現在的伺服器是如何做到主動防禦

A. 網吧如果遇黑客攻擊怎麼防護

現在的電腦技術,理論上DDOS攻擊是沒好辦法主動防禦的,那些防禦都是被動的丟棄掉攻擊者發來的數據包或者把數據包丟回去,丟棄的比接受的快就不堵塞,否則就堵,但攻擊的數據包達到一定數量的時候,必然網路堵塞,目前沒有太好的DDOS攻擊的防禦方式,這點懂得網路的人都知道,你能做的就是被動的防禦,
下面是 復制 粘貼的經驗供你參考:
DdoS攻擊是黑客最常用的攻擊手段，下面列出了對付它的一些常規方法。

(1)定期掃描

要定期掃描現有的網路主節點，清查可能存在的安全漏洞，對新出現的漏洞及時進行清理。骨幹節點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網路主節點的都是伺服器級別的計算機，所以定期掃描漏洞就變得更加重要了。

(2)在骨幹節點配置防火牆

防火牆本身能抵禦DdoS攻擊和其他一些攻擊。在發現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防範攻擊優秀的系統。

(3)用足夠的機器承受黑客攻擊

這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數設備處於空閑狀態，和目前中小企業網路實際運行情況不相符。

(4)充分利用網路設備保護網路資源

所謂網路設備是指路由器、防火牆等負載均衡設備，它們可將網路有效地保護起來。當網路被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經重啟後會恢復正常，而且啟動起來還很快，沒有什麼損失。若其他伺服器死掉，其中的數據會丟失，而且重啟伺服器又是一個漫長的過程。特別是一個公司使用了負載均衡設備，這樣當一台路由器被攻擊死機時，另一台將馬上工作。從而最大程度的削減了DdoS的攻擊。

(5)過濾不必要的服務和埠

可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務和埠，即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較，並加以過濾。只開放服務埠成為目前很多伺服器的流行做法，例如WWW伺服器那麼只開放80而將其他所有埠關閉或在防火牆上做阻止策略。

(6)檢查訪問者的來源

使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常採用假IP地址方式迷惑用戶，很難查出它來自何處。因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現，有助於提高網路安全性。

(7)過濾所有RFC1918 IP地址

RFC1918 IP地址是內部網的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它們不是某個網段的固定的IP地址，而是Internet內部保留的區域性IP地址，應該把它們過濾掉。此方法並不是過濾內部員工的訪問，而是將攻擊時偽造的大量虛假內部IP過濾，這樣也可以減輕DdoS的攻擊。

(8)限制SYN/ICMP流量

用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能佔有的最高頻寬，這樣，當出現大量的超過所限定的SYN/ICMP流量時，說明不是正常的網路訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防範DOS的方法，雖然目前該方法對於DdoS效果不太明顯了，不過仍然能夠起到一定的作用。

三，尋找機會應對攻擊

如果用戶正在遭受攻擊，他所能做的抵禦工作將是非常有限的。因為在原本沒有準備好的情況下有大流量的災難性攻擊沖向用戶，很可能在用戶還沒回過神之際，網路已經癱瘓。但是，用戶還是可以抓住機會尋求一線希望的。

(1)檢查攻擊來源，通常黑客會通過很多假IP地址發起攻擊，此時，用戶若能夠分辨出哪些是真IP哪些是假IP地址，然後了解這些IP來自哪些網段，再找網網管理員將這些機器關閉，從而在第一時間消除攻擊。如果發現這些IP地址是來自外面的而不是公司內部的IP的話，可以採取臨時過濾的方法，將這些IP地址在伺服器或路由器上過濾掉。

(2)找出攻擊者所經過的路由，把攻擊屏蔽掉。若黑客從某些埠發動攻擊，用戶可把這些埠屏蔽掉，以阻止入侵。不過此方法對於公司網路出口只有一個，而又遭受到來自外部的DdoS攻擊時不太奏效，畢竟將出口埠封閉後所有計算機都無法訪問internet了。

(3)最後還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時他無法完全消除入侵，但是過濾掉ICMP後可以有效的防止攻擊規模的升級，也可以在一定程度上降低攻擊的級別。

