vps如何防攻擊
vps如何防攻擊
其實(shí)VPS和服務(wù)器一樣.它就是一臺(tái)放在機(jī)房運(yùn)行的電腦.平時(shí)我們養(yǎng)成好的操作習(xí)慣.就不會(huì)被黑客入侵或者是中病毒木馬.建議從以下幾個(gè)方面維護(hù):
一.設(shè)置復(fù)雜的用戶密碼.最好是修改下默認(rèn)的3389遠(yuǎn)程端口.
二.做下安全策略.關(guān)閉一些沒用的端口.可以讓服務(wù)商幫你操作.
三.定期更新系統(tǒng)補(bǔ)丁.或者是修復(fù)系統(tǒng)漏洞.
四.養(yǎng)成好的操作習(xí)慣.不要瀏覽容易中毒的網(wǎng)站.不安全易中毒軟件.
五.出問題及時(shí)找服務(wù)商溝通處理.做到以上幾點(diǎn).至少會(huì)把VPS的安全提升一大截.
當(dāng)VPS真的遭遇DDOS攻擊時(shí)我們要怎么防范?
DDoS的防范到目前為止,遭受到DDoS攻擊的時(shí)候防御還是比較困難的。
首先,這種攻擊的特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻擊。
一位資深的安全專家給了個(gè)形象的比喻:DDoS就好象有1,000個(gè)人同時(shí)給你家里打電話,這時(shí)候你的朋友還打得進(jìn)來嗎?雖然DDos難于防范,但防止DDoS并不是絕對(duì)不可行的事情。
互聯(lián)網(wǎng)的使用者是各種各樣的,與DDoS做斗爭,不同的角色有不同的任務(wù)。我們以下面幾種角色為例:企業(yè)網(wǎng)管理員ISP、ICP管理員骨干網(wǎng)絡(luò)運(yùn)營商
(一)企業(yè)網(wǎng)管理員網(wǎng)管員做為一個(gè)企業(yè)內(nèi)部網(wǎng)的管理者,往往也是安全員、守護(hù)神。
在他維護(hù)的網(wǎng)絡(luò)中有一些服務(wù)器需要向外提供WWW服務(wù),因而不可避免地成為DDoS的攻擊目標(biāo),他該如何做呢?可以從主機(jī)與網(wǎng)絡(luò)設(shè)備兩個(gè)角度去考慮。
1.主機(jī)上的設(shè)置 幾乎所有的主機(jī)平臺(tái)都有抵御DoS的設(shè)置,總結(jié)一下,基本的有幾種:關(guān)閉不必要的服務(wù)限制同時(shí)打開的Syn半連接數(shù)目縮短Syn半連接的time out 時(shí)間及時(shí)更新系統(tǒng)補(bǔ)丁
2.網(wǎng)絡(luò)設(shè)備上的設(shè)置企業(yè)網(wǎng)的網(wǎng)絡(luò)設(shè)備可以從防火墻與路由器上考慮。這兩個(gè)設(shè)備是到外界的接口設(shè)備,在進(jìn)行防DDoS設(shè)置的同時(shí),要注意一下這是以多大的效率犧牲為代價(jià)的,對(duì)特定的對(duì)象來說是否值得。
(1)防火墻 禁止對(duì)主機(jī)的非開放服務(wù)的訪問限制同時(shí)打開的SYN最大連接數(shù)限制特定IP地址的訪問啟用防火墻的防DDoS的屬性嚴(yán)格限制對(duì)外開放的服務(wù)器的向外訪問 第五項(xiàng)主要是防止自己的服務(wù)器被當(dāng)做工具去害人。
(2).路由器以Cisco路由器為例Cisco Express Forwarding(CEF)使用 unicast reverse-path 訪問控制列表(ACL)過濾設(shè)置SYN數(shù)據(jù)包流量速率升級(jí)版本過低的ISO 為路由器建立log server
(二)ISP / ICP管理員ISP / ICP為很多中小型企業(yè)提供了各種規(guī)模的主機(jī)托管業(yè)務(wù),所以在防DDoS時(shí),除了與企業(yè)網(wǎng)管理員一樣的手段外,還要特別注意自己管理范圍內(nèi)的客戶托管主機(jī)不要成為傀儡機(jī)。
客觀上說,這些托管主機(jī)的安全性普遍是很差的,有的連基本的補(bǔ)丁都沒有打就赤膊上陣了,成為黑客最易控制的傀儡機(jī),托管的主機(jī)大都是高性能、高帶寬的,往往適合用做DDos攻擊。
(三)骨干網(wǎng)絡(luò)運(yùn)營商他們提供了互聯(lián)網(wǎng)存在的物理基礎(chǔ)。如果骨干網(wǎng)絡(luò)運(yùn)營商可以很好地合作的話,DDoS攻擊可以很好地被預(yù)防。
在2000年yahoo等知名網(wǎng)站被攻擊后,美國的網(wǎng)絡(luò)安全研究機(jī)構(gòu)提出了骨干運(yùn)營商聯(lián)手來解決DDoS攻擊的方案。
方法很簡單,就是每家運(yùn)營商在自己的出口路由器上進(jìn)行源IP地址的驗(yàn)證,如果在自己的路由表中沒有到這個(gè)數(shù)據(jù)包源IP的路由,就丟掉這個(gè)包。
這種方法可以阻止黑客利用偽造的源IP來進(jìn)行DDoS攻擊。
不過同樣,這樣做會(huì)降低路由器的效率,這也是骨干運(yùn)營商非常關(guān)注的問題,所以這種做法真正采用起來還很困難。
對(duì)DDoS的原理與應(yīng)付方法的研究一直在進(jìn)行中,找到一個(gè)既有效又切實(shí)可行的方案不是一朝一夕的事情。但目前至少可以做到把自己的網(wǎng)絡(luò)與主機(jī)維護(hù)好,首先讓自己的主機(jī)不成為別人利用的對(duì)象去攻擊別人;其次,在受到攻擊的時(shí)候,要盡量地保存證據(jù),以便事后追查,一個(gè)良好的網(wǎng)絡(luò)和日志系統(tǒng)是必要的。