如何防范服务器被攻击

不管哪种DDoS攻击，，当前的技术都不足以很好的抵御。现在流行的DDoS防御手段——例如黑洞技术和路由器过滤，限速等手段，不仅慢，消耗大，而且同时也阻断有效业务。如IDS入侵监测可以提供一些检测性能但不能缓解DDoS攻击，防火墙提供的保护也受到其技术弱点的限制。其它策略，例如大量部署服务器，冗余设备，保证足够的响应能力来提供攻击防护，代价过于高昂。

黑洞技术

黑洞技术描述了一个服务提供商将指向某一目标企业的包尽量阻截在上游的过程，将改向的包引进“黑洞”并丢弃，以保全运营商的基础网络和其它的客户业务。但是合法数据包和恶意攻击业务一起被丢弃，所以黑洞技术不能算是一种好的解决方案。被攻击者失去了所有的业务服务，攻击者因而获得胜利。

路由器

许多人运用路由器的过滤功能提供对DDoS攻击的防御，但对于现在复杂的DDoS攻击不能提供完善的防御。

路由器只能通过过滤非基本的不需要的协议来停止一些简单的DDoS攻击，例如ping攻击。这需要一个手动的反应措施，并且往往是在攻击致使服务失败之后。另外，现在的DDoS攻击使用互联网必要的有效协议，很难有效的滤除。路由器也能防止无效的或私有的IP地址空间，但DDoS攻击可以很容易的伪造成有效IP地址。

基于路由器的DDoS预防策略——在出口侧使用uRPF来停止IP地址欺骗攻击——这同样不能有效防御现在的DDoS攻击，因为uRPF的基本原理是如果IP地址不属于应该来自的子网网络阻断出口业务。然而，DDoS攻击能很容易伪造来自同一子网的IP地址，致使这种解决法案无效。

防火墙

首先防火墙的位置处于数据路径下游远端，不能为从提供商到企业边缘路由器的访问链路提供足够的保护，从而将那些易受攻击的组件留给了DDoS攻击。此外，因为防火墙总是串联的而成为潜在性能瓶颈，因为可以通过消耗它们的会话处理能力来对它们自身进行DDoS攻击。

其次是反常事件检测缺乏的限制，防火墙首要任务是要控制私有网络的访问。一种实现的方法是通过追踪从内侧向外侧服务发起的会话，然后只接收“不干净”一侧期望源头发来的特定响应。然而，这对于一些开放给公众来接收请求的服务是不起作用的，比如Web、DNS和其它服务，因为黑客可以使用“被认可的”协议（如>

第三种限制，虽然防火墙能检测反常行为，但几乎没有反欺骗能力——其结构仍然是攻击者达到其目的。当一个DDoS攻击被检测到，防火墙能停止与攻击相联系的某一特定数据流，但它们无法逐个包检测，将好的或合法业务从恶意业务中分出，使得它们在事实上对IP地址欺骗攻击无效。

IDS入侵监测

IDS解决方案将不得不提供领先的行为或基于反常事务的算法来检测现在的DDoS攻击。但是一些基于反常事务的性能要求有专家进行手动的调整，而且经常误报，并且不能识别特定的攻击流。同时IDS本身也很容易成为DDoS攻击的牺牲者。

作为DDoS防御平台的IDS最大的缺点是它只能检测到攻击，但对于缓和攻击的影响却毫无作为。IDS解决方案也许能托付给路由器和防火墙的过滤器，但正如前面叙述的，这对于缓解DDoS攻击效率很低，即便是用类似于静态过滤串联部署的IDS也做不到。

DDoS攻击的手动响应

作为DDoS防御一部份的手动处理太微小并且太缓慢。受害者对DDoS攻击的典型第一反应是询问最近的上游连接提供者——ISP、宿主提供商或骨干网承载商——尝试识别该消息来源。对于地址欺骗的情况，尝试识别消息来源是一个长期和冗长的过程，需要许多提供商合作和追踪的过程。即使来源可被识别，但阻断它也意味同时阻断所有业务——好的和坏的。

。。楼主。你让你们公司的技术打开注册表。修改下远程端口就一切ok了。默认的远程端口都是3389
这个端口不安全。修搞成大参数的端口就没问题了。比如53xxx。67xx
这样的。
如果是租用服务器的方式。机房人员应该事先告诉你远程端口的事情的。
3389不但会被入侵。还会被人控制。作为肉鸡。。被做成肉鸡的命运是很悲惨的。

