O mecanismo de defesa do servidor de alta defesa
É mais seguro para sites vulneráveis a GJ optar por acessar serviços de alta defesa. Todo mundo sabe disso! Mas quanto você sabe sobre como os serviços de alta defesa implementam defesa para garantir a segurança? 31298) Vamos falar sobre os métodos convencionais de serviços de antidefesa para alcançar a defesa, geralmente têm os seguintes pontos:
1. Verifique regularmente os nós principais da rede existentes. Devido à alta largura de banda, os computadores dos nós do backbone são as melhores posições para os hackers usarem. Portanto, é muito importante fortalecer a segurança desses próprios hosts. É necessário verificar regularmente os nós principais da rede existentes, verificar possíveis vulnerabilidades de segurança e limpar as vulnerabilidades emergentes em tempo hábil. Além disso, todos os computadores conectados aos principais nós da rede são computadores no nível do servidor, por isso é ainda mais importante verificar regularmente as vulnerabilidades.
2. Configure o firewall no nó de backbone. O próprio firewall protege contra DdoSGJ e alguns outros GJs. Quando é descoberto que é GJed, ele pode ser GJed para alguns hosts de sacrifício, o que pode proteger os hosts reais de serem GJed. Claro, esses hosts sacrificados podem ser selecionados como sem importância, ou sistemas Linux e Unix com poucas vulnerabilidades e proteção inerentemente excelente contra GJ.
3. Consuma o hacker GJ com recursos suficientes. Esta é uma estratégia de enfrentamento ideal. Se o usuário tiver capacidade e recursos suficientes para o hacker GJ, quando ele continuamente visita o usuário e apreende os recursos do usuário, sua própria energia é gradualmente esgotada. Talvez o hacker esteja impotente antes que o usuário seja atacado e morto. . No entanto, esse método exige muito investimento, e a maioria dos equipamentos costuma ficar ociosa, o que não condiz com o funcionamento real da rede de pequenas e médias empresas.
4. Faça pleno uso do equipamento de rede. Os chamados dispositivos de rede referem-se a dispositivos de balanceamento de carga, como roteadores e firewalls, que podem efetivamente proteger a rede. Quando a rede é GJ, o roteador é o primeiro a morrer, mas as outras máquinas não morrem. O roteador morto retornará ao normal após a reinicialização, e a velocidade de inicialização é muito rápida e não causará nenhuma perda. Se o servidor morrer, poderá causar perda de dados e levará mais tempo para reiniciar o servidor. Em particular, um dispositivo de balanceamento de carga é usado para que, quando um roteador GJ falhar, o outro funcione imediatamente. Reduzindo assim o GJ de DdoS ao máximo.
5. Filtre serviços e portas desnecessários. Filtrar portas e serviços desnecessários, ou seja, filtrar IPs falsos em roteadores e abrir apenas portas de serviço tornou-se uma prática popular para muitos servidores, por exemplo, servidores WWW só abrem 80 e fecham todas as outras portas ou fazem estratégias de bloqueio em firewalls.
6. Verifique a origem de seus visitantes. Use o método de pesquisa reversa do roteador para verificar se o endereço IP do visitante é real e, se for falso, o bloqueará. Muitos hackers costumam usar endereços IP falsos para confundir os usuários, e é difícil descobrir de onde vem. Isso reduz a ocorrência de endereços IP falsos e ajuda a melhorar a segurança da rede.
7. Filtre todos os endereços IP RFC1918. O endereço IP RFC1918 é o endereço IP da rede interna, como 10.0.0.0, 192.168.0.0 e 172.16.0.0, não são endereços IP fixos de um determinado segmento de rede, mas endereços IP regionais reservados dentro da Internet, e devem ser Perda filtrada. Este método não serve para filtrar o acesso de funcionários internos, mas para filtrar um grande número de falsos IPs internos forjados durante o GJ, o que também pode aliviar o DDoS GJ.
8. Limite o tráfego SYN/ICMP. Os usuários devem configurar o fluxo máximo de SYN/ICMP no roteador para limitar a largura de banda máxima que os pacotes SYN/ICMP podem ocupar. Dessa forma, quando houver uma grande quantidade de fluxo SYN/ICMP que ultrapasse o limite, significa que não é o acesso à rede normal, mas Existem hacks. Restringir o tráfego SYN/ICMP nos primeiros dias é a melhor maneira de prevenir o DOS. Embora o efeito desse método no DDoS não seja óbvio, ele ainda pode desempenhar um certo papel.
-----------------------------------