如何正确的防范恶意攻击

一、一般网络恶意攻击分为3类

分别为ARP欺骗攻击、CC攻击、DDoS流量攻击。

（ 1 ） ARP欺骗攻击

         地址解析协议（ARP）是TCP/IP栈中的一个网络层，它将一个IP地址解析为MAC地址。ARP协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址，保证通信的进行。ARP攻击只能在以太网(LAN，如:机房、内部网、企业网络等)中进行，无法攻击外部网络(Internet、非本地局域网)。

（ 2 ） CC攻击

        相对而言，这种攻击比较有害。主机空间中有一个参数IIS连接数。当所访问的网站超过IIS连接数时，网站将出现不可用的服务。攻击者使用受控制的机器不断地向被攻击的网站发送访问请求，迫使IIS超过其连接限制数，当CPU或带宽资源耗尽时，网站将被攻击至关闭。对于高达100兆字节的攻击，防火墙是相当费力的，有时甚至会导致防火墙CPU资源耗尽而导致防火墙崩溃。高达100兆以上，在上层路由时操作员通常会阻止攻击的IP。CC攻击对动态网站造成的破坏最大，通常几台的电脑就可以搞垮一个网站。

（3）DDoS攻击

       这是一种DDoS攻击，而且这种攻击是最有害的。其原理是向目标服务器发送大量数据包，占用其带宽。对于流量攻击，简单地添加防火墙是无用的，必须有足够的带宽与防火墙配合进行防御。

二、 解决办法

（1） ARP欺骗

       1）ARP欺骗是通过重复应答实现的，那么只需要在本机添加一条静态的ARP映射，这样就不需要询问网关MAC地址了，这种方法只对主机欺骗有效。对于网关欺骗还需要在网关中也添加一条到主机的静态ARP映射。1.用管理身份运行命令提示符；输入netsh i i show in，查看一下本机有哪些网络连接；

      2）查看一下网关的MAC地址。注意如果正遭受ARP欺骗攻击，通过此方法查处的可能是虚假的MAC地址。输入arp -a命令查询本机的arp映射表，如果找不到网关的信息，可以先ping一下网关；

      3）输入：netsh -c “i i” add neighbors 连接的Idx号 网关IP 网关MAC 添加一条静态映射,我已经添加过了，所以会显示 对象已存在。

（2） CC攻击防御策略

      1）取消域名绑定

        一般来说，cc攻击的目标是网站的域名。例如，如果我们的网站域名是“mj007.cn”，攻击者会在攻击工具中将目标设置为域名，然后进行攻击。我们对这种攻击的反应是在IIS上解绑定域名，使CC攻击没有目标。具体步骤如下：打开“IIS管理器”来定位特定网站点击右键“属性”打开网站属性面板中，单击“高级”按钮右边的IP地址，选择域名条目进行编辑，删除“主机头值”或改变到另一个值(域名)。

        经过模拟测试，取消域名绑定后，Web服务器的CPU立即恢复正常状态，通过IP接入连接一切正常。然而，同样明显的是，取消域名或更改域名不会改变其他人的访问权限。此外，针对IP的CC攻击是无效的，即使更改域名攻击者发现后，他也会攻击新域名。

      2）域名欺骗解析

       如果发现针对域名的CC攻击，我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的，如果把被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者代理也会宕机，让其自作自受。

        另外，当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站，让其网警来收拾他们。现在一般的Web站点都是利用类似"新网"这样的服务商提供的动态域名解析服务，大家可以登录进去之后进行设置。

       3）更改Web端口

        一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就以默认的80端口进行攻击，所以，我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器，定位到相应站点，打开站点"属性"面板，在"网站标识"下有个TCP端口默认为80，我们修改为其他的端口就可以了。

        4）IIS屏蔽IP

        我们通过命令或在查看日志发现了CC攻击的源IP，就可以在IIS中设置屏蔽该IP对Web站点的访问，从而达到防范IIS攻击的目的。在相应站点的"属性"面板中，点击"目录安全性"选项卡，点击"IP地址和域名现在"下的"编辑"按钮打开设置对话框。在此窗口中我们可以设置"授权访问"也就是"白名单"，也可以设置"拒绝访问"即"黑名单"。比如我们可以将攻击者的IP添加到"拒绝访问"列表中，就屏蔽了该IP对于Web的访问。

        5）采用防护CDN

        前4种方法都是对网站访问有很大的伤害的，而采用CDN话是可以智能识别别并拦截CC攻击，有效减少了误杀率，让网站可以达到正常访问的效果，国内以阿里云WAF防火墙、蔓捷信息高防最为出名，其中蔓捷信息高防物伤力高，防御能力强，推荐使用。

（3） DDoS攻击防御方法

      1）选择带有DDoS硬件防火墙的机房

         目前大部分的硬防机房对100G以内的DDoS流量攻击都能做到有效防护。选择硬防主要是针对DDoS流量攻击这一块的，如果你的企业网站一直遭受流量攻击的困扰，那你可以考虑将你的网站服务器放到DDoS防御机房。但是有的企业网站流量攻击超出了硬防的防护范围了，那就得考虑下面第二种了。

