企业如何选择服务器?
中国网站的数量正在以极快的速度增长,调查显示平均每半年就会有近30万中国网站出生。而在互联网上,为这些形形色色的网站提供网络服务的主机,不外乎为虚拟主机、vps、独立服务器这三大类。那么这些网站在选择服务器时应该如何选择呢下面小编为大家进行介绍。
1、普通服务器。通常意义上,能够满足企业建设的独立服务器,本文中称之为普通服务器。
2、云服务器。对于大多数的站点来说,只需要确定自身网站受众的定位,根据受众的维度特点来确定硬盘、内存、线路等配置即可。但是某些网站处于安全的考量和对硬件配置的特殊要求,需要IDC服务器提供一定限度的容灾系统支持,这就要求服务器能够定时进行服务器数据的备份。比如某大型企业网站需要高配置服务器,对CPU、内存甚至是服务器主板都有较高要求,并且有潜在受攻击的风险,处于安全考量就必须选用云服务器了。云服务器的特点是配置通常极佳,并且能够异步在另外的备份服务器上进行数据备份,防止出现网站被黑导致数据丢失的情况。
3、高防服务器。某些行业由于恶性竞争等原因,需要超强的高防服务器,这就要求服务器具有极强的硬防。和云服务器的不同,高防服务器更适合那些网站不稳会严重降低用户体验的站点,此类站点对数据备份的要求不大,但是对实时的防攻击的需求极高,因此需要硬防极强的高防服务器。
4、品牌服务器。对于某些企业,服务器配置的要求只有一个,那就是品牌,IDC市场上的DELL服务器口碑较好。
经过梳理,我们发现并不是每个网站都适合选购普通服务器,甚至某些竞争激烈的行业都不应该选择普通服务器。设想一下一个长期容易受到攻击的大型网站,放在一个普通服务器上会是什么样的情况,不仅自身不稳定,还会影响到机房的其他客户。
服务器选择服务器服务器、网站攻击的情况经常发生,有的来自竞争对手的攻击,有的则来自不明人员的攻击,不管是来自哪里的攻击,都会对自身产生很大影响,需要我们做出及时、有针对性的防御,避免引起业务损失。
网络攻击一般分为3类
第1类:ARP欺骗攻击 ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。 ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。 ARP攻击的局限性 ARP攻击仅能在以太网(局域网如:机房、内网、公司网络等)进行,无法对外网(互联网、非本区域内的局域网)进行攻击。
第2类:CC攻击 相对来说,这种攻击的危害大一些。主机空间都有一个参数 IIS 连接数,当被访问网站超出IIS 连接数时,网站就会出现Service Unavailable 。攻击者就是利用被控制的机器不断地向被攻击网站发送访问请求,迫使IIS 连接数超出限制,当CPU 资源或者带宽资源耗尽,那么网站也就被攻击垮了。对于达到百兆的攻击,防火墙就相当吃力,有时甚至造成防火墙的CPU资源耗尽造成防火墙死机。达到百兆以上,运营商一般都会在上层路由封这个被攻击的IP。 针对CC攻击,一般的租用有防CC攻击软件的空间、VPS或服务器就可以了,或者租用章鱼主机,这种机器对CC攻击防御效果更好。
第3类:DDOS流量攻击 就是DDOS攻击,这种攻击的危害是最大的。原理就是向目标服务器发送大量数据包,占用其带宽。对于流量攻击,单纯地加防火墙没用,必须要有足够的带宽和防火墙配合起来才能防御。
服务器被攻击的解决方法
查看网站的服务器。 当我们发现网站被攻击的时候不要过度惊慌失措,先查看一下网站服务器是不是被黑了,找出网站存在的黑链,然后做好网站的安全防御,具体操作分为三步: 1)、开启IP禁PING,可以防止被扫描。 2)、关闭不需要的端口。 3)、打开网站的防火墙。 这些是只能防简单的攻击
ARP欺骗
网上现在有很多防御ARP欺骗的防护软件(这里不一一列举)
服务器被攻击CC攻击防御策略
取消域名绑定。 一般cc攻击都是针对网站的域名进行攻击,比如我们的网站域名是"wwwstar-netcn",那么攻击者就在攻击工具中设定攻击对象为该域名然后实施攻击。 对于这样的攻击我们的措施是在IIS上取消这个域名的绑定,让CC攻击失去目标。具体操作步骤是:打开"IIS管理器"定位到具体站点右键"属性"打开该站点的属性面板,点击IP地址右侧的"高级"按钮,选择该域名项进行编辑,将"主机头值"删除或者改为其它的值(域名)。 经过模拟测试,取消域名绑定后Web服务器的CPU马上恢复正常状态,通过IP进行访问连接一切正常。但是不足之处也很明显,取消或者更改域名对于别人的访问带来了不变,另外,对于针对IP的CC攻击它是无效的,就算更换域名攻击者发现之后,他也会对新域名实施攻击。
