我們的電信業(yè)務(wù)部門持有“夢飛”品牌商標(biāo)。我們?yōu)閲鴥?nèi)外的政府企業(yè)單位和個(gè)人提供了穩(wěn)定快速和專業(yè)級別的深圳服務(wù)器租用、香港服務(wù)器托管,美國服務(wù)器租用、韓國服務(wù)器租用、香港主機(jī)租用,德國服務(wù)器租用,美國站群服務(wù)器,抗攻擊服務(wù)器方案,大帶寬多IP服務(wù)器方案,云主機(jī)和網(wǎng)站空間,商務(wù)應(yīng)用軟件,以及其他豐富的媒體服務(wù)器。我們的團(tuán)隊(duì)是有數(shù)名業(yè)內(nèi)資深人士,致力于網(wǎng)絡(luò)技術(shù)服務(wù)、網(wǎng)絡(luò)營銷等多元化的互聯(lián)網(wǎng)項(xiàng)目運(yùn)營,公司管理層和技術(shù)團(tuán)隊(duì)曾在國內(nèi)多家著名互聯(lián)網(wǎng)公司就職,擁有強(qiáng)大的技術(shù)實(shí)力和豐富的市場經(jīng)驗(yàn)。24小時(shí)專業(yè)的技術(shù)保障和追求完美的個(gè)性決定了夢飛科技能夠成為您信賴的合作伙伴。
網(wǎng)絡(luò)攻擊一般分為3類,分別為ARP欺騙攻擊、CC攻擊、DDOS流量攻擊。1、ARP欺騙攻擊
ARP(Address Resolution Protocol,地址解析協(xié)議)是一個(gè)位于TCP/IP協(xié)議棧中的網(wǎng)絡(luò)層,負(fù)責(zé)將某個(gè)IP地址解析成對應(yīng)的MAC地址。
ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的進(jìn)行。
ARP攻擊的局限性
ARP攻擊僅能在以太網(wǎng)(局域網(wǎng)如:機(jī)房、內(nèi)網(wǎng)、公司網(wǎng)絡(luò)等)進(jìn)行。
無法對外網(wǎng)(互聯(lián)網(wǎng)、非本區(qū)域內(nèi)的局域網(wǎng))進(jìn)行攻擊。
2、CC攻擊
相對來說,這種攻擊的危害大一些。主機(jī)空間都有一個(gè)參數(shù) IIS 連接數(shù),當(dāng)被訪問網(wǎng)站超出IIS 連接數(shù)時(shí),網(wǎng)站就會出現(xiàn)Service Unavailable 。攻擊者就是利用被控制的機(jī)器不斷地向被攻擊網(wǎng)站發(fā)送訪問請求,迫使IIS 連接數(shù)超出限制,當(dāng)CPU 資源或者帶寬資源耗盡,那么網(wǎng)站也就被攻擊垮了。對于達(dá)到百兆的攻擊,防火墻就相當(dāng)吃力,有時(shí)甚至造成防火墻的CPU資源耗盡造成防火墻死機(jī)。達(dá)到百兆以上,運(yùn)營商一般都會在上層路由封這個(gè)被攻擊的IP。
針對CC攻擊,一般的租用有防CC攻擊軟件的空間、VPS或服務(wù)器就可以了,或者租用章魚主機(jī),這種機(jī)器對CC攻擊防御效果更好。
3、流量攻擊
就是DDOS攻擊,這種攻擊的危害是最大的。原理就是向目標(biāo)服務(wù)器發(fā)送大量數(shù)據(jù)包,占用其帶寬。對于流量攻擊,單純地加防火墻沒用,必須要有足夠的帶寬和防火墻配合起來才能防御。
網(wǎng)站被被攻擊了,我們應(yīng)該怎么解決呢?
首先查看網(wǎng)站的服務(wù)器
當(dāng)我們發(fā)現(xiàn)網(wǎng)站被攻擊的時(shí)候不要過度驚慌失措,先查看一下網(wǎng)站服務(wù)器是不是被黑了,找出網(wǎng)站存在的黑鏈,然后做好網(wǎng)站的安全防御,具體操作分為三步
1、開啟IP禁PING,可以防止被掃描。
2、關(guān)閉不需要的端口。
3、打開網(wǎng)站的防火墻。
這些是只能防簡單的攻擊
解決辦法
ARP欺騙
網(wǎng)上現(xiàn)在有很多防御ARP欺騙的防護(hù)軟件(這里不一一列舉)
CC攻擊防御策略
(1).取消域名綁定
一般cc攻擊都是針對網(wǎng)站的域名進(jìn)行攻擊,比如我們的網(wǎng)站域名是"www.star-net.cn",那么攻擊者就在攻擊工具中設(shè)定攻擊對象為該域名然后實(shí)施攻擊。
對于這樣的攻擊我們的措施是在IIS上取消這個(gè)域名的綁定,讓CC攻擊失去目標(biāo)。具體操作步驟是:打開"IIS管理器"定位到具體站點(diǎn)右鍵"屬性"打開該站點(diǎn)的屬性面板,點(diǎn)擊IP地址右側(cè)的"高級"按鈕,選擇該域名項(xiàng)進(jìn)行編輯,將"主機(jī)頭值"刪除或者改為其它的值(域名)。
經(jīng)過模擬測試,取消域名綁定后Web服務(wù)器的CPU馬上恢復(fù)正常狀態(tài),通過IP進(jìn)行訪問連接一切正常。但是不足之處也很明顯,取消或者更改域名對于別人的訪問帶來了不變,另外,對于針對IP的CC攻擊它是無效的,就算更換域名攻擊者發(fā)現(xiàn)之后,他也會對新域名實(shí)施攻擊。
(2).域名欺騙解析
