找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 8150|回复: 1

教你如何防护你的网站

[复制链接]
发表于 2008-12-1 17:14:42 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
网站被攻击并不可怕,可怕的是不知道怎样防护
近期,被DDoS攻击和入侵的网站可谓是数不胜数,从英国BBC、到美国巴达马网站、澳洲**网站和中国一些**门户网站、新浪DNS系统、糯米网站等等,都受到了不同程度的DDoS攻击(http://www.bingdun.com/news/index.htm),大到**、小到企业,每时每刻都在不同程度地受到DDoS攻击的威胁。
对于**网站来讲,造成被攻击和入侵的问题,实际上都是由于 “服务意识不强,网站用来充门面,这几乎是**网站的通病,服务意识决定责任意识,服务意识不强,责任意识自然也不会好到哪里去,被‘黑’也是情理之中。”
对于企业网站来讲,造成原因多多都是得过且过,没有真正遭受攻击或者遭受攻击不严重,对认识DDoS 攻击程度不够,等一旦损失造成了,再想去补救为时已晚。
  实际上还有更多的案例,那些个人网站,租用虚拟主机的网站更是没办法列举。鉴于互联网的普及,以及各类黑客攻击技术的发展,无论是商业网站乃至国际知名巨头网站,还是无名小站,只要是对外提供访问服务,就必然面临遭受攻击的危险,你的网站被黑是必然,不被黑才是偶然。
为什么网站被黑呢?
是哪些原因,促使您遭受黑客攻击呢?从冰盾科技专家多年来防护DDoS攻击和黑客入侵的经验来讲,这其中当然有很大一部分是属于经济原因,但并非所有攻击都是因为经济缘故。大体来讲,导致黑客攻击的原因有几个方面
1.受雇于他人的黑客行为,如商业竞争对手恶意竞争通过黑客手法攻击;成竞争对手的网站打不开或者有效数据被窃取,这在被攻击和入侵的事件中占有极大的比例。
2. 受商业利益驱使,敲诈勒索、盗取各类银行帐户信息及虚拟财产的黑客攻击行为;如各类钓鱼行为都属于商业利益驱使的攻击行为。
3.恶作剧型的黑客行为,如随意篡改网站首页;这类黑客攻击往往是一些新手的尝试行为,更多的是为了一种虚荣心的满足。
4.搜集肉鸡,攻击一个网站后,挂上网页木马(可导致浏览该网站者中毒而使自己的计算机成为入侵者的肉鸡);这类是为其他类攻击手段作准备,从互联安全网社区获得的案例来说,有黑客竟然通过这类行为掌握了数万台的肉鸡,以便于实施下一步攻击。
5.打击报复型,如网站服务不好而引起的商业纠纷等无法处理的时候会有黑客攻击行为;如前一段时间工商银行某分行网站遭受莫名攻击导致无法正常提供服务,有权威人士就指出乃是因为其网站客户服务不到位,无故刁难客户导致黑客人士不平进而遭受DDOS攻击,根本不是所谓其自己据称的遭受竞争对手恶意攻击。
6.窃取资料型,此类攻击主要针对一些资料网站包括收费用户网站,一般攻击者不会破坏服务器及网站数据,但会悄悄将数据偷走据为已有;如盗取网站管理员的密码之类。
7.菜鸟测试型,这类一般为一些正在学习黑客技术的人通过攻击网站练习的人骇客新手,这类攻击一般攻击经验少,容易对网站数据造成破坏;
8.其他原因。
  归于上述原因,如何避免你的网站被DDoS攻击和黑客入侵,冰盾科技人员提醒各网站站长、主管以及**网站的负责人,要想尽量避免网站被DDoS攻击,必须时常有居安思危的心理,加上一些必要的防护DDoS手段和措施,以最大限度的减少您的损失。
  对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDOS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDOS攻击。
1、采用高性能的网络设备
首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
2、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。
3、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。
4、升级主机服务器硬件
在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,若有志强双CPU的话就用它吧,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,别只贪IDE价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。
5、把网站做成静态页面
大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器,当然,适当放一些不做数据库调用脚本还是可以的,此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。
6、多主动掌握安全资讯,利用搜索引擎Google、百度、雅虎等,搜集一些关于DDoS 、DDoS 防火墙 、或者防火墙的信息,常在Google的博客中输入您想找的安全保护的关键字,看看一些DDoS方面的专家怎样解释DDoS攻击的问题。也可以到一些大型的黑客网站咨询一些关于DDoS技术文章,比如黑科基地,它是全球最大的华人黑客站,具有一些公正性评论,访问网址: www.hackbase.com
文章来源于冰盾科技技术中心 专业的DDoS防火墙的厂商 www.bingdun.com .
routeros
发表于 2010-5-5 21:13:03 | 显示全部楼层
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-21 20:50 , Processed in 0.156258 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表