『壹』 伺服器、網站被攻擊了怎麼辦
伺服器、網站攻擊的情況經常發生,有的來自競爭對手的攻擊,有的則來自不明人員的攻擊,不管是來自哪裡的攻擊,都會對自身產生很大影響,需要我們做出及時、有針對性的防禦,避免引起業務損失。
網路攻擊一般分為3類
第1類:ARP欺騙攻擊 ARP(Address Resolution Protocol,地址解析協議)是一個位於TCP/IP協議棧中的網路層,負責將某個IP地址解析成對應的MAC地址。 ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的進行。 ARP攻擊的局限性 ARP攻擊僅能在乙太網(區域網如:機房、內網、公司網路等)進行,無法對外網(互聯網、非本區域內的區域網)進行攻擊。
第2類:CC攻擊 相對來說,這種攻擊的危害大一些。主機空間都有一個參數 IIS 連接數,當被訪問網站超出IIS 連接數時,網站就會出現Service Unavailable 。攻擊者就是利用被控制的機器不斷地向被攻擊網站發送訪問請求,迫使IIS 連接數超出限制,當CPU 資源或者帶寬資源耗盡,那麼網站也就被攻擊垮了。對於達到百兆的攻擊,防火牆就相當吃力,有時甚至造成防火牆的CPU資源耗盡造成防火牆死機。達到百兆以上,運營商一般都會在上層路由封這個被攻擊的IP。 針對CC攻擊,一般的租用有防CC攻擊軟體的空間、VPS或伺服器就可以了,或者租用章魚主機,這種機器對CC攻擊防禦效果更好。
第3類:DDOS流量攻擊 就是DDOS攻擊,這種攻擊的危害是最大的。原理就是向目標伺服器發送大量數據包,佔用其帶寬。對於流量攻擊,單純地加防火牆沒用,必須要有足夠的帶寬和防火牆配合起來才能防禦。
伺服器被攻擊的解決方法
查看網站的伺服器。 當我們發現網站被攻擊的時候不要過度驚慌失措,先查看一下網站伺服器是不是被黑了,找出網站存在的黑鏈,然後做好網站的安全防禦,具體操作分為三步: 1)、開啟IP禁PING,可以防止被掃描。 2)、關閉不需要的埠。 3)、打開網站的防火牆。 這些是只能防簡單的攻擊
ARP欺騙
網上現在有很多防禦ARP欺騙的防護軟體(這里不一一列舉)
伺服器被攻擊CC攻擊防禦策略
取消域名綁定。 一般cc攻擊都是針對網站的域名進行攻擊,比如我們的網站域名是"www.star-net.cn",那麼攻擊者就在攻擊工具中設定攻擊對象為該域名然後實施攻擊。 對於這樣的攻擊我們的措施是在IIS上取消這個域名的綁定,讓CC攻擊失去目標。具體操作步驟是:打開"IIS管理器"定位到具體站點右鍵"屬性"打開該站點的屬性面板,點擊IP地址右側的"高級"按鈕,選擇該域名項進行編輯,將"主機頭值"刪除或者改為其它的值(域名)。 經過模擬測試,取消域名綁定後Web伺服器的CPU馬上恢復正常狀態,通過IP進行訪問連接一切正常。但是不足之處也很明顯,取消或者更改域名對於別人的訪問帶來了不變,另外,對於針對IP的CC攻擊它是無效的,就算更換域名攻擊者發現之後,他也會對新域名實施攻擊。
域名欺騙解析。 如果發現針對域名的CC攻擊,我們可以把被攻擊的域名解析到127.0.0.1這個地址上。我們知道127.0.0.1是本地回環IP是用來進行網路測試的,如果把被攻擊的域名解析到這個IP上,就可以實現攻擊者自己攻擊自己的目的,這樣他再多的肉雞或者代理也會宕機,讓其自作自受。 另外,當我們的Web伺服器遭受CC攻擊時把被攻擊的域名解析到國家有權威的政府網站或者是網警的網站,讓其網警來收拾他們。 現在一般的Web站點都是利用IDC服務商提供的動態域名解析服務,大家可以登錄進去之後進行設置。