總結：

目前網路安全界對於DdoS的防範還是沒有什麼好辦法的，主要靠平時維護和掃描來對抗。簡單的通過軟體防範的效果非常不明顯，即便是使用了硬體安防設施也僅僅能起到降低攻擊級別的效果，Ddos攻擊只能被減弱，無法被徹底消除。不過如果我們按照本文的方法和思路去防範DdoS的話，收到的效果還是非常顯著的，可以將攻擊帶來的損失降低到最小。

B. 伺服器防護的幾個方法

伺服器防護 一個是埠安全策略 一個是內核安全 一個是系統安全 一個是應用安全 一個是主動防禦防篡改 一個是賬戶安全策略

C. ddos防護是什麼ddos防護用哪個

ddos防護辦法？

1、DDoS網路攻擊防護:當面臨大量SYNFlood、UDPFlood、DNSFlood、ICMPFlood攻擊時，能迅速封鎖攻擊源保證正常業務的運行。

2、域名解析功能障礙災備：當根域、頂級域伺服器發生故障不能正常服務時，甚至所有外部的授權伺服器都出現故障時，某公司下一代防火牆DNS代理系統仍可以作為解析孤島，提供正常的域名解析服務。

3、DNS安全策略聯動：對重點域/域名的解析請求進行跟蹤監控，當出現異常情況時，啟動相關安全聯動措施，僅對正常域名進行應答服務。

4、DNS放大攻擊防護：當某IP流量異常突增時，自動啟動IP分析和安全聯動措施，對該IP限速，對應答結果修剪，有效防止DNS伺服器成為放大攻擊源。

5、多線路流量調度災備：能夠針對有多線路出口的客戶，可配置不同的出口策略。

6、弱憑證感知：當合法用戶通過弱口令登錄各類應用管理系統時，會被智能感知並通知安全管理員存在弱口令安全風險，從而提高賬號安全等級。

7、漏洞攻擊防護：當攻擊者對企業信息資產進行口令暴力枚舉或系統漏洞攻擊時能很快被檢測到攻擊行為，並形成有效的防禦。

8、僵屍網路檢測：當組織內部員工通過即時通訊工具或郵件的方式接收到了惡意軟體，在惡意軟體與外界發生通訊過程中能很快被檢測出來，進而有效保護組織內部信息不被外泄。

9、APT定向攻擊檢測：某公司下一代防火牆可以通過多種流量識別演算法對APT定向攻擊和ZeroDay攻擊及傳輸過程中的惡意軟體進行有效檢測，將APT攻擊拒於千里之外。

ddos防護軟體？

DDOS防護軟體是採用大量被控主機向目標主機發動洪水攻擊，可廣泛應用於機房路由硬體防火牆測試，機房帶寬測試，伺服器負載上限測試，WEB應用測試等，主要用於目標主機攻擊測試、網站攻擊測試和流量測試，參考眾多國內外優秀的DDOS攻擊測試軟體的特點，並採用全球領先的網路流量控制和系統開銷控制技術，具有速度快，不堵塞，隱蔽性好，攻擊性能強悍等優異的特性，可以充分發掘目標對象的弱點。

移動寬頻dns哪個好？

對於大部分互聯網用戶來說，「DNS（域名系統）」這個名詞稍顯陌生。但實際上，作為網路基礎設施的重要組成部分，DNS以其「調度員」的角色，將網址/域名解析成IP地址，在我們的上網過程中承擔著不可或缺的重要地位。

一旦DNS伺服器出現故障、被攻擊或配置不合理，可能導致網路癱瘓、網站被劫持修改、網速緩慢、彈出廣告等種種安全問題。

通常情況下，大家上網都是採用默認的DNS節點，由運營商就近提供。但事實上，為提升上網體驗，很多網友都自行選擇不錯的免費公共DNS，對自己的電腦進行自行設置。目前市面上的公共DNS比較多，良莠不齊，特意搜集比較熱點的幾款公共DNS進行對比，優缺點各異，供大家選擇參考。