最直接的办法，把系统不用的端口都关闭掉，然后从新启动都要2005年的类，MS-04011的补丁还没打啊~个补丁毛重要类，危害不比比冲击波小
注：关闭的端口有，135，137，138，139，445，1025，2475，3127，6129，3389，593，还有tcp
具体 *** 作如下：
默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP
135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129
端口），以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口：
第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP
安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，d出快捷菜单，选择“创建 IP
安全策略”（如右图），于是d出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP
安全策略。
第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后d出“新规则属性”对话框，在画面上点击“添加”按钮，d出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。
第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何
IP 地址”，目标地址选“我的 IP
地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮（如左图），这样就添加了一个屏蔽
TCP
135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加
TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。
重复以上步骤添加TCP
1025、2745、3127、6129、3389
端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。
第四步，在“新规则属性”对话框中，选择“新 IP
筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器 *** 作”选项卡。在“筛选器 *** 作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止” *** 作（右图）：在“新筛选器 *** 作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。
第五步、进入“新规则属性”对话框，点击“新筛选器 *** 作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的
IP 安全策略，然后选择“指派”。
于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你的电脑。

　1在各个地区部署的节点，使访问者能够迅速连接到附近的节点，使访问者能够更快地访问网站，CDN缓存能够进一步提高网站的访问速度，减轻对网站服务器的压力，提高网站服务器的稳定性。
2的防御机制并非一种固定的防御策略。针对各种攻击类型，可以更好的阻断清理攻击，针对网站的攻击类型，采取针对性的防御策略。
3网站服务器隐藏在后端，节点部署在前端，访问者访问或攻击与节点连接，的防御机制自动识别是否为攻击，如果有，则自动清洗过滤。
4将网站域名分析为自动生成的CNAME记录值，并修改网站域名分析，网站域名未分析为网站服务器IP，从而使网站服务器IP地址隐藏在公共网络中。

由于工作需要我就自己写了一个简单的防止IP攻击的脚本,可以防止linux虚拟主机一些小方面的IP攻击系统是基于RHEL的centos,包括3,4,5三个版本,当然自己也初学shell,中间肯定用了很多笨的办法,效果也不一定怎么样,请大家给点意见注意:这个脚本是根据apache服务器的server-status和系统的dmesg分析结果进行防范的,所以非apache用户和没有开启server-status的朋友没法使用可以在服务器的crontab里设定每一分钟运行一次脚本, 复制下面的脚本到autoblocksh,root用户下# chmod u+x autoblockshQUOTE:#!/bin/bash# author hao32# basic settingecho 1 > /proc/sys/net/ipv4/tcp_syncookies# find server-status namess_name="/usr/local/autoblock"if [ -e $ss_name/ss_name ];thenss_n=`cat $ss_name/ss_name`elsemkdir /usr/local/autoblock >/dev/null 2>&1cat `locate >简单回答：
1、想告诉你的是，正统的做法是SQL服务器不直接接入互联网。SQL除了口令认证外，没有更强的防护能力。
2、如果SQL服务器要直接向互联网提供相关服务接入，那么，中间应该有硬件防火墙，至少应该有路由器进行隔离与过滤。
3、win2008R2自带软件的网络防火墙，在某些情况下也能提供部分网络防护功能，但能力与功能很有限。
相关知识：
1、MS SQL为数据服务管理器，它在设计上有基本的认证防护能力。也就是说，设置有口令情况下，不知道口令是不可能联接上的。
2、对于穷尽式的尝试，MS SQL没有防护能力。对于穷尽式尝试联接，只要你的登录密码设定够复杂，那么理论上就不可能试出来。这个复杂要求一般来说，12位的“字符+数字+符号”即可，要穷尽的试出这种密码，一秒钟100次尝试，完全穷尽，理论上要超过300年，当然，谁也不能保证，某人的运气过好，亿万分之一的机率也能试出来。
3、在实际工作中，SQL服务器被攻击一般不是被穷尽法破入，而是别的漏洞，这些漏洞可能是人为疏忽，也可能是并不被一般人了解的后门，还可能是被大量的登录或其它垃圾请求进行的封堵。
4、所以，SQL服务器一般不直接接入互联网，而是在后台接入应用服务器，应用服务器再面向用户，这就是所谓的三层架构。
5、对于“垃圾请求进行的封堵”的防护，需要有专业级别的防火墙，一般个人级别的应用是不会用这些东西的。

---