租用高防服务器的用户相对来说,比较容易抵御ddos攻击,因为有机房防御,服务器自卫,技术护航。普通的香港服务器租用者也不必气馁。面对可能出现的DDOS攻击,做好预防工作也是很容易应对的。那么,租用普通的香港服务器要做哪些预防工作呢?
(1)定期扫描主骨干节点
定期扫描已有的网络主节点,发现可能存在的安全漏洞,及时排除新的安全漏洞。由于主干节点的计算机具有较高的带宽,是黑客利用的最佳场所,因此加强这些服务器本身的主机安全就显得尤为重要。并且所有与网络主节点连接的都是服务器级的计算机,因此定期进行漏洞扫描显得尤为重要。
(2)主骨干节点配置防火墙
防火墙本身可以抵御DdoS攻击和其他攻击。当发现攻击时,可以将攻击指向一些牺牲主机,这样可以保护真实主机不受攻击。当然,这些牺牲主机可以选择不重要的,或者像linux、unix这样的系统,这些系统几乎没有漏洞,对攻击有很好的自然防御。
(3)足够的机器应对黑客攻击
这是一种理想的应对策略。如果一个用户有足够的能力和资源让黑客攻击,那么他在不断访问用户、抢占用户资源的同时,自己的能量也会逐渐消耗掉。也许在用户被攻击致死之前,黑客已经无能为力了。但是这种方式需要投入大量资金,而且平时设备大多闲置,与目前中小企业网的实际运行情况不符。
(4)利用网络设备保护网络资源
我们所说的网络设备是指能够有效地保护网络安全的路由器、防火墙等负载均衡设备。路由器首先在网络受到攻击时死亡,但是其他机器并未死亡。重新启动后,死路由将恢复正常,并且重新启动的速度仍然很快,没有任何损失。如果另一个服务器死亡,数据将丢失,而重新启动服务器将是一个漫长的过程。尤其是有一家公司使用负载平衡装置,这样当一台路由器受到攻击而死亡时,另一台就会立即工作。这样就最大限度地减少了 DdoS攻击。
(5)过滤不必要的服务和端口
对不需要的服务和端口进行过滤,也就是在路由器上过滤假 IP…只打开服务端口,是当前许多服务器普遍采用的做法,比如 WWW服务器只打开80个端口,而关闭其他所有端口或者在防火墙上执行阻止策略。
(6)检查访问者的来源
通过反向路由器查询的方法,例如 Unicast Reverse Path Forwarding,可以检查访问者的 IP地址是否正确,如果正确,就会被屏蔽。很多黑客攻击都是用假的 IP地址来迷惑用户,很难找出它是从哪里来的。所以使用 Unicast发布路径可以减少假 IP地址的出现,从而帮助提高网络安全。
(7)过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的 IP地址,比如10.0.0.0、192.168.0.0和172.16.0.0,这些 IP地址并非某个网段的固定 IP地址,而是保留在 Internet内部的区域性 IP地址,应当对其进行过滤。这种方法并没有过滤内部员工的访问,而是在攻击过程中大量使用了伪造的内部 IP过滤,这也降低了 DdoS的攻击。
(8)限制SYN/ICMP流量
在路由器上,用户应该配置 SYN/ICMP的最大流量,以限制 SYN/ICMP封包所能拥有的最高频率范围,以便当大量 SYN/ICMP流量超出限定范围时,表明并非正常网络访问,而是黑客入侵。尽早限制 SYN/ICMP流量是防止 DdoS的最好方法,尽管目前这种方法对 DdoS的效果不太明显,但仍能发挥一定作用。