El mecanismo de defensa del servidor de alta defensa

El mecanismo de defensa del servidor de alta defensa

Es más seguro que los sitios web que son vulnerables a GJ elijan acceder a servicios de alta defensa. ¡Todo el mundo lo sabe! Pero, ¿cuánto sabe acerca de cómo los servicios de alta defensa implementan la defensa para garantizar la seguridad? 31298) Hablemos de los métodos convencionales de Los servicios antidefensa para lograr la defensa, generalmente tienen los siguientes puntos:

1. Escanee regularmente los nodos maestros de red existentes. Debido al alto ancho de banda, las computadoras de los nodos de la red troncal son las mejores posiciones para que las usen los piratas informáticos. Por lo tanto, es muy importante fortalecer la seguridad de estos hosts. Es necesario escanear regularmente los nodos maestros de la red existentes, verificar posibles vulnerabilidades de seguridad y limpiar las vulnerabilidades emergentes de manera oportuna. Además, todas las computadoras conectadas a los nodos de la red principal son computadoras a nivel de servidor, por lo que es aún más importante escanear periódicamente en busca de vulnerabilidades.

2. Configure el firewall en el nodo de red troncal. El cortafuegos en sí mismo protege contra DdoSGJ y algunos otros GJ. Cuando se descubre que es GJed, puede ser GJed a algunos anfitriones de sacrificio, lo que puede proteger a los anfitriones reales de ser GJed. Por supuesto, estos hosts sacrificados se pueden seleccionar como sin importancia, o como sistemas Linux y Unix con pocas vulnerabilidades y una protección inherentemente excelente contra GJ.

3. Consumir hacker GJ con suficientes recursos. Esta es una estrategia de afrontamiento ideal. Si el usuario tiene suficiente capacidad y recursos para que el hacker se convierta en GJ, cuando visita continuamente al usuario y se apodera de los recursos del usuario, su propia energía se agota gradualmente. Tal vez el hacker sea impotente antes de que el usuario sea atacado y asesinado. . Sin embargo, este método requiere mucha inversión y la mayoría de los equipos suelen estar inactivos, lo que no se corresponde con el funcionamiento real de la red de las pequeñas y medianas empresas.

4. Hacer pleno uso de los equipos de red. Los llamados dispositivos de red se refieren a dispositivos de equilibrio de carga, como enrutadores y firewalls, que pueden proteger la red de manera efectiva. Cuando la red es GJ, el enrutador es el primero en morir, pero otras máquinas no están muertas. El enrutador muerto volverá a la normalidad después de reiniciar, y la velocidad de inicio es muy rápida y no causará ninguna pérdida. Si el servidor muere, puede provocar la pérdida de datos y llevará más tiempo reiniciar el servidor. En particular, se utiliza un dispositivo de balanceo de carga para que cuando un enrutador GJ falle, el otro funcione de inmediato. Reduciendo así el GJ de DdoS en la mayor medida posible.

5. Filtre los servicios y puertos innecesarios. Filtrar servicios y puertos innecesarios, es decir, filtrar IP falsas en los enrutadores y solo abrir puertos de servicio se ha convertido en una práctica popular para muchos servidores. Por ejemplo, los servidores WWW solo abren 80 y cierran todos los demás puertos o realizan estrategias de bloqueo en los firewalls.

6. Verifique la fuente de sus visitantes. Use el método de búsqueda inversa del enrutador para verificar si la dirección IP del visitante es real y, si es falsa, la bloqueará. Muchos piratas suelen utilizar direcciones IP falsas para confundir a los usuarios y es difícil averiguar de dónde provienen. Esto reduce la aparición de direcciones IP falsas y ayuda a mejorar la seguridad de la red.

7. Filtre todas las direcciones IP RFC1918. La dirección IP RFC1918 es la dirección IP de la red interna, como 10.0.0.0, 192.168.0.0 y 172.16.0.0, no son direcciones IP fijas de un determinado segmento de red, sino direcciones IP regionales reservadas dentro de Internet, y deben ser Filtrado Perder. Este método no es para filtrar el acceso de empleados internos, sino para filtrar una gran cantidad de IP internas falsas falsificadas durante GJ, lo que también puede aliviar DDoS GJ.

8. Limite el tráfico SYN/ICMP. Los usuarios deben configurar el flujo máximo de SYN/ICMP en el enrutador para limitar el ancho de banda máximo que pueden ocupar los paquetes SYN/ICMP.De esta manera, cuando hay una gran cantidad de flujo SYN/ICMP que excede el límite, significa que No es el acceso a la red normal, pero hay hacks. Restringir el tráfico SYN/ICMP en los primeros días es la mejor manera de prevenir DOS Aunque el efecto de este método en DDoS no es obvio, aún puede desempeñar un papel determinado.
--------------------------------------------------
 

Supongo que te gusta

Origin blog.csdn.net/fzy18757569631/article/details/132323192
Recomendado
Clasificación