如何正确的防范恶意攻击

一、一般网络恶意攻击分为3类

分别为ARP欺骗攻击、CC攻击、DDoS流量攻击。

（ 1 ） ARP欺骗攻击

         地址解析协议（ARP）是TCP/IP栈中的一个网络层，它将一个IP地址解析为MAC地址。ARP协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址，保证通信的进行。ARP攻击只能在以太网(LAN，如:机房、内部网、企业网络等)中进行，无法攻击外部网络(Internet、非本地局域网)。

（ 2 ） CC攻击

        相对而言，这种攻击比较有害。主机空间中有一个参数IIS连接数。当所访问的网站超过IIS连接数时，网站将出现不可用的服务。攻击者使用受控制的机器不断地向被攻击的网站发送访问请求，迫使IIS超过其连接限制数，当CPU或带宽资源耗尽时，网站将被攻击至关闭。对于高达100兆字节的攻击，防火墙是相当费力的，有时甚至会导致防火墙CPU资源耗尽而导致防火墙崩溃。高达100兆以上，在上层路由时操作员通常会阻止攻击的IP。CC攻击对动态网站造成的破坏最大，通常几台的电脑就可以搞垮一个网站。

（3）DDoS攻击

       这是一种DDoS攻击，而且这种攻击是最有害的。其原理是向目标服务器发送大量数据包，占用其带宽。对于流量攻击，简单地添加防火墙是无用的，必须有足够的带宽与防火墙配合进行防御。

二、 解决办法

（1） ARP欺骗

       1）ARP欺骗是通过重复应答实现的，那么只需要在本机添加一条静态的ARP映射，这样就不需要询问网关MAC地址了，这种方法只对主机欺骗有效。对于网关欺骗还需要在网关中也添加一条到主机的静态ARP映射。1.用管理身份运行命令提示符；输入netsh i i show in，查看一下本机有哪些网络连接；

      2）查看一下网关的MAC地址。注意如果正遭受ARP欺骗攻击，通过此方法查处的可能是虚假的MAC地址。输入arp -a命令查询本机的arp映射表，如果找不到网关的信息，可以先ping一下网关；

      3）输入：netsh -c “i i” add neighbors 连接的Idx号 网关IP 网关MAC 添加一条静态映射,我已经添加过了，所以会显示 对象已存在。

（2） CC攻击防御策略

      1）取消域名绑定

        一般来说，cc攻击的目标是网站的域名。例如，如果我们的网站域名是“mj007.cn”，攻击者会在攻击工具中将目标设置为域名，然后进行攻击。我们对这种攻击的反应是在IIS上解绑定域名，使CC攻击没有目标。具体步骤如下：打开“IIS管理器”来定位特定网站点击右键“属性”打开网站属性面板中，单击“高级”按钮右边的IP地址，选择域名条目进行编辑，删除“主机头值”或改变到另一个值(域名)。

        经过模拟测试，取消域名绑定后，Web服务器的CPU立即恢复正常状态，通过IP接入连接一切正常。然而，同样明显的是，取消域名或更改域名不会改变其他人的访问权限。此外，针对IP的CC攻击是无效的，即使更改域名攻击者发现后，他也会攻击新域名。

      2）域名欺骗解析

       如果发现针对域名的CC攻击，我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的，如果把被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者代理也会宕机，让其自作自受。

        另外，当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站，让其网警来收拾他们。现在一般的Web站点都是利用类似"新网"这样的服务商提供的动态域名解析服务，大家可以登录进去之后进行设置。

       3）更改Web端口

        一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就以默认的80端口进行攻击，所以，我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器，定位到相应站点，打开站点"属性"面板，在"网站标识"下有个TCP端口默认为80，我们修改为其他的端口就可以了。

        4）IIS屏蔽IP

        我们通过命令或在查看日志发现了CC攻击的源IP，就可以在IIS中设置屏蔽该IP对Web站点的访问，从而达到防范IIS攻击的目的。在相应站点的"属性"面板中，点击"目录安全性"选项卡，点击"IP地址和域名现在"下的"编辑"按钮打开设置对话框。在此窗口中我们可以设置"授权访问"也就是"白名单"，也可以设置"拒绝访问"即"黑名单"。比如我们可以将攻击者的IP添加到"拒绝访问"列表中，就屏蔽了该IP对于Web的访问。