如果發(fā)現(xiàn)針對域名的CC攻擊,我們可以把被攻擊的域名解析到127.0.0.1這個(gè)地址上。我們知道127.0.0.1是本地回環(huán)IP是用來進(jìn)行網(wǎng)絡(luò)測試的,如果把被攻擊的域名解析到這個(gè)IP上,就可以實(shí)現(xiàn)攻擊者自己攻擊自己的目的,這樣他再多的肉雞或者代理也會宕機(jī),讓其自作自受。
另外,當(dāng)我們的Web服務(wù)器遭受CC攻擊時(shí)把被攻擊的域名解析到國家有權(quán)威的政府網(wǎng)站或者是網(wǎng)警的網(wǎng)站,讓其網(wǎng)警來收拾他們。
現(xiàn)在一般的Web站點(diǎn)都是利用類似"新網(wǎng)"這樣的服務(wù)商提供的動(dòng)態(tài)域名解析服務(wù),大家可以登錄進(jìn)去之后進(jìn)行設(shè)置。
(3).更改Web端口
一般情況下Web服務(wù)器通過80端口對外提供服務(wù),因此攻擊者實(shí)施攻擊就以默認(rèn)的80端口進(jìn)行攻擊,所以,我們可以修改Web端口達(dá)到防CC攻擊的目的。運(yùn)行IIS管理器,定位到相應(yīng)站點(diǎn),打開站點(diǎn)"屬性"面板,在"網(wǎng)站標(biāo)識"下有個(gè)TCP端口默認(rèn)為80,我們修改為其他的端口就可以了。
(4).IIS屏蔽IP
我們通過命令或在查看日志發(fā)現(xiàn)了CC攻擊的源IP,就可以在IIS中設(shè)置屏蔽該IP對Web站點(diǎn)的訪問,從而達(dá)到防范IIS攻擊的目的。在相應(yīng)站點(diǎn)的"屬性"面板中,點(diǎn)擊"目錄安全性"選項(xiàng)卡,點(diǎn)擊"IP地址和域名現(xiàn)在"下的"編輯"按鈕打開設(shè)置對話框。在此窗口中我們可以設(shè)置"授權(quán)訪問"也就是"白名單",也可以設(shè)置"拒絕訪問"即"黑名單"。比如我們可以將攻擊者的IP添加到"拒絕訪問"列表中,就屏蔽了該IP對于Web的訪問。
五、CC攻擊的防范手段
防止CC攻擊,不一定非要用高防服務(wù)器。比如,用防CC攻擊軟件就可以有效的防止CC攻擊。推薦一些CC的防范手段:
1、優(yōu)化代碼
盡可能使用緩存來存儲重復(fù)的查詢內(nèi)容,減少重復(fù)的數(shù)據(jù)查詢資源開銷。減少復(fù)雜框架的調(diào)用,減少不必要的數(shù)據(jù)請求和處理邏輯。程序執(zhí)行中,及時(shí)釋放資源,比如及時(shí)關(guān)閉mysql連接,及時(shí)關(guān)閉memcache連接等,減少空連接消耗。
2、限制手段
對一些負(fù)載較高的程序增加前置條件判斷,可行的判斷方法如下:
必須具有網(wǎng)站簽發(fā)的session信息才可以使用(可簡單阻止程序發(fā)起的集中請求);必須具有正確的referer(可有效防止嵌入式代碼的攻擊);禁止一些客戶端類型的請求(比如一些典型的不良蜘蛛特征);同一session多少秒內(nèi)只能執(zhí)行一次。
3、完善日志
盡可能完整保留訪問日志。日志分析程序,能夠盡快判斷出異常訪問,比如單一ip密集訪問;比如特定url同比請求激增。
流量攻擊(DDoS攻擊)
一、選擇帶有DDOS硬件防火墻的機(jī)房。目前大部分的硬防機(jī)房對100G以內(nèi)的DDOS流量攻擊都能做到有效防護(hù)。選擇硬防主要是針對DDOS流量攻擊這一塊的,如果你的企業(yè)網(wǎng)站一直遭受流量攻擊的困擾,那你可以考慮將你的網(wǎng)站服務(wù)器放到DDOS防御機(jī)房。但是有的企業(yè)網(wǎng)站流量攻擊超出了硬防的防護(hù)范圍了,那就得考慮下面第二種了。
二、CDN流量清洗防御。目前大部分的CDN節(jié)點(diǎn)都有200G 的流量防護(hù)功能,在加上硬防的防護(hù),可以說能應(yīng)付目前絕大多數(shù)的DDOS流量攻擊了。同時(shí),CDN技術(shù)不僅對企業(yè)網(wǎng)站流量攻擊有防護(hù)功能,而且還能對企業(yè)網(wǎng)站進(jìn)行加速(前提要針對CDN節(jié)點(diǎn)位置)。解決部分地區(qū)打開網(wǎng)站緩慢的問題。
三、負(fù)載均衡技術(shù)。這一類主要針對DDOS攻擊中的CC攻擊進(jìn)行防護(hù),這種攻擊手法使web服務(wù)器或其他類型的服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過載,一般這些網(wǎng)絡(luò)流量是針對某一個(gè)頁面或一個(gè)鏈接而產(chǎn)生的。當(dāng)然這種現(xiàn)象也會在訪問量較大的網(wǎng)站上正常發(fā)生,但我們一定要把這些正常現(xiàn)象和分布式拒絕服務(wù)攻擊區(qū)分開來。在企業(yè)網(wǎng)站加了負(fù)載均衡方案后,不僅有對網(wǎng)站起到CC攻擊防護(hù)作用,也能將訪問用戶進(jìn)行均衡分配到各個(gè)web服務(wù)器上,減少單個(gè)web服務(wù)器負(fù)擔(dān),加快網(wǎng)站訪問速度。
