【高(gao)(gao)防(fang)服務(wu)器】高(gao)(gao)防(fang)服務(wu)器是什么 選購高(gao)(gao)防(fang)服務(wu)器注意事(shi)項

高防服務器是什么

獨(du)立高防服(fu)務器(qi)(qi)是一種服(fu)務器(qi)(qi)，主要(yao)是指獨(du)立單(dan)個硬防防御10G,15G，20G，25G，30G，35G，40G左(zuo)右，可以為單(dan)個客戶提(ti)供安全維護(hu)的。

如何防御

拒(ju)(ju)絕(jue)服(fu)(fu)務(wu)攻(gong)(gong)(gong)擊(ji)(ji)的(de)(de)(de)(de)發展(zhan)從拒(ju)(ju)絕(jue)服(fu)(fu)務(wu)攻(gong)(gong)(gong)擊(ji)(ji)已經(jing)有了(le)(le)很多的(de)(de)(de)(de)發展(zhan)，簡單Dos到DdoS。那(nei)么什么是(shi)(shi)Dos和DdoS呢(ni)？DoS是(shi)(shi)一種利用單臺計算(suan)機的(de)(de)(de)(de)攻(gong)(gong)(gong)擊(ji)(ji)方式(shi)。而DdoS（Distributed Denial of Service，分(fen)布式(shi)拒(ju)(ju)絕(jue)服(fu)(fu)務(wu)）是(shi)(shi)一種基(ji)于DoS的(de)(de)(de)(de)特殊形式(shi)的(de)(de)(de)(de)拒(ju)(ju)絕(jue)服(fu)(fu)務(wu)攻(gong)(gong)(gong)擊(ji)(ji)，是(shi)(shi)一種分(fen)布、協作(zuo)的(de)(de)(de)(de)大(da)(da)規模(mo)攻(gong)(gong)(gong)擊(ji)(ji)方式(shi)，主要瞄準比較(jiao)大(da)(da)的(de)(de)(de)(de)站(zhan)點，比如(ru)一些(xie)商業公司、搜索引擎和政府部門的(de)(de)(de)(de)站(zhan)點。DdoS攻(gong)(gong)(gong)擊(ji)(ji)是(shi)(shi)利用一批受控制的(de)(de)(de)(de)機器(qi)向一臺機器(qi)發起攻(gong)(gong)(gong)擊(ji)(ji)，這樣來勢迅猛的(de)(de)(de)(de)攻(gong)(gong)(gong)擊(ji)(ji)令(ling)人難以(yi)(yi)(yi)防(fang)(fang)備，因此具(ju)有較(jiao)大(da)(da)的(de)(de)(de)(de)破壞性(xing)。如(ru)果說(shuo)以(yi)(yi)(yi)前(qian)網絡管理員(yuan)對(dui)(dui)抗(kang)Dos可(ke)以(yi)(yi)(yi)采取(qu)(qu)過(guo)濾IP地(di)址方法(fa)的(de)(de)(de)(de)話，那(nei)么面(mian)(mian)對(dui)(dui)當前(qian)DdoS眾(zhong)多偽造出來的(de)(de)(de)(de)地(di)址則顯得沒有辦法(fa)。所以(yi)(yi)(yi)說(shuo)防(fang)(fang)范DdoS攻(gong)(gong)(gong)擊(ji)(ji)變得更加困難，如(ru)何采取(qu)(qu)措(cuo)施(shi)有效(xiao)的(de)(de)(de)(de)應對(dui)(dui)呢(ni)？下面(mian)(mian)我們(men)從兩個方面(mian)(mian)進(jin)行介紹。預(yu)防(fang)(fang)為(wei)主保證安全DdoS攻(gong)(gong)(gong)擊(ji)(ji)是(shi)(shi)黑(hei)客最常(chang)用的(de)(de)(de)(de)攻(gong)(gong)(gong)擊(ji)(ji)手(shou)段，下面(mian)(mian)列出了(le)(le)對(dui)(dui)付它的(de)(de)(de)(de)一些(xie)常(chang)規方法(fa)。