域名欺骗解析。 如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到127001这个地址上。我们知道127001是本地回环IP是用来进行网络测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的,这样他再多的肉鸡或者代理也会宕机,让其自作自受。 另外,当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站,让其网警来收拾他们。 现在一般的Web站点都是利用IDC服务商提供的动态域名解析服务,大家可以登录进去之后进行设置。
更改Web端口。 一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器,定位到相应站点,打开站点"属性"面板,在"网站标识"下有个TCP端口默认为80,我们修改为其他的端口就可以了。
IIS屏蔽IP。 我们通过命令或在查看日志发现了CC攻击的源IP,就可以在IIS中设置屏蔽该IP对Web站点的访问,从而达到防范IIS攻击的目的。在相应站点的"属性"面板中,点击"目录安全性"选项卡,点击"IP地址和域名现在"下的"编辑"按钮打开设置对话框。在此窗口中我们可以设置"授权访问"也就是"白名单",也可以设置"拒绝访问"即"黑名单"。比如我们可以将攻击者的IP添加到"拒绝访问"列表中,就屏蔽了该IP对于Web的访问。
服务器被攻击CC攻击防御手段
防止CC攻击,不一定非要用高防服务器。比如,用防CC攻击软件就可以有效的防止CC攻击。推荐一些CC的防范手段:
优化代码。 尽可能使用缓存来存储重复的查询内容,减少重复的数据查询资源开销。减少复杂框架的调用,减少不必要的数据请求和处理逻辑。程序执行中,及时释放资源,比如及时关闭mysql连接,及时关闭memcache连接等,减少空连接消耗。
限制手段。 对一些负载较高的程序增加前置条件判断,可行的判断方法如下: 必须具有网站签发的session信息才可以使用(可简单阻止程序发起的集中请求);必须具有正确的referer(可有效防止嵌入式代码的攻击);禁止一些客户端类型的请求(比如一些典型的不良蜘蛛特征);同一session多少秒内只能执行一次。
完善日志。 尽可能完整保留访问日志。日志分析程序,能够尽快判断出异常访问,比如单一ip密集访问;比如特定url同比请求激增。
使用第三方防护服务。 笔者试了很多的CC防御,最终还是选择使用知道创宇抗D宝,就使用体验来说,算是我使用很靠谱的CC防御产品了,对伪造搜索爬虫攻击、伪造浏览器攻击、假人攻击等效果很好。
流量攻击(DDoS攻击)防御策略
选择带有DDOS硬件防火墙的机房。 目前大部分的硬防机房对100G以内的DDOS流量攻击都能做到有效防护。选择硬防主要是针对DDOS流量攻击这一块的,如果你的企业网站一直遭受流量攻击的困扰,那你可以考虑将你的网站服务器放到DDOS防御机房。但是有的企业网站流量攻击超出了硬防的防护范围了,那就得考虑下面第二种了。
CDN和DDOS流量清洗防御。 目前大部分的CDN节点都有200G 的流量防护功能,在加上硬防的防护,可以说能应付目前绝大多数的DDOS流量攻击了。同时,CDN技术不仅对企业网站流量攻击有防护功能,而且还能对企业网站进行加速(前提要针对CDN节点位置)。解决部分地区打开网站缓慢的问题。笔者使用的CDN是知道创宇加速乐,用来加速和隐藏源站IP,DDOS流量洗使用的抗D宝,用来专门防止DDOS攻击的,目前使用效果还不错;
负载均衡技术。 这一类主要针对DDOS攻击中的CC攻击进行防护,这种攻击手法使web服务器或其他类型的服务器由于大量的网络传输而过载,一般这些网络流量是针对某一个页面或一个链接而产生的。当然这种现象也会在访问量较大的网站上正常发生,但我们一定要把这些正常现象和分布式拒绝服务攻击区分开来。在企业网站加了负载均衡方案后,不仅有对网站起到CC攻击防护作用,也能将访问用户进行均衡分配到各个web服务器上,减少单个web服务器负担,加快网站访问速度。
在市场经济大潮中,不断发展充实,随着企业的发展,企业对服务器的要求越来越高了,首当其冲的,企业展示视频,要想让客户通过视频对企业的产品有充分的了解,必须要给客户一个良好的印象,视频播放流畅,清晰,让客户更加充分认识到企业,必须要有一个高配置的服务器,足够大的带宽资源,为什么服务器对带宽资源要求这么高呢?因为带宽和下载速度之间有着紧密联系。我们都知道带宽越大,下载速度越快,但是这个跟用户本地网络和机房网络,还有中间经过的路由节点都有很大关系,比例一般是8:1,当然,下载速度和下载资源也有着很大关系,资源越大,速度越慢些,总体上,真正影响带宽的是使用人数,同时使用的人数越多,速度就越慢,带宽越大,单位时间内传输功率就越大。目前有哪些性价比比较高的大带宽机房呢?
