhong)利用單(dan)臺計算機的(de)(de)(de)(de)攻(gong)(gong)(gong)擊(ji)(ji)方(fang)式(shi)。而DdoS（Distributed Denial of Service，分(fen)布式(shi)拒(ju)絕(jue)服務）是(shi)(shi)一種(zhong)基于DoS的(de)(de)(de)(de)特(te)殊形式(shi)的(de)(de)(de)(de)拒(ju)絕(jue)服務攻(gong)(gong)(gong)擊(ji)(ji)，是(shi)(shi)一種(zhong)分(fen)布、協作的(de)(de)(de)(de)大(da)規模攻(gong)(gong)(gong)擊(ji)(ji)方(fang)式(shi)，主(zhu)(zhu)要瞄準(zhun)比較大(da)的(de)(de)(de)(de)站點(dian)，比如一些(xie)商業公(gong)司、搜索引擎(qing)和政府部(bu)門的(de)(de)(de)(de)站點(dian)。DdoS攻(gong)(gong)(gong)擊(ji)(ji)是(shi)(shi)利用一批(pi)受控(kong)制的(de)(de)(de)(de)機器向(xiang)一臺機器發(fa)起攻(gong)(gong)(gong)擊(ji)(ji)，這樣來勢迅猛的(de)(de)(de)(de)攻(gong)(gong)(gong)擊(ji)(ji)令人難(nan)以(yi)防(fang)備，因此具有較大(da)的(de)(de)(de)(de)破壞性。如果(guo)說(shuo)以(yi)前網絡管理員(yuan)對(dui)抗(kang)Dos可以(yi)采取過(guo)濾IP地址方(fang)法的(de)(de)(de)(de)話，那么面(mian)(mian)對(dui)當前DdoS眾(zhong)多偽(wei)造出(chu)來的(de)(de)(de)(de)地址則顯(xian)得沒有辦法。所(suo)以(yi)說(shuo)防(fang)范DdoS攻(gong)(gong)(gong)擊(ji)(ji)變(bian)得更加困難(nan)，如何采取措施(shi)有效(xiao)的(de)(de)(de)(de)應對(dui)呢(ni)(ni)？下面(mian)(mian)我們從(cong)(cong)兩個方(fang)面(mian)(mian)進行介紹。預防(fang)為(wei)主(zhu)(zhu)保證安全DdoS攻(gong)(gong)(gong)擊(ji)(ji)是(shi)(shi)黑客最常(chang)用的(de)(de)(de)(de)攻(gong)(gong)(gong)擊(ji)(ji)手段，下面(mian)(mian)列出(chu)了(le)對(dui)付它(ta)的(de)(de)(de)(de)一些(xie)常(chang)規方(fang)法。

（1）定期掃描

要定期掃描現有的網絡主節點，清查可能存在的安全漏洞，對新出現的漏洞及時進行清理。骨干節點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網絡主節點的都是服務器級別的計算(suan)機，所(suo)以定(ding)期掃描漏洞就變(bian)得更加重要了(le)。

（2）在骨干節點配置防火墻

防火墻(qiang)本身能抵御DdoS攻(gong)擊和其他一(yi)些攻(gong)擊。在發現受到攻(gong)擊的時候，可以(yi)將攻(gong)擊導(dao)向一(yi)些犧牲主(zhu)機，這樣可以(yi)保護真正的主(zhu)機不(bu)被攻(gong)擊。當然導(dao)向的這些犧牲主(zhu)機可以(yi)選擇不(bu)重(zhong)要(yao)的，或者(zhe)是(shi)linux以(yi)及unix等漏洞(dong)少和天(tian)生防范攻(gong)擊優秀的系統。