（1）定期掃描

要定期掃描現有的網絡主節點，清查可能存在的安全漏洞，對新出現的漏洞及時進行清理。骨干節點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網絡主節點的都是服務器級別的計算機，所以定期掃描漏洞(dong)就(jiu)變得(de)更加重要了。

（2）在骨干節點配置防火墻

防火墻(qiang)本身能(neng)抵御DdoS攻(gong)(gong)擊(ji)和其他一(yi)(yi)些(xie)攻(gong)(gong)擊(ji)。在發(fa)現受到攻(gong)(gong)擊(ji)的(de)時候，可以(yi)將攻(gong)(gong)擊(ji)導向一(yi)(yi)些(xie)犧牲主機，這樣(yang)可以(yi)保護真正的(de)主機不被(bei)攻(gong)(gong)擊(ji)。當(dang)然導向的(de)這些(xie)犧牲主機可以(yi)選(xuan)擇不重(zhong)要的(de)，或者是linux以(yi)及unix等漏洞(dong)少和天生防范攻(gong)(gong)擊(ji)優(you)秀的(de)系(xi)統。

（3）用足夠的機器承受黑客攻擊

這是一種較為理想的(de)應對策(ce)略。如果用(yong)戶擁有(you)足夠的(de)容(rong)量和足夠的(de)資(zi)源給(gei)黑客攻(gong)擊，在(zai)它不斷(duan)訪問用(yong)戶、奪(duo)取用(yong)戶資(zi)源之時，自己的(de)能(neng)量也在(zai)逐漸耗(hao)失，或許未(wei)等(deng)用(yong)戶被攻(gong)死，黑客已無力(li)支(zhi)招(zhao)兒(er)了。不過此方法(fa)需要投入的(de)資(zi)金比較多，平時大多數設備(bei)處于空閑狀(zhuang)態，和中(zhong)小企業網絡實際運行情況(kuang)不相符。

（4）充分利用網絡設備保護網絡資源

所謂網絡設備是指路由器、防火墻等負載均衡設備，它們可將網絡有效地保護起來。當網絡被攻擊時最先死掉的是路由器，但(dan)其他(ta)機器沒(mei)有死(si)。死(si)掉的(de)(de)路由器經重啟(qi)后會恢復正常(chang)，而且啟(qi)動起來(lai)還很快，沒(mei)有什么損失(shi)。若其他(ta)服(fu)務器死(si)掉，其中的(de)(de)數據會丟失(shi)，而且重啟(qi)服(fu)務器又是一個漫長(chang)的(de)(de)過程。特別(bie)是一個公司(si)使(shi)用(yong)了(le)負載均衡設備，這樣當一臺路由器被攻擊死(si)機時，另(ling)一臺將馬上工作。從而最大程度的(de)(de)削減了(le)DdoS的(de)(de)攻擊。

（5）過濾不必要的服務和端口

過濾不必要的服(fu)務和端口(kou)，即在路由器(qi)上過濾假IP……只(zhi)開放服(fu)務端口(kou)成為很多(duo)服(fu)務器(qi)的流行做(zuo)法，例(li)如WWW服(fu)務器(qi)那么(me)只(zhi)開放80而將其(qi)他所有端口(kou)關閉或在防火墻上做(zuo)阻止策略。

（6）檢查訪問者的來源

使用Unicast Reverse Path Forwarding等(deng)通過反向路由器查(cha)詢(xun)的(de)方(fang)法檢查(cha)訪問者的(de)IP地址(zhi)是否是真，如果是假(jia)的(de)，它將予以屏(ping)蔽(bi)。許多(duo)黑(hei)客攻擊(ji)常采用假(jia)IP地址(zhi)方(fang)式(shi)迷惑用戶，很難查(cha)出(chu)(chu)它來自何處。因此，利用Unicast Reverse Path Forwarding可(ke)減少假(jia)IP地址(zhi)的(de)出(chu)(chu)現，有助于提高網絡安全性。