更改Web埠。 一般情況下Web伺服器通過80埠對外提供服務,因此攻擊者實施攻擊就以默認的80埠進行攻擊,所以,我們可以修改Web埠達到防CC攻擊的目的。運行IIS管理器,定位到相應站點,打開站點"屬性"面板,在"網站標識"下有個TCP埠默認為80,我們修改為其他的埠就可以了。
IIS屏蔽IP。 我們通過命令或在查看日誌發現了CC攻擊的源IP,就可以在IIS中設置屏蔽該IP對Web站點的訪問,從而達到防範IIS攻擊的目的。在相應站點的"屬性"面板中,點擊"目錄安全性"選項卡,點擊"IP地址和域名現在"下的"編輯"按鈕打開設置對話框。在此窗口中我們可以設置"授權訪問"也就是"白名單",也可以設置"拒絕訪問"即"黑名單"。比如我們可以將攻擊者的IP添加到"拒絕訪問"列表中,就屏蔽了該IP對於Web的訪問。
伺服器被攻擊CC攻擊防禦手段
防止CC攻擊,不一定非要用高防伺服器。比如,用防CC攻擊軟體就可以有效的防止CC攻擊。推薦一些CC的防範手段:
優化代碼。 盡可能使用緩存來存儲重復的查詢內容,減少重復的數據查詢資源開銷。減少復雜框架的調用,減少不必要的數據請求和處理邏輯。程序執行中,及時釋放資源,比如及時關閉mysql連接,及時關閉memcache連接等,減少空連接消耗。
限制手段。 對一些負載較高的程序增加前置條件判斷,可行的判斷方法如下: 必須具有網站簽發的session信息才可以使用(可簡單阻止程序發起的集中請求);必須具有正確的referer(可有效防止嵌入式代碼的攻擊);禁止一些客戶端類型的請求(比如一些典型的不良蜘蛛特徵);同一session多少秒內只能執行一次。
完善日誌。 盡可能完整保留訪問日誌。日誌分析程序,能夠盡快判斷出異常訪問,比如單一ip密集訪問;比如特定url同比請求激增。
使用第三方防護服務。 筆者試了很多的CC防禦,最終還是選擇使用知道創宇抗D寶,就使用體驗來說,算是我使用很靠譜的CC防禦產品了,對偽造搜索爬蟲攻擊、偽造瀏覽器攻擊、假人攻擊等效果很好。
流量攻擊(DDoS攻擊)防禦策略
選擇帶有DDOS硬體防火牆的機房。 目前大部分的硬防機房對100G以內的DDOS流量攻擊都能做到有效防護。選擇硬防主要是針對DDOS流量攻擊這一塊的,如果你的企業網站一直遭受流量攻擊的困擾,那你可以考慮將你的網站伺服器放到DDOS防禦機房。但是有的企業網站流量攻擊超出了硬防的防護范圍了,那就得考慮下面第二種了。
CDN和DDOS流量清洗防禦。 目前大部分的CDN節點都有200G 的流量防護功能,在加上硬防的防護,可以說能應付目前絕大多數的DDOS流量攻擊了。同時,CDN技術不僅對企業網站流量攻擊有防護功能,而且還能對企業網站進行加速(前提要針對CDN節點位置)。解決部分地區打開網站緩慢的問題。筆者使用的CDN是知道創宇加速樂,用來加速和隱藏源站IP,DDOS流量洗使用的抗D寶,用來專門防止DDOS攻擊的,目前使用效果還不錯;
負載均衡技術。 這一類主要針對DDOS攻擊中的CC攻擊進行防護,這種攻擊手法使web伺服器或其他類型的伺服器由於大量的網路傳輸而過載,一般這些網路流量是針對某一個頁面或一個鏈接而產生的。當然這種現象也會在訪問量較大的網站上正常發生,但我們一定要把這些正常現象和分布式拒絕服務攻擊區分開來。在企業網站加了負載均衡方案後,不僅有對網站起到CC攻擊防護作用,也能將訪問用戶進行均衡分配到各個web伺服器上,減少單個web伺服器負擔,加快網站訪問速度。