1、镇江电信机房
电信机房通过12T光纤直接接入ChinaNET骨干网,并有200G金盾集群(单机保护到50G-200G),是国内为数不多的优质电信机房之一。该机房采用国内最先进的信息安全系统,无需手工添加白名单即可实现有备案自动允许访问,单台机器有10M-1G带宽可选,且带有50G免费防御,机房拥有丰富的带宽资源,性价比非常高的全功能机房。
2、佛山高防服务器
广东佛山电信互联网数据中心以标准电信级机房和中国电信的强大的网络资源为依托,以高度自动化的管理系统和高度可扩充的设施系统,为不同用户提供安全、可靠、快速、全面的数据存放业务及其它增值服务。防御有10G-280G多个级别,带宽有10m -100M可选。
3、BGP双线服务器
新乡BGP双线和洛阳三线BGP的服务器默认自带10M-100M带宽。
4、移动服务器
中国移动河南数据中心位于河南省,地理位置优越,交通、通信及其便捷。该机房通过400G光纤直接接入ChinaNET骨干网,是国内为数不多的优质房之一。单台机器带宽百兆起步,还有1000M带宽可选。
5、韩国大带宽服务器
韩国服务器带宽都是10M起步,韩国SK机房带宽价格较低,最高可加到1G。
6、美国HE不限流量服务器
美国拥有最丰富的带宽资源,所以美国HE机房不限流量服务器,单台机器带宽100m起步,性价比较高的美国机房。
市面上好的高防服务器还是挺多的,比如华为云、阿里云和快快网络的高防都很不错。
要注意,选择高防服务器的时候,一是要选择独立单个硬防防御能力50G以上的;二是要能够为抵御大流量的DDoS攻击和CC攻击的高防服务器。
酷酷云为您解答~
1、检查网站后台服务器发现大量无用的数据包;
2、服务器主机上有大量等待的TCP连接;
3、网络流量出现异常变化突然暴涨;
4、大量访问源地址是虚假的;
5、当发现Ping超时或丢包严重时,且同一交换机上的服务器也出现了问题,不能进行正常访问;
流量攻击如何防御?
1扩充服务器带宽
服务器的网络带宽直接决定服务器承受攻击能力。所以在选购服务器时,可以加大服务器网络带宽。
2使用硬件防火墙
部分硬件防火墙基于包过滤型防火墙修改为主,只在网络层检查数据包,若是DDoS攻击上升到应用层,防御能力就比较弱了。
3选用高性能设备
除了使用硬件防火墙。服务器、路由器、交换机等网络设备的安全性能也需要有所保证。
4负载均衡
负载均衡建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性,对DDoS流量攻击和CC攻击都很见效。
5筛查系统漏洞
要定期筛查系统漏洞,及早发现系统漏洞,及时安装系统补丁。同时针对重要信息(如系统配置信息)做好备份。
6限制特定的流量
如遇到流量异常时,应及时检查访问来源,并做适当的限制。以防止异常、恶意的流量来袭。主动保护网站安全。
7选购高防服务器
高防服务器可以帮助网站拒绝服务攻击,而且高防服务器可以定时扫描现有的网络主节点,还可查找可能存在的安全漏洞的服务器类型∞
酷酷云服务器为您诚意解答,服务器租户的选择,酷酷云值得信赖。
1、首先,了解自己的需求和预算,确定所需的高防服务器配置和规模。
2、其次,进行市场调研,找到信誉良好且经验丰富的高防服务器提供商。
3、最后,与选定的供应商联系,咨询相关信息并要求提供高防服务器的报价和合同条款。
0条评论