如何最大限度保護服務器不被攻擊

這篇文章主要講解了“如何最大限度保護服務器不被攻擊”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“如何最大限度保護服務器不被攻擊”吧！

第一階段是目標確認：黑客將鎖定Internet上公司網絡的IP地址。這個鎖定的IP地址可能代表企業的網絡服務器，DNS服務器，互聯網網關等。選擇這些攻擊目標的目的也是多種多樣的，例如賺錢（有人會為黑客攻擊某些網站付費），或者是為了打破樂趣。

第二階段是準備階段：在這個階段，黑客將入侵互聯網上的大量計算機而沒有良好的保護系統（基本上是網絡上的家用計算機，NDSL寬帶或有線電纜是主要方法），黑客將在未來植入所需的工具。

第三階段是實際攻擊階段：黑客將攻擊命令發送給所有受到攻擊的計算機（即僵尸計算機），并命令計算機使用預先植入的攻擊工具連續向攻擊目標發送數據包，使得目標無法處理大量數據或帶寬被占滿。

聰明的黑客還會讓這些僵尸計算機欺騙攻擊數據包的IP地址，并將攻擊目標的IP地址插入數據包的原始地址。這稱為反射攻擊。在服務器或路由器看到這些數據包之后，它會將收到的響應轉發（即反映）到原始IP地址，這將進一步增加到目標主機的數據流。所以，我們無法阻止這種DDoS攻擊，但是知道這種攻擊的原理，我們可以最大限度地減少這種攻擊的影響。

減少攻擊影響

入侵過濾是一種簡單的安全策略，所有網絡（ISP）都應該實現。在網絡邊緣（例如直接連接到外部網絡的每個路由器），應建立路由聲明，以丟棄具有此網絡地址的源IP標記的所有數據包。雖然這種方法不能防止DDoS攻擊，但它可以預防DDoS反射攻擊。

減輕DDoS攻擊危害

但是很多大型ISP好像都因為各種原因拒絕實現入侵過濾,因此我們需要其它方式來降低DDoS帶來的影響。目前最有效的一個方法就是反追蹤(backscattertraceback method)。

要采用這種方式,首先應該確定目前所遭受的是外部DDoS攻擊,而不是來自內網或者路由問題。接下來就要盡快在全部邊緣路由器的外部接口上進行配置,拒絕所有流向DDoS攻擊目標的數據流。

將 路由器設置為拒絕這些資料包后,路由器會在每次拒絕數據包時發送一個因特網控制訊息協議(ICMP)包,并將"destinationunreachable"信息和被拒絕的數據包打包發送給來源IP地址。接下來,打開路由器日志,查看那個路由器收到的攻擊資料包最多。然后根據所記錄的數據包來源IP確定哪個網段的資料量最大。在這個路由器上調整路由器針對這個網段為“黑洞”狀態,并藉由修改子網掩碼的方法將這個網段隔離開。然后再尋找這個網段的所有者的信息,聯系你的ISP以及數據發送網段的ISP,將攻擊情況匯報給他們,并請求協助。不論他們是否愿意幫忙,無非是一個電話的問題。接下來為了讓服務和合法流量通過,你可以將其它一些攻擊情況較輕的路由器恢復正常,只保留承受攻擊最重的那個路由器,并拒絕攻擊來源最大的網段。如果你的ISP和對方ISP很負責的協助阻擋攻擊數據包,你的服務器你的網絡將很快恢復正常。

感謝各位的閱讀，以上就是“如何最大限度保護服務器不被攻擊”的內容了，經過本文的學習后，相信大家對如何最大限度保護服務器不被攻擊這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！