仿冒伺服器怎麼防止
A. 華為設備怎麼防止DHCP Server仿冒者攻擊 。路由器——核心交換5300——各分交換機2300.
可以用dhcp snooping來解決這個問題。
dhcp snooping主要功能就是監聽DHCP報文,只有信任的埠才可以正常接收並轉發DHCP報文。
具體操作,那得需要知道你的路由器型號。然後配置相關命令就可以了
B. 如何防範伺服器被攻擊
不管哪種DDoS攻擊,,當前的技術都不足以很好的抵禦。現在流行的DDoS防禦手段——例如黑洞技術和路由器過濾,限速等手段,不僅慢,消耗大,而且同時也阻斷有效業務。如IDS入侵監測可以提供一些檢測性能但不能緩解DDoS攻擊,防火牆提供的保護也受到其技術弱點的限制。其它策略,例如大量部署伺服器,冗餘設備,保證足夠的響應能力來提供攻擊防護,代價過於高昂。
黑洞技術
黑洞技術描述了一個服務提供商將指向某一目標企業的包盡量阻截在上游的過程,將改向的包引進「黑洞」並丟棄,以保全運營商的基礎網路和其它的客戶業務。但是合法數據包和惡意攻擊業務一起被丟棄,所以黑洞技術不能算是一種好的解決方案。被攻擊者失去了所有的業務服務,攻擊者因而獲得勝利。
路由器
許多人運用路由器的過濾功能提供對DDoS攻擊的防禦,但對於現在復雜的DDoS攻擊不能提供完善的防禦。
路由器只能通過過濾非基本的不需要的協議來停止一些簡單的DDoS攻擊,例如ping攻擊。這需要一個手動的反應措施,並且往往是在攻擊致使服務失敗之後。另外,現在的DDoS攻擊使用互聯網必要的有效協議,很難有效的濾除。路由器也能防止無效的或私有的IP地址空間,但DDoS攻擊可以很容易的偽造成有效IP地址。
基於路由器的DDoS預防策略——在出口側使用uRPF來停止IP地址欺騙攻擊——這同樣不能有效防禦現在的DDoS攻擊,因為uRPF的基本原理是如果IP地址不屬於應該來自的子網網路阻斷出口業務。然而,DDoS攻擊能很容易偽造來自同一子網的IP地址,致使這種解決法案無效。
防火牆
首先防火牆的位置處於數據路徑下游遠端,不能為從提供商到企業邊緣路由器的訪問鏈路提供足夠的保護,從而將那些易受攻擊的組件留給了DDoS攻擊。此外,因為防火牆總是串聯的而成為潛在性能瓶頸,因為可以通過消耗它們的會話處理能力來對它們自身進行DDoS攻擊。
其次是反常事件檢測缺乏的限制,防火牆首要任務是要控制私有網路的訪問。一種實現的方法是通過追蹤從內側向外側服務發起的會話,然後只接收「不幹凈」一側期望源頭發來的特定響應。然而,這對於一些開放給公眾來接收請求的服務是不起作用的,比如Web、DNS和其它服務,因為黑客可以使用「被認可的」協議(如HTTP)。
第三種限制,雖然防火牆能檢測反常行為,但幾乎沒有反欺騙能力——其結構仍然是攻擊者達到其目的。當一個DDoS攻擊被檢測到,防火牆能停止與攻擊相聯系的某一特定數據流,但它們無法逐個包檢測,將好的或合法業務從惡意業務中分出,使得它們在事實上對IP地址欺騙攻擊無效。
IDS入侵監測
IDS解決方案將不得不提供領先的行為或基於反常事務的演算法來檢測現在的DDoS攻擊。但是一些基於反常事務的性能要求有專家進行手動的調整,而且經常誤報,並且不能識別特定的攻擊流。同時IDS本身也很容易成為DDoS攻擊的犧牲者。
作為DDoS防禦平台的IDS最大的缺點是它只能檢測到攻擊,但對於緩和攻擊的影響卻毫無作為。IDS解決方案也許能託付給路由器和防火牆的過濾器,但正如前面敘述的,這對於緩解DDoS攻擊效率很低,即便是用類似於靜態過濾串聯部署的IDS也做不到。
DDoS攻擊的手動響應
作為DDoS防禦一部份的手動處理太微小並且太緩慢。受害者對DDoS攻擊的典型第一反應是詢問最近的上游連接提供者——ISP、宿主提供商或骨幹網承載商——嘗試識別該消息來源。對於地址欺騙的情況,嘗試識別消息來源是一個長期和冗長的過程,需要許多提供商合作和追蹤的過程。即使來源可被識別,但阻斷它也意味同時阻斷所有業務——好的和壞的。
C. 我公司的伺服器最近老是被攻擊,如何防範
1、當我們在發現伺服器被攻擊或被入侵後,建議應立即關閉所有網站服務,暫停至少3小時。
2、查看伺服器日誌,看下是怎麼回事。並且對伺服器進行整體安全掃描。檢測是否存在病毒等威脅。
3、為系統升級安全補丁,包括所有運行著的伺服器軟體。
4、安裝防火牆對攻擊進行防禦。市面上有很多的伺服器安全軟體,比如說安全狗,就是一款不錯的伺服器防火牆。
5、建議為伺服器和網站重新配置許可權,關閉刪除可疑的系統賬戶。