（7）過濾所有RFC1918 IP地址

RFC1918 IP地址是內(nei)(nei)部網的(de)IP地址，像10.0.0.0、192.168.0.0和172.16.0.0，它(ta)們(men)不(bu)是某(mou)個網段的(de)固定的(de)IP地址，而(er)是Internet內(nei)(nei)部保(bao)留的(de)區(qu)域性IP地址，應該把它(ta)們(men)過濾(lv)掉(diao)。此方法(fa)并不(bu)是過濾(lv)內(nei)(nei)部員工(gong)的(de)訪問，而(er)是將攻擊(ji)時(shi)偽造的(de)大量虛假(jia)內(nei)(nei)部IP過濾(lv)，這樣也可以減輕DdoS的(de)攻擊(ji)。

（8）限制SYN/ICMP流量

用(yong)戶(hu)應在(zai)路由器上配置SYN/ICMP的(de)最(zui)大(da)流(liu)量(liang)來限(xian)制(zhi)SYN/ICMP封包所(suo)能占有的(de)最(zui)高頻寬，這樣(yang)，當出現大(da)量(liang)的(de)超過(guo)所(suo)限(xian)定(ding)的(de)SYN/ICMP流(liu)量(liang)時(shi)，說明不是(shi)正常的(de)網(wang)絡訪(fang)問，而是(shi)有黑(hei)客入侵。早期通過(guo)限(xian)制(zhi)SYN/ICMP流(liu)量(liang)是(shi)最(zui)好的(de)防范DOS的(de)方法，雖然該方法對(dui)于DdoS效(xiao)果不太明顯了，不過(guo)仍然能夠起到一(yi)定(ding)的(de)作(zuo)用(yong)。尋(xun)找機(ji)會(hui)應對(dui)攻(gong)(gong)擊如果用(yong)戶(hu)正在(zai)遭受攻(gong)(gong)擊，他所(suo)能做的(de)抵御工(gong)作(zuo)將是(shi)非常有限(xian)的(de)。因為在(zai)原本沒(mei)有準(zhun)備好的(de)情況下(xia)有大(da)流(liu)量(liang)的(de)災難(nan)性攻(gong)(gong)擊沖向用(yong)戶(hu)，很(hen)可(ke)(ke)能在(zai)用(yong)戶(hu)還沒(mei)回(hui)過(guo)神之際，網(wang)絡已(yi)經癱瘓。但(dan)是(shi)，用(yong)戶(hu)還是(shi)可(ke)(ke)以抓住(zhu)機(ji)會(hui)尋(xun)求(qiu)一(yi)線希望(wang)的(de)。

（1）檢查攻(gong)擊來源，通常黑(hei)客會通過很多假IP地址發(fa)起(qi)攻(gong)擊，此時(shi)，用戶若能夠分辨出哪(na)些(xie)是(shi)真IP哪(na)些(xie)是(shi)假IP地址，然后了解這(zhe)些(xie)IP來自(zi)(zi)哪(na)些(xie)網段(duan)，再找網網管理員將這(zhe)些(xie)機器關閉，從而(er)在(zai)第一(yi)時(shi)間消除攻(gong)擊。如果發(fa)現這(zhe)些(xie)IP地址是(shi)來自(zi)(zi)外面的而(er)不是(shi)公司(si)內部的IP的話，可以采取(qu)臨時(shi)過濾(lv)的方法，將這(zhe)些(xie)IP地址在(zai)服務器或路由器上過濾(lv)掉(diao)。