（3）用足夠的機器承受黑客攻擊

這是(shi)一種較為理想的(de)應對策略。如果用(yong)戶(hu)(hu)擁(yong)有足夠(gou)的(de)容量和足夠(gou)的(de)資(zi)源(yuan)給黑(hei)客(ke)攻(gong)擊，在它不斷訪問用(yong)戶(hu)(hu)、奪取用(yong)戶(hu)(hu)資(zi)源(yuan)之時，自己(ji)的(de)能量也在逐(zhu)漸耗失，或許未等用(yong)戶(hu)(hu)被攻(gong)死，黑(hei)客(ke)已無力支招兒了(le)。不過此方法(fa)需要投(tou)入的(de)資(zi)金(jin)比較多，平(ping)時大多數設備處于空閑狀態(tai)，和中小(xiao)企業網絡實際運(yun)行情況不相符。

（4）充分利用網絡設備保護網絡資源

所謂網絡設備是指路由器、防火墻等負載均衡設備，它們可將網絡有效地保護起來。當網絡被攻擊時最先死掉的是路由器，但其他(ta)機(ji)器(qi)(qi)沒有死(si)(si)。死(si)(si)掉的(de)路由器(qi)(qi)經(jing)重(zhong)(zhong)啟后(hou)會恢復正常，而且(qie)啟動起來還很快，沒有什么損失。若(ruo)其他(ta)服務器(qi)(qi)死(si)(si)掉，其中的(de)數據會丟失，而且(qie)重(zhong)(zhong)啟服務器(qi)(qi)又(you)是(shi)一(yi)個漫長的(de)過(guo)程。特別是(shi)一(yi)個公司使用了負(fu)載均衡(heng)設備，這(zhe)樣(yang)當(dang)一(yi)臺路由器(qi)(qi)被攻擊(ji)死(si)(si)機(ji)時，另一(yi)臺將馬上工作。從而最大程度的(de)削減了DdoS的(de)攻擊(ji)。

（5）過濾不必要的服務和端口

過(guo)濾(lv)不必要的服(fu)務(wu)和(he)端(duan)(duan)口，即在路由器(qi)(qi)上過(guo)濾(lv)假IP……只開放服(fu)務(wu)端(duan)(duan)口成(cheng)為很多服(fu)務(wu)器(qi)(qi)的流(liu)行(xing)做法，例如WWW服(fu)務(wu)器(qi)(qi)那么只開放80而將其他所有端(duan)(duan)口關閉或在防火(huo)墻上做阻止(zhi)策(ce)略。

（6）檢查訪問者的來源

使用(yong)(yong)Unicast Reverse Path Forwarding等通過(guo)反向路由器查詢的(de)方法(fa)檢查訪問者的(de)IP地(di)址(zhi)是否(fou)是真，如果(guo)是假的(de)，它將予以屏(ping)蔽。許(xu)多(duo)黑客攻擊常(chang)采用(yong)(yong)假IP地(di)址(zhi)方式(shi)迷惑用(yong)(yong)戶(hu)，很難查出它來自何(he)處。因此(ci)，利用(yong)(yong)Unicast Reverse Path Forwarding可減少假IP地(di)址(zhi)的(de)出現，有助于提高網絡安全性(xing)。

（7）過濾所有RFC1918 IP地址

RFC1918 IP地(di)(di)址是(shi)內(nei)部(bu)(bu)網的(de)(de)(de)IP地(di)(di)址，像10.0.0.0、192.168.0.0和172.16.0.0，它們(men)不(bu)是(shi)某個(ge)網段的(de)(de)(de)固定的(de)(de)(de)IP地(di)(di)址，而是(shi)Internet內(nei)部(bu)(bu)保留(liu)的(de)(de)(de)區域(yu)性IP地(di)(di)址，應該把(ba)它們(men)過(guo)濾(lv)掉(diao)。此方法并(bing)不(bu)是(shi)過(guo)濾(lv)內(nei)部(bu)(bu)員工的(de)(de)(de)訪問，而是(shi)將攻(gong)擊時偽造(zao)的(de)(de)(de)大量虛假內(nei)部(bu)(bu)IP過(guo)濾(lv)，這樣也可(ke)以減輕(qing)DdoS的(de)(de)(de)攻(gong)擊。