6、重新設置各種管理密碼,並把密碼設置的復雜些。
7、對伺服器日誌進行備份,對所有網站的數據和程序進行備份操作,防止黑客惡意刪除網站數據造成經濟損失。
並且在接下來的幾天里要密切關注伺服器和網站的運行情況,看是否還會出現黑客攻擊的情況發生,然後根據日誌發現並修補那些未知的漏洞。
轉~~~希望對你有用
D. DHCP仿冒者攻擊是指
DHCP Server仿冒者攻擊
攻擊原理
由於DHCP發現報文(DHCP DISCOVER)以廣播形式發送,所以DHCP Server仿冒者可以偵聽到此報文。DHCP Server仿冒者回應給DHCP Client仿冒信息,如錯誤的網關地址、錯誤的DNS(Domain Name System)伺服器、錯誤的IP等,達到DoS(Denial of Service)的目的,
解決方法
為防止DHCP Server仿冒者攻擊,可使用DHCP Snooping的「信任(Trusted)/不信任(Untrusted)」工作模式。
把某個物理介面設置為「信任」或者「不信任」。凡是從「不信任」介面上收到的DHCP Reply(Offer、ACK、NAK)報文直接丟棄,只對信任介面上送DHCP請求和應答報文。這樣可以隔離DHCP Server仿冒者攻擊,保證DHCP客戶端能夠從合法的DHCP伺服器獲取IP地址
E. h3c交換機怎麼阻止非法DHCP
防DHCP伺服器仿冒功能典型配置舉例
Switch的埠Ethernet1/0/1與DHCP伺服器端相連,埠Ethernet1/0/2,Ethernet1/0/3分別與DHCP Client A、DHCP Client B相連。
在Switch上開啟DHCP Snooping功能。
在埠Ethernet1/0/2,Ethernet1/0/3上開啟防DHCP伺服器仿冒功能。當埠Ethernet1/0/2上發現仿冒DHCP伺服器時,發送Trap信息;當埠Ethernet1/0/3上發現仿冒DHCP伺服器時,進行管理down操作。
為了避免攻擊者對探測報文進行策略過濾,配置Switch上防DHCP伺服器仿冒功能發送探測報文的源MAC地址為000f-e200-1111(不同於交換機的橋MAC地址)。
# 開啟DHCP Snooping功能。
<Switch> system-view
Enter system view, return to user view with Ctrl+Z.
[Switch] dhcp-snooping
# 配置防DHCP伺服器仿冒的報文發送的源MAC地址為000f-e200-1111。
[Switch] dhcp-snooping server-guard source-mac 000f-e200-1111
# 在埠Ethernet1/0/2上使能防DHCP伺服器功能。
[Switch] interface ethernet1/0/2
[Switch-Ethernet1/0/2] dhcp-snooping server-guard enable
# 在埠Ethernet1/0/2上配置防DHCP伺服器策略為發送Trap。
[Switch-Ethernet1/0/2] dhcp-snooping server-guard method trap
[Switch-Ethernet1/0/2] quit
# 在埠Ethernet1/0/3上使能防DHCP伺服器功能。
[Switch] interface ethernet1/0/3
[Switch-Ethernet1/0/3] dhcp-snooping server-guard enable
# 在埠Ethernet1/0/3上配置防DHCP伺服器策略為shutdown。
[Switch-Ethernet1/0/3] dhcp-snooping server-guard method shutdown
有些交換機不支持這種操作,可以開啟dhcp snooping後將連了合法dhcp的埠設為trust。
F. 服務端如何防止別人模擬請求,伺服器被攻擊
客戶端請求時加上一個對隨機數的簽名,伺服器端驗證,演算法不公開。這樣對所有簽名不對的請求,立即關閉連接。
G. 當發現有仿冒百度蜘蛛的ip訪問網站時該怎麼辦
1、可以不用管。
2、看看網站空間有沒有相關管理選項屏蔽掉假冒ip。
3、仿冒蜘蛛的一般也是蜘蛛,可以通過修改網站robot.txt文件來自定義蜘蛛訪問規則,不過很多流氓蜘蛛會無視robot協議,效果不一定樂觀。