（2）找出攻(gong)擊(ji)者所(suo)經過的路(lu)由，把(ba)攻(gong)擊(ji)屏蔽掉(diao)。若黑(hei)客從某些(xie)端口(kou)發動攻(gong)擊(ji)，用(yong)戶可(ke)把(ba)這些(xie)端口(kou)屏蔽掉(diao)，以阻止入(ru)侵(qin)。不過此方法對于公司(si)網絡(luo)出口(kou)只有一個，而又遭受到來自外部的DdoS攻(gong)擊(ji)時(shi)不太(tai)奏(zou)效，畢竟將出口(kou)端口(kou)封閉后所(suo)有計算機(ji)都無法訪問internet了(le)。

（3）最后(hou)還有(you)一(yi)種比較折中的方法是在路由器上(shang)濾掉(diao)ICMP。雖然在攻(gong)擊(ji)時他無法完全(quan)消除入侵，但(dan)是過濾掉(diao)ICMP后(hou)可以(yi)有(you)效的防(fang)止攻(gong)擊(ji)規模的升(sheng)級(ji)，也可以(yi)在一(yi)定程度(du)上(shang)降低攻(gong)擊(ji)的級(ji)別。

不知道身為(wei)網絡(luo)管理(li)員的(de)你是(shi)否遇到過服務(wu)器因為(wei)拒絕服務(wu)攻(gong)擊(ji)（DDOS攻(gong)擊(ji)）都癱(tan)瘓的(de)情況呢？就網絡(luo)安全而言目前最讓人擔(dan)心和(he)(he)害怕的(de)入(ru)侵攻(gong)擊(ji)就要算是(shi)DDOS攻(gong)擊(ji)了(le)。他和(he)(he)傳統(tong)的(de)攻(gong)擊(ji)不同，采取的(de)是(shi)仿真(zhen)多個客(ke)(ke)戶(hu)端來連接服務(wu)器，造成服務(wu)器無(wu)法完成如此多的(de)客(ke)(ke)戶(hu)端連接，從而無(wu)法提供服務(wu)。

目前網絡(luo)安全界對于DdoS的防范最有效的防御辦法:

蜘蛛系統(tong):由全世(shi)界各個(ge)國家以及地(di)區組成(cheng)一個(ge)龐大(da)的網絡(luo)系統(tong),相當于一個(ge)虛幻(huan)的網絡(luo)任何人(ren)檢(jian)測到的只是我(wo)們(men)節(jie)點服(fu)務(wu)器ip并(bing)不是您真實(shi)數據所在的真實(shi)ip地(di)址,每個(ge)節(jie)點全部采用百M獨享服(fu)務(wu)器單機抗2G以上(shang)流(liu)量(liang)攻擊(ji) 金盾軟防(fang)無視(shi)任何cc攻擊(ji).

無論(lun)是G口(kou)(kou)發包(bao)還是肉(rou)雞(ji)攻(gong)擊(ji),使用我(wo)(wo)們蜘蛛系統(tong)在保(bao)障您個(ge)(ge)人服(fu)(fu)務(wu)(wu)器(qi)或者數據(ju)安全的(de)狀(zhuang)態下,只影響一(yi)(yi)(yi)(yi)個(ge)(ge)線(xian)路,一(yi)(yi)(yi)(yi)個(ge)(ge)地(di)區,一(yi)(yi)(yi)(yi)個(ge)(ge)省或者一(yi)(yi)(yi)(yi)個(ge)(ge)省的(de)一(yi)(yi)(yi)(yi)條線(xian)路的(de)用戶.并且我(wo)(wo)們會在一(yi)(yi)(yi)(yi)分鐘內更換已經(jing)癱瘓的(de)節點服(fu)(fu)務(wu)(wu)器(qi)保(bao)證網站正常狀(zhuang)態.還可以把G口(kou)(kou)發包(bao)的(de)服(fu)(fu)務(wu)(wu)器(qi)或者肉(rou)雞(ji)發出的(de)數據(ju)包(bao)全部返回到(dao)發送點,使G口(kou)(kou)發包(bao)的(de)服(fu)(fu)務(wu)(wu)器(qi)與肉(rou)雞(ji)全部變成癱瘓狀(zhuang)態.試想如果沒了G口(kou)(kou)服(fu)(fu)務(wu)(wu)器(qi)或者肉(rou)雞(ji)黑客用什么來攻(gong)擊(ji)您的(de)網站