（8）限制SYN/ICMP流量

用(yong)(yong)戶(hu)應在(zai)路由器上配置SYN/ICMP的(de)(de)(de)最(zui)大流量(liang)(liang)來限(xian)制SYN/ICMP封包所能(neng)占有(you)的(de)(de)(de)最(zui)高頻寬，這樣，當出現大量(liang)(liang)的(de)(de)(de)超(chao)過(guo)(guo)(guo)所限(xian)定(ding)的(de)(de)(de)SYN/ICMP流量(liang)(liang)時，說明(ming)不(bu)是(shi)(shi)正常的(de)(de)(de)網絡訪(fang)問，而(er)是(shi)(shi)有(you)黑客入侵。早期通過(guo)(guo)(guo)限(xian)制SYN/ICMP流量(liang)(liang)是(shi)(shi)最(zui)好的(de)(de)(de)防范DOS的(de)(de)(de)方(fang)法，雖然該方(fang)法對于(yu)DdoS效果不(bu)太(tai)明(ming)顯了，不(bu)過(guo)(guo)(guo)仍然能(neng)夠起到(dao)一(yi)定(ding)的(de)(de)(de)作用(yong)(yong)。尋找(zhao)機會應對攻(gong)擊(ji)如果用(yong)(yong)戶(hu)正在(zai)遭(zao)受攻(gong)擊(ji)，他(ta)所能(neng)做的(de)(de)(de)抵(di)御工作將是(shi)(shi)非常有(you)限(xian)的(de)(de)(de)。因為在(zai)原本沒有(you)準備好的(de)(de)(de)情況下有(you)大流量(liang)(liang)的(de)(de)(de)災(zai)難性攻(gong)擊(ji)沖(chong)向用(yong)(yong)戶(hu)，很可能(neng)在(zai)用(yong)(yong)戶(hu)還沒回(hui)過(guo)(guo)(guo)神之際，網絡已(yi)經(jing)癱瘓。但是(shi)(shi)，用(yong)(yong)戶(hu)還是(shi)(shi)可以抓住(zhu)機會尋求一(yi)線希(xi)望的(de)(de)(de)。

（1）檢查攻(gong)(gong)擊來(lai)(lai)源，通常黑客會通過(guo)很多(duo)假IP地(di)(di)址(zhi)發(fa)起攻(gong)(gong)擊，此時，用戶若能夠分辨出(chu)哪些是(shi)真(zhen)IP哪些是(shi)假IP地(di)(di)址(zhi)，然(ran)后了解這些IP來(lai)(lai)自(zi)哪些網(wang)段(duan)，再找網(wang)網(wang)管理(li)員將(jiang)這些機(ji)器關閉，從而(er)在第(di)一時間消(xiao)除攻(gong)(gong)擊。如果發(fa)現(xian)這些IP地(di)(di)址(zhi)是(shi)來(lai)(lai)自(zi)外面的(de)而(er)不是(shi)公司內部(bu)的(de)IP的(de)話(hua)，可(ke)以采取(qu)臨時過(guo)濾的(de)方法，將(jiang)這些IP地(di)(di)址(zhi)在服(fu)務器或路由器上過(guo)濾掉。

（2）找(zhao)出(chu)(chu)(chu)攻(gong)擊(ji)者(zhe)所經(jing)過的路由，把攻(gong)擊(ji)屏蔽掉。若黑客從某(mou)些(xie)端(duan)口(kou)發動(dong)攻(gong)擊(ji)，用戶可把這些(xie)端(duan)口(kou)屏蔽掉，以阻止(zhi)入(ru)侵。不(bu)過此方法(fa)對于公(gong)司網絡出(chu)(chu)(chu)口(kou)只(zhi)有一個，而(er)又遭受到(dao)來自外部的DdoS攻(gong)擊(ji)時不(bu)太(tai)奏效，畢竟(jing)將出(chu)(chu)(chu)口(kou)端(duan)口(kou)封閉后所有計算機都(dou)無法(fa)訪(fang)問internet了。

