服务器如何防止ddos
服务器防止 DDoS 攻击的方法包括但不限于:
1、全面综合地设计网络的安全体系,注意所使用的安全产品和网络设备。
2、提高网络管理人员的素质,关注安全信息,遵从有关安全措施,及时地升级系统,加强系统抗击攻击的能力。
3、在系统中加装防火墙系统,利用防火墙系统对所有出入的数据包进行过滤,检查边界安全规则,确保输出的包受到正确限制。
4、优化路由及网络结构。对路由器进行合理设置,降低攻击的可能性。
5、优化对外提供服务的主机,对所有在网上提供公开服务的主机都加以限制。
6、安装入侵检测工具(如 NIPC、NGREP),经常扫描检查系统,解决系统的漏洞,对系统文件和应用程序进行加密,并定期检查这些文件的变化。
在响应方面,虽然还没有很好的对付攻击行为的方法,但仍然可以采取措施使攻击的影响降至最小。对于提供信息服务的主机系统,应对的根本原则是:
尽可能地保持服务、迅速恢复服务。由于分布式攻击入侵网络上的大量机器和网络设备,所以要对付这种攻击归根到底还是要解决网络的整体安全问题。
真正解决安全问题一定要多个部门的配合,从边缘设备到骨干网络都要认真做好防范攻击的准备,一旦发现攻击就要及时地掐断最近攻击来源的那个路径,限制攻击力度的无限增强。
网络用户、管理者以及 ISP 之间应经常交流,共同制订计划,提高整个网络的安全性。
-分布式拒绝服务攻击
对于服务器漏洞,最有效、简单地防范方法,就是根搪当前计算机的Windows版本,下载相应的补丁并进行安装。为此,需要依次执行如下操作:
(1)在windows7旗舰版桌面上右键单击“我的电脑”并在弹出的菜单中选择“属性”,在打开的如图所示窗口中可以看到当前服务器安装的操作系统是WindowsServer2003EnterpriseEdition,其SP版本为SP2。
(2)打开IE浏览器并访问“http://supportmicrosoftcom/gp/downloadover/zh-cn”这个网址,在搜索栏中输入搜索关键字“08-067”,如图所示。
(3)在新打开的IE窗口中出现搜索结果列表时,选择一个和当前系统版本适合的补丁版本并单击,如图所示。
(4)在打开的页面中可以看到当前补丁的说明,单击“下载”按钮,如图所示。
(5)在弹出如图所示的对话框时,单击“保存”按钮将补丁下载到本地。
(6)在完成“WindowsServer2003-KB958644-x86-CHSexe”这个补丁包的下载后,双击运行它,并在弹出的如图所示对话框中单击“运行”按钮。
(7)在出现如图所示的“软件更新安装向导”界面时,单击“下一步”按钮继续。
(8)在出现如图所示的许可协议界面时,选中“我同意”并单击“下一步”按钮。
(9)根据提示完成补丁包的安装后,重新启动被攻击的计算机win7系统。此后,当黑客再次运行攻击程序时,就会出现如图所示的“已经安装补丁”的提示。
由于这个漏洞的危险级别非常高,加之操作简单,任何水平的用户都可以尝试,具有此漏洞的Windows主机不可计数。所以,读者们应提高安全意识,尽快下载补丁包解决安全隐患。
在频频恶意攻击用户、系统漏洞层出不穷的今天,作为网络治理员、系统治理员虽然在服务器的安全上都下了不少功夫,诸如及时打上系统安全补丁、进行一些常规的安全配置,但有时仍不安全。因此必须恶意用户入侵之前,通过一些系列安全设置,来将入侵者们挡在“安全门”之外,下面就将我在3A网络服务器上做的一些最简单、最有效的防(Overflow)溢出、本地提供权限攻击类的解决办法给大家分享,小弟亲自操刀,基本没出过安全故障!