        5）采用防护CDN

        前4种方法都是对网站访问有很大的伤害的，而采用CDN话是可以智能识别别并拦截CC攻击，有效减少了误杀率，让网站可以达到正常访问的效果，国内以阿里云WAF防火墙、蔓捷信息高防最为出名，其中蔓捷信息高防物伤力高，防御能力强，推荐使用。

（3） DDoS攻击防御方法

      1）选择带有DDoS硬件防火墙的机房

         目前大部分的硬防机房对100G以内的DDoS流量攻击都能做到有效防护。选择硬防主要是针对DDoS流量攻击这一块的，如果你的企业网站一直遭受流量攻击的困扰，那你可以考虑将你的网站服务器放到DDoS防御机房。但是有的企业网站流量攻击超出了硬防的防护范围了，那就得考虑下面第二种了。

       2）CDN流量清洗防御

        目前，大多数的CDN服务提供商是普通的CDN，不具有保护功能，购买CDN应注意检查，购买可以防止600 Gbps的 DDoS攻击，可以说应对当前绝大多数的DDoS攻击是没问题的。同时，CDN技术不仅对企业网站流量攻击具有保护功能，也可以加快企业的网站的速度（前提应该基于CDN节点的位置），解决某些地方的缓慢网站打开。

       3）负载均衡技术

         这种类型主要针对DDoS攻击中的CC攻击进行防护，它使web服务器或其他类型的服务器超载，这些服务器具有大量的网络流量，通常由页面或链接生成。当然，这种现象也可能发生在访问量很大的网站上，但我们必须将这些正常的现象与分布式拒绝服务攻击区分开来。将负载均衡方案添加到企业网站后，不仅可以保护网站不受CC攻击，还可以平衡用户对各个web服务器的访问，减轻单个web服务器的负担，加快网站访问速度。

恶意攻击分为被动攻击和主动攻击。网络攻击（CyberAttacks，也称赛博攻击）是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的，任何类型的进攻动作。对于计算机和计算机网络来说，破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据，都会被视为于计算机和计算机网络中的攻击。从宏观上看，这些威胁可分为人为威胁和自然威胁。自然威胁来自与各种自然灾害、恶劣的场地环境、电磁干扰、网络设备的自然老化等。这些威胁是无目的的，但会对网络通信系统造成损害，危及通信安全。而人为威胁是对网络信息系统的人为攻击，通过寻找系统的弱点，以非授权方式达到破坏、欺骗和窃取数据信息等目的。两者相比，精心设计的人为攻击威胁难防备、种类多、数量大。从对信息的破坏性上看，攻击类型可以分为被动攻击和主动攻击。

在生活中我们会遇到他人善意的对待，也会遇到有些恶意的攻击，而我们是不是经常在面对恶意攻击的当下无力应对，心里万马奔腾嘴里却说不出一句话来，回到家后还会满心的愤怒和对自己无能的自责，严重时还会产生抑郁的情绪，认为外界是不安全的，甚至回避人际交往。著名企业家潘石屹的父亲曾经和他说过一句话：做人，不要惹事，但是也不要怕事！这句话成了他一生的做人原则，深深的影响着他。那我们如果在生活中遇到一些不友善的攻击时怎么办？不妨试一试以下三种方式

1、 调整自己的认知，不过度自责。

当被攻击时我们先来分析一下，为何会产生这么大的情绪，首先，别人的攻击可能和我们做的事情对错关系不大，而他的这种攻击勾起了你不舒服的感觉，这可能和你小的时候被父母责骂有关，也许小时候不一定全是我们做错了，也可能是父母心情不好而把情绪发泄在孩子身上，只是那时候我们太小，对是非对错缺乏正确的判断，而被责骂时那种自责和羞耻感却深深的留在我们内心深处，一直影响着我们，所以当我们遇到外界的一些批评、指责或恶意攻击的时候，很容易激起我们的这种自责，认为是自己做错了，如果我们一味陷入这种不合理的认知时，就很容易产生糟糕的情绪，只有当我们理清楚别人的态度并非和我们做事的对错有关时，我们才能从这种不好的感觉中走出来，脱离情绪的困扰，而不是一度陷入愤怒和自责的自我攻击中伤害自己。