（3）最后(hou)還有一種(zhong)比較(jiao)折中的(de)方(fang)法是在路(lu)由器上濾掉ICMP。雖然在攻擊時他無法完全(quan)消除入(ru)侵，但是過濾掉ICMP后(hou)可(ke)以(yi)有效的(de)防(fang)止攻擊規模的(de)升(sheng)級，也可(ke)以(yi)在一定(ding)程(cheng)度上降低攻擊的(de)級別。

不(bu)知道(dao)身(shen)為(wei)(wei)網絡管理員(yuan)的你(ni)是(shi)否遇(yu)到過服務器因為(wei)(wei)拒絕服務攻(gong)擊(ji)(ji)（DDOS攻(gong)擊(ji)(ji)）都癱瘓的情(qing)況呢？就(jiu)網絡安(an)全而(er)(er)言目前最讓人擔心和(he)害怕的入(ru)侵攻(gong)擊(ji)(ji)就(jiu)要算是(shi)DDOS攻(gong)擊(ji)(ji)了。他和(he)傳統的攻(gong)擊(ji)(ji)不(bu)同，采取(qu)的是(shi)仿真多個客戶端(duan)來(lai)連(lian)接服務器，造成(cheng)服務器無法(fa)完成(cheng)如此(ci)多的客戶端(duan)連(lian)接，從(cong)而(er)(er)無法(fa)提供服務。

目前網絡(luo)安全界對于(yu)DdoS的防范(fan)最有(you)效的防御辦法:

蜘蛛系(xi)統(tong):由全世界各個(ge)(ge)國家以及地(di)區組成(cheng)一個(ge)(ge)龐大的網(wang)絡系(xi)統(tong),相(xiang)當于一個(ge)(ge)虛(xu)幻的網(wang)絡任(ren)何人檢測到的只是我們節點服務(wu)器ip并不是您(nin)真實數據所在的真實ip地(di)址,每個(ge)(ge)節點全部采用百M獨享服務(wu)器單(dan)機抗2G以上流量(liang)攻(gong)擊 金盾軟(ruan)防(fang)無視任(ren)何cc攻(gong)擊.

無論(lun)是G口(kou)(kou)發(fa)(fa)包(bao)(bao)還是肉(rou)雞(ji)攻擊(ji),使(shi)用我(wo)們蜘蛛系統在(zai)保障(zhang)您(nin)個人服務器(qi)(qi)或(huo)者數據安全(quan)的(de)(de)狀(zhuang)(zhuang)態(tai)下,只影響一(yi)個線路(lu),一(yi)個地區(qu),一(yi)個省(sheng)或(huo)者一(yi)個省(sheng)的(de)(de)一(yi)條線路(lu)的(de)(de)用戶.并且我(wo)們會在(zai)一(yi)分鐘(zhong)內(nei)更換已經癱瘓的(de)(de)節點服務器(qi)(qi)保證(zheng)網站正常狀(zhuang)(zhuang)態(tai).還可以把G口(kou)(kou)發(fa)(fa)包(bao)(bao)的(de)(de)服務器(qi)(qi)或(huo)者肉(rou)雞(ji)發(fa)(fa)出的(de)(de)數據包(bao)(bao)全(quan)部(bu)返回到發(fa)(fa)送點,使(shi)G口(kou)(kou)發(fa)(fa)包(bao)(bao)的(de)(de)服務器(qi)(qi)與肉(rou)雞(ji)全(quan)部(bu)變(bian)成(cheng)癱瘓狀(zhuang)(zhuang)態(tai).試想如果(guo)沒了G口(kou)(kou)服務器(qi)(qi)或(huo)者肉(rou)雞(ji)黑客用什么來攻擊(ji)您(nin)的(de)(de)網站