一、如何防止溢出类攻击
1尽最大的可能性将系统的漏洞补丁都打完,最好是比如Microsoft Windows Server系列的系统可以将自动更新服务打开,然后让服务器在您指定的某个时间段内自动连接到Microsoft Update网站进行补丁的更新。假如您的服务器为了安全起见 禁止了对公网外部的连接的话,可以用Microsoft WSUS服务在内网进行升级。
2停掉一切不需要的系统服务以及应用程序,最大限能的降底服务器的被攻击系数。比如前阵子的MSDTC溢出,就导致很多服务器挂掉了。其实假如 WEB类服务器根本没有用到MSDTC服务时,您大可以把MSDTC服务停掉,这样MSDTC溢出就对您的服务器不构成任何威胁了。
3启动TCP/IP端口的过滤,仅打开常用的TCP如21、80、25、110、3389等端口;假如安全要求级别高一点可以将UDP端口关闭,当然假如这样之后缺陷就是如在服务器上连外部就不方便连接了,这里建议大家用IPSec来封UDP。在协议筛选中”只答应”TCP协议(协议号为:6)、 UDP协议(协议号为:17)以及RDP协议(协议号为:27)等必需用协议即可;其它无用均不开放。
4启用IPSec策略:为服务器的连接进行安全认证,给服务器加上双保险。如三所说,可以在这里封掉一些危险的端品诸如:135 145 139 445 以及UDP对外连接之类、以及对通读进行加密与只与有信任关系的IP或者网络进行通讯等等。(注:其实防反弹类木马用IPSec简单的禁止UDP或者不常用TCP端口的对外访问就成了,关于IPSec的如何应用这里就不再敖续,可以到服安讨论Search “IPSec”,就 会有N多关于IPSec的应用资料)
二、删除、移动、更名或者用访问控制表列Access Control Lists (ACLs)控制要害系统文件、命令及文件夹:
1黑客通常在溢出得到shell后,来用诸如netexe net1exe ipconfigexe userexe queryexe regeditexe regsvr32exe 来达到进一步控制服务器的目的如:加账号了,克隆治理员了等等;这里可以将这些命令程序删除或者改名。(注重:在删除与改名时先停掉文件复制服务 (FRS)或者先将 %windir%\system32\dllcache\下的对应文件删除或改名。
2也或者将这些exe文件移动到指定的文件夹,这样也方便以后治理员自己使用
3访问控制表列ACLS控制:找到%windir%\system32下找到cmdexe、cmd32exe netexe net1exe ipconfigexe tftpexe ftpexe userexe regexe regeditexe regedt32exe regsvr32exe 这些黑客常用的文件,在“属性”→“安全”中对他们进行访问的ACLs用户进 行定义,诸如只给administrator有权访问,假如需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用,那么只需要将system用户在 ACLs中进行拒绝访问即可。
4假如觉得在GUI下面太麻烦的话,也可以用系统命令的CACLSEXE来对这些exe文件的Acls进行编辑与修改,或者说将他写成一个bat批处理 文件来执行以及对这些命令进行修改。(具体用户自己参见cacls / 帮助进行)
5对磁盘如C/D/E/F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要的,另外非凡是win2k,对Winnt、Winnt\System、Document and Setting等文件夹。
6进行注册表的修改禁用命令解释器: (假如您觉得用⑤的方法太烦琐的话,那么您不防试试下面一劳永逸的办法来禁止CMD的运行,通过修改注册表,可以禁止用户使用命令解释器 (CMDexe)和运行批处理文件(bat文件)。具体方法:新建一个双字节(REG_DWord)执行 HKEY_CURRENT_USER\Software\PolicIEs\ Microsoft\Windows\System\DisableCMD,修改其值为1,命令解释器和批处理文件都不能被运行。修改其值为2,则只是禁止命令解释器的运行,反之将值改为0,则是打开CMS命令解释器。假如您赚手动太麻烦的话,请将下面的代码保存为reg文件,然后导入。
7对一些以System权限运行的系统服务进行降级处理。(诸如:将Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行,这样就会安全得多了…但前提是需要对这些基本运行状态、调用API等相关情况较为了解 )
0条评论