2、 分析恶意攻击背后的原因

有一对夫妻经常吵架，丈夫常常会自责、谩骂妻子，妻子很生气却无力反抗，后来这个妻子发现丈夫每次发脾气谩骂都是因为他的意见不被接纳或者某些事情的发展脱离了他的预期，在这个事件中失去掌控感的时候他就会特别容易激动，对于这个丈夫愤怒，我们看到背后是一种巨大的恐惧和无力感，愤怒和谩骂只是为了防御他内心的恐惧，当这个妻子看到丈夫指责背后的原因是，每次丈夫再对妻子恶意攻击时，妻子就把脱口而出的：你是混蛋转变成你是对的，这样经过妻子无数次的语言转换之后，夫妻俩之间很少再发生矛盾，夫妻关系也越来越好。

3、 试着用幽默的方式化解恶意攻击

演员黄渤是一个情商极高的人，有一次在金马奖的颁奖典礼上，因为黄渤穿了一件很像睡衣的礼服，因此遭到台下蔡康永的恶意挑衅：黄渤你怎么穿着睡衣就来了，是不是不尊重金马奖啊？你看刘德华他们都是穿着很正式礼服的。黄渤当时的反应相当机智：因为我觉得这个地方像我家啊，而我在家是主人可以穿睡衣，你们是客人所以都穿礼服呀。黄渤的这个回答赢得了在场所有人的掌声，包括蔡康永在内。那如果我们暂时还没有能力用幽默去回应那些攻击时，你可以选择以牙还牙的方式，让别人知道你不是好欺负的。前面我们已经说过，别人对你的攻击可能和你没有多大关系，他只是在防御自己内心害怕的一种方式，那当别人的攻击让你愤怒了，这愤怒的背后也可能是你自己无力面对恐惧的一种防御，所以当你在面对攻击时选择怼回去，你和他的方式又有什么区别呢？那我感觉当我们不知道如何应对时，不妨先选择离开，我们要知道，离开不代表我们软弱、无能，这只是我们保护自己的一种本能，我们保护自己没有错。

最后可能有人会说，那如果我们的回避换来的是一再的恶意攻击时怎么办？我想此时我们无需再忍，用事实说话，狠狠的还击，让对方知道你不是软柿子，可以让他随便捏，这让我想起，儿子四岁时的一天，在幼儿园里有一个水池，放学后孩子们都会在池子里嬉戏，当时儿子手里拿着一个洒水壶在玩，旁边一个小孩想要夺下儿子手里的玩具，儿子本能的把玩具藏在背后，那个小孩看拿不到，就挥手给我儿子一嘴巴，儿子所有的注意力都在自己的玩具上，像个没事人一样继续开心的玩着手里的水壶，我当时特别气愤但忍着没吭气，我知道如果这样的事我都去帮忙去干预的话，一方面会让孩子软弱、依赖，一方面也扼杀了孩子自己解决问题的能力，我按压下强大的愤怒，静静的看着那个孩子去儿子手里抢了三次，同时给儿子赏赐了三个耳光，在我快要吼不住的时候，我看到儿子被激怒了，他扔下手里的洒水壶，疯狂的左右开弓，给那个小孩打了十几个嘴巴，一下子把那个孩子打蒙了，伴随着那个孩子哇哇的哭声，我儿子很从容的又去捡起洒水壶玩了起来。

说了这么多，我想表达的是，无论我们选择哪种方式去应对都没有错，我们保护自己不受伤害，我们有权利捍卫自己的尊严。

最后我们再来回顾一下今天聊得三个方式

1、 调整自己的认知，不过度自责

2、 分析恶意攻击的原因，让自己走出情绪困扰，理性回应

3、 用幽默的方式化解恶意攻击

例外情况：一忍又忍时无需再忍，用事实说话，狠狠的反击，让对方再也不敢欺负你。

---