如果(guo)我們按(an)照本文(wen)的(de)(de)方(fang)法和思路去防范DdoS的(de)(de)話(hua)，收(shou)到的(de)(de)效(xiao)果(guo)還是(shi)非常顯著的(de)(de)，可(ke)以將(jiang)攻擊帶(dai)來的(de)(de)損失降低到最(zui)小。

注(zhu):Ddos攻擊只能被(bei)減弱，無(wu)法(fa)被(bei)徹底(di)消(xiao)除。

高防服務器選購注意

1、網站空間的穩定性和速度

高防(fang)服務(wu)器網(wang)站空間(jian)的(de)穩定性和(he)速度相當重(zhong)要，這些(xie)因(yin)素都影(ying)響網(wang)站的(de)正常運作，需要有一(yi)定的(de)了解，最好(hao)可(ke)以(yi)在購買前可(ke)以(yi)試(shi)用(yong)(yong)的(de)，使用(yong)(yong)的(de)時間(jian)不用(yong)(yong)太長，大概在24小時就行(xing)，一(yi)天的(de)時間(jian)絕對(dui)能(neng)試(shi)驗出(chu)主機的(de)好(hao)。

2、網站空間的價格

大型服務(wu)商的(de)虛擬主(zhu)機產品(pin)價格要(yao)貴一些(xie)(xie)，而(er)一些(xie)(xie)小型公司(si)可能(neng)價格比較便宜，要(yao)根(gen)據網站的(de)重要(yao)程(cheng)度來決定選擇哪(na)種層次的(de)空間(jian)提供(gong)商。高防機房專(zhuan)家提醒大家，切記(ji)不能(neng)貪(tan)圖便宜，一分(fen)錢一分(fen)貨。

3、虛擬主機的限制

沒有限(xian)制(zhi)的(de)空間(jian)問(wen)題一(yi)定會(hui)很(hen)大(da)，一(yi)般都是cpu、流(liu)量、iis鏈(lian)(lian)接(jie)(jie)數(shu)的(de)限(xian)制(zhi)。而這(zhe)幾種之中最(zui)普遍接(jie)(jie)受的(de)就是限(xian)制(zhi)iis鏈(lian)(lian)接(jie)(jie)數(shu)的(de)方式，限(xian)制(zhi)iis鏈(lian)(lian)接(jie)(jie)數(shu)很(hen)重要，試想(xiang)下一(yi)臺高防服務(wu)器上(shang)你的(de)主(zhu)機不(bu)(bu)限(xian)制(zhi)iis鏈(lian)(lian)接(jie)(jie)數(shu)，別人的(de)也不(bu)(bu)限(xian)制(zhi)，這(zhe)樣的(de)防攻擊服務(wu)器很(hen)容(rong)易(yi)掛掉，對網站的(de)正(zheng)常運行會(hui)有很(hen)大(da)的(de)影(ying)響(xiang)，到時候你空間(jian)莫(mo)名其妙(miao)的(de)被停(ting)了。

4、網站空間服務商的專業水平和服務質量

這是(shi)高(gao)防服(fu)務器選(xuan)擇(ze)網(wang)站(zhan)空間(jian)(jian)的(de)(de)又一要(yao)素，如(ru)果選(xuan)擇(ze)了質量比較(jiao)低下的(de)(de)空間(jian)(jian)服(fu)務商，很(hen)可能會(hui)在網(wang)站(zhan)運營中(zhong)遇到各種問(wen)題，甚至經常出現網(wang)站(zhan)無法正常訪問(wen)的(de)(de)情況，這樣都會(hui)嚴(yan)重影響網(wang)絡營銷工作的(de)(de)開(kai)展。專(zhuan)家建議大家選(xuan)擇(ze)隨時(shi)有QQ或是(shi)有400電話的(de)(de)空間(jian)(jian)商，這樣可以更直接的(de)(de)解決遇到的(de)(de)問(wen)題。