『貳』 我的網站又被掛馬了怎麼解決
1、掃描掛馬的目錄
掃描後將掛馬文件刪除,掛馬文件會篡改頁面內容,如果是生成文件則需要進行重新生成,如果是靜態非生成文件,則需要把備份文件還原回去,如果沒有備份文件我們則需要進行代碼重新編輯刪除被掛馬篡改的部分內容。
2、程序目錄查看修改時間
利用軟體篩選出的掛馬文件不一定是全部的文件,部分文件隱藏的比較深,這時候需要進行手動點開我們網站程序目錄進行修改時間查看,一般日期比較不一致的都有可能是掛馬文件的變形,這時候我們可以針對性的查看進行刪除。
3、將網站安全加固
網站掛馬清除後一定要記得將網站安全加固,首先文件用戶許可權是一個非常重要的操作,對於不需要進行寫入修改的文件許可權我們要進行文件許可權修改為只讀。
4、修復網站漏洞
很多網站經常採用別人的模板來建站或者是後台可能是市面上流傳的一些通用後台例如織夢後台,帝國後台等等都可能純在版本漏洞,建議升級到最新版。
5、網站上傳審計
很多網站都有注冊發帖功能,而很多都是通過這個漏洞進行上傳篡改掛馬文件,所以我們的網站在上傳的這塊功能上如果不是必須可以進行刪除,或者對其發布上傳的許可權另外歸檔許可權確保不會影響到本身網站。
『叄』 如何快速判斷伺服器是否遭受CC攻擊
CC攻擊有一定的隱蔽性,那如何確定伺服器正在遭受或者曾經遭受CC攻擊呢?可以通過以下三個方法來確定。
1、命令行法
一般遭受CC攻擊時,Web伺服器會出現80埠對外關閉的現象,因為這個埠已經被大量的垃圾數據堵塞了正常的連接被中止了。可以通過在命令行下輸入命令netstat-an來查看,SYN_RECEIVED是TCP連接狀態標志,意思是正在處於連接的初始同步狀態,表明無法建立握手應答處於等待狀態。這就是攻擊的特徵,一般情況下這樣的記錄一般都會有很多條,表示來自不同的代理IP的攻擊。
2、批處理法
上述方法需要手工輸入命令且如果Web伺服器IP連接太多看起來比較費勁,可以建立一個批處理文件,通過該腳本代碼確定是否存在CC攻擊。
腳本篩選出當前所有的到80埠的連接。當感覺伺服器異常時就可以雙擊運行該批處理文件,然後在打開的log.log文件中查看所有的連接。如果同一個IP有比較多的到伺服器的連接,那就基本可以確定該IP正在對伺服器進行CC攻擊。
3、查看系統日誌
web日誌一般在C:目錄下,該目錄下用類似httperr1.log的日誌文件,這個文件就是記錄Web訪問錯誤的記錄。管理員可以依據日誌時間屬性選擇相應的日誌打開進行分析是否Web被CC攻擊了。
默認情況下,web日誌記錄的項並不是很多,可以通過IIs進行設置,讓web日誌記錄更多的項以便進行安全分析。其操作步驟是:開始-管理工具打開Internet信息伺服器,展開左側的項定位到相應的Web站點,然後右鍵點擊選擇屬性打開站點屬性窗口,在網站選項卡下點擊屬性按鈕,在日誌記錄屬性窗口的高級選項卡下可以勾選相應的擴展屬性,以便讓Web日誌進行記錄。比如其中的發送的位元組數、接收的位元組數、所用時間這三項默認是沒有選中的,但在記錄判斷CC攻擊中是非常有用的,可以勾選。另外,如果你對安全的要求比較高,可以在常規選項卡下對新日誌計劃進行設置,讓其每小時或者每一天進行記錄。為了方便日後進行分析時好確定時間可以勾選文件命名和創建使用當地時間。