互聯網巨頭Google家的公共DNS

首選地址：8.8.8.8

備用地址：8.8.4.4

功能測評：互聯網巨頭Google的產品向來是有品質保證的，這個公共DNS也不例外，基本能夠滿足諸多DNS需求，這個可能也是目前全球范圍內使用量最大的公共DNS。BUT，這個公共DNS的機房在國外，國內沒有節點，也就是說，對於國內上網的盆友們，一旦你配置了谷歌的公共DNS，就意味著走了一條「出口轉內銷」的路線，大大延長了上網速度，實在是不甚友好啊。

國內用戶量較大的114DNS

首選地址：114.114.114.114

備選地址：114.114.114.115

功能測評：114DNS在國內的用戶量相當巨大，其DNS解析成功率高，同時滿足電信、聯通、移動各運營商用戶，能訪問更多的國內外網站。114DNS做得比較早，有一定的技術積累，穩定性不錯，速度雖然沒有很優秀但也能讓人滿意。

我國首個IPv6公共DNS

首選地址：240c::6666

備選地址：240c::6644（僅作為純IPv6過渡測試使用）

功能測評：這兩年，由於國家政策的推動，國內通過IPv6上網的趨勢明顯增加，所以基於IPv6的公共DNS就顯得非常必要。由下一代互聯網國家工程中心推出的240c::6666，在安全性、穩定性、防劫持等方面都不錯，節點在國內部署比較多，因此訪問速度也是可以的。除此之外，為方便IPv6用戶訪問IPv4相關服務，IPv6公共DNS還有DNS64解析的測試服務，即通過該解析系統同樣可以響應純IPv6用戶對純IPv4網路資源的解析請求，這也在一定程度上避免了IPv4至IPv6過渡期所帶來的內容尚未完全改造升級的困擾。

號稱全球最快的CloudFlareDNS

首選地址：1.1.1.1

備選地址：1.0.0.1

功能測評：CloudFlare是全球最大的CDN/DDOS防護服務提供商之一，其遍布全球的基礎設施資源極其豐富，資金和技術實力相當雄厚，因此CloudFlareDNS號稱是全球最快的公共DNS。不過和Google家的公共DNS同理，國內網友只能是可望而不可及。

國內互聯網巨頭阿里家的AliDNS

首選地址：223.5.5.5

備選地址：223.6.6.6

功能測評：聯想到阿里巴巴和阿里雲在國內及雲領域的技術實力，阿里雲推出的免費DNS遞歸解析系統還是值得嘗試的，宣稱全球數百台伺服器組成的集群，擁有充足的帶寬資源，目標是成為國內互聯網基礎設施的組成部分，支持BGPAnycast以及ECS技術。

當然，除了以上這些，市面上還有很多公共DNS，宣稱的功能也大同小異，用戶還是要結合自己的實際需要及所處的城市來綜合判斷。

ddos防火牆原理？

DDoS防火牆是一種高效的主動防禦系統可有效防禦DoS/DDoS、SuperDDoS、DrDoS、代理CC、變異CC、僵屍集群CC、UDPFlood、變異UDP、隨機UDP、ICMP、IGMP、SYN、SYNFLOOD、ARP攻擊，傳奇假人攻擊、論壇假人攻擊、非TCP/IP協議層攻擊、等多種未知攻擊。

各種常見的攻擊行為均可有效識別，並通過集成的機制實時對這些攻擊流量進行處理及阻斷，具備遠處網路監控和數據包分析功能，能夠迅速獲取、分析最新的攻擊特徵，防禦最新的攻擊手段。

同時，DDoS防火牆又是一款伺服器安全衛士，具有多種伺服器入侵防護功能，防止黑客嗅探，入侵篡改，真正做到了外防內保，為您打造一台安全省心免維護的伺服器。作為國內網路防火界的新興力量、後起之秀，DDoS防火牆的3D防護結構，高效的主動防禦，以簡約（操作）而不簡單（功能）的思想，提供防護優秀、功能實用、操作簡單、佔用資源低的抗DDoS防火牆。