如果(guo)我們按照本文的(de)(de)方法和思(si)路去防范(fan)DdoS的(de)(de)話(hua)，收到的(de)(de)效果(guo)還是非常顯著(zhu)的(de)(de)，可(ke)以將攻擊(ji)帶來(lai)的(de)(de)損失降低(di)到最小。

注:Ddos攻擊只能被(bei)減弱，無法被(bei)徹(che)底消(xiao)除。

高防服務器選購注意

1、網站空間的穩定性和速度

高防(fang)服務器網站空間的(de)(de)穩定(ding)性和速度(du)相當重(zhong)要(yao)，這些因素都(dou)影響網站的(de)(de)正常運(yun)作，需要(yao)有一(yi)定(ding)的(de)(de)了(le)解，最好可以在購買(mai)前可以試用的(de)(de)，使用的(de)(de)時間不用太長，大(da)概在24小(xiao)時就行，一(yi)天的(de)(de)時間絕對能試驗出(chu)主機的(de)(de)好。

2、網站空間的價格

大型服務商的虛擬主機產品(pin)價格(ge)要貴一(yi)些，而一(yi)些小型公司可能(neng)(neng)價格(ge)比較便宜，要根據網站的重要程度來決定選擇哪種層次的空間提供(gong)商。高防機房專家提醒(xing)大家，切記(ji)不能(neng)(neng)貪圖(tu)便宜，一(yi)分錢一(yi)分貨(huo)。

3、虛擬主機的限制

沒(mei)有限(xian)制(zhi)(zhi)的(de)(de)空間問題一定(ding)會(hui)很大，一般都是cpu、流量、iis鏈(lian)(lian)接(jie)(jie)數(shu)(shu)的(de)(de)限(xian)制(zhi)(zhi)。而這(zhe)幾種之(zhi)中最普遍接(jie)(jie)受(shou)的(de)(de)就是限(xian)制(zhi)(zhi)iis鏈(lian)(lian)接(jie)(jie)數(shu)(shu)的(de)(de)方式，限(xian)制(zhi)(zhi)iis鏈(lian)(lian)接(jie)(jie)數(shu)(shu)很重要，試想(xiang)下一臺(tai)高防服務器上你(ni)的(de)(de)主機不限(xian)制(zhi)(zhi)iis鏈(lian)(lian)接(jie)(jie)數(shu)(shu)，別人的(de)(de)也(ye)不限(xian)制(zhi)(zhi)，這(zhe)樣(yang)的(de)(de)防攻擊服務器很容易(yi)掛(gua)掉(diao)，對網站的(de)(de)正常運行(xing)會(hui)有很大的(de)(de)影響，到時候你(ni)空間莫名其妙的(de)(de)被停了。

4、網站空間服務商的專業水平和服務質量

這是高防服務器(qi)選(xuan)擇網(wang)站空間的(de)(de)又一要素(su)，如果選(xuan)擇了質量比較低下的(de)(de)空間服務商，很可(ke)能(neng)會(hui)在網(wang)站運營中遇到各種問(wen)(wen)題，甚至經常出(chu)現(xian)網(wang)站無法正常訪問(wen)(wen)的(de)(de)情況，這樣(yang)都(dou)會(hui)嚴(yan)重(zhong)影響網(wang)絡(luo)營銷工(gong)作的(de)(de)開展。專家建議大家選(xuan)擇隨時有(you)QQ或是有(you)400電話的(de)(de)空間商，這樣(yang)可(ke)以更直接(jie)的(de)(de)解決遇到的(de)(de)問(wen)(wen)題。