       2）CDN流量清洗防御

        目前，大多数的CDN服务提供商是普通的CDN，不具有保护功能，购买CDN应注意检查，购买可以防止600 Gbps的 DDoS攻击，可以说应对当前绝大多数的DDoS攻击是没问题的。同时，CDN技术不仅对企业网站流量攻击具有保护功能，也可以加快企业的网站的速度（前提应该基于CDN节点的位置），解决某些地方的缓慢网站打开。

       3）负载均衡技术

         这种类型主要针对DDoS攻击中的CC攻击进行防护，它使web服务器或其他类型的服务器超载，这些服务器具有大量的网络流量，通常由页面或链接生成。当然，这种现象也可能发生在访问量很大的网站上，但我们必须将这些正常的现象与分布式拒绝服务攻击区分开来。将负载均衡方案添加到企业网站后，不仅可以保护网站不受CC攻击，还可以平衡用户对各个web服务器的访问，减轻单个web服务器的负担，加快网站访问速度。

一、网络设备和设施

网络架构、设施设备是整个系统顺利运行的硬件基础。用足够的机器和容量来承受攻击，充分利用网络设备来保护网络资源，是比较理想的应对策略。攻守归根到底也是双方资源的争夺。随着它不断的访问用户，抢占用户资源，自身的精力也在逐渐消耗。相应的，投入也不小，但是网络设施是一切防御的基础，需要根据自身情况进行平衡选择。

1.扩展带宽硬电阻

网络带宽直接决定了抵御攻击的能力。国内大部分网站的带宽在10M到100M之间，知名企业的带宽可以超过1G。超过100G的网站基本都是专门做带宽服务和防攻击服务的，屈指可数。但是DDoS不一样。攻击者通过控制一些服务器、个人电脑等成为肉鸡。如果他们控制1000台机器，每台机器的带宽为10M，那么攻击者将拥有10G流量。当他们同时攻击一个网站时，带宽瞬间被占用。增加带宽硬保护是理论上的最优方案。只要带宽大于攻击流量，就不怕，但是成本也是无法承受的。国内非一线城市的机房带宽价格在100元/M*月左右，买10G带宽的话要100万。所以很多人调侃说，拼带宽就是拼人民币，没几个人愿意出高价买大带宽做防御。

2.使用硬件防火墙

很多人会考虑使用硬件防火墙。针对DDoS攻击和黑客攻击而设计的专业防火墙，通过对异常流量的清理和过滤，可以抵御SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等流量DDoS攻击。如果网站被流量攻击困扰，可以考虑把网站放在DDoS硬件防火墙室。但如果网站流量攻击超出了硬防御的保护范围(比如200G硬防御，但攻击流量是300G)，洪水即使穿过高墙也无法抵御。值得注意的是，有些硬件防火墙主要是在包过滤防火墙的基础上修改的，只在网络层检查数据包。如果DDoS攻击上升到应用层，防御能力就会很弱。

3.选择高性能设备

除了防火墙之外，服务器、路由器、交换机等网络设备的性能。也需要跟上。如果设备的性能成为瓶颈，即使带宽足够，也无能为力。在保证网络带宽的前提下，尽可能升级硬件配置。

第二，有效的反D思想和方案

贴身防守往往是“不计后果”的。通过架构布局、资源整合等方式提高网络的负载能力，分担本地过载流量，通过接入第三方服务等方式识别和拦截恶意流量，才是更“理性”的做法。，而且对抗效果不错。

4.负载平衡

普通级别的服务器处理数据的能力最多只能回答每秒几十万的链接请求，因此网络处理能力非常有限。负载平衡基于现有的网络结构。它提供了一种廉价、有效和透明的方法来扩展网络设备和服务器的带宽，增加吞吐量，增强网络数据处理能力，提高网络的灵活性和可用性。对于DDoS流量攻击和CC攻击是有效的。CC攻击由于大量的网络流量而使服务器过载，这些流量通常是为一个页面或一个链接生成的。企业网站加入负载均衡方案后，链接请求被平均分配到各个服务器，减轻了单个服务器的负担。整个服务器系统每秒可以处理几千万甚至更多的服务请求，用户的访问速度会加快。

5.CDN流量清洗

CDN是构建在网络上的内容分发网络，依托部署在各地的边缘服务器，通过中心平台的分发和调度功能模块，让用户就近获取所需内容，减少网络拥塞，提高用户访问响应速度和命中率。所以CDN加速也采用了负载均衡技术。与高防御的硬件防火墙相比，无法承载无限的流量限制。CDN更加理性，很多节点分担渗透流量。目前大部分CDN节点都有200G流量保护功能，加上硬防御的保护，可以说可以应对大部分DDoS攻击。这里推荐一款高性能比的CDN产品:百度云加速，非常适合中小站长的保护。

手机:魅族PRO 7；手机版本号:7 . 3 . 0；B612卡基软件。

1.打开手机桌面，找到“应用市场”图标，如下图所示。

2.在搜索栏输入“b612 Kaji”一词，点击前面的放大镜进行搜索。软件出现后，点击下载安装，如下图所示。

3.安装完成后，手机界面会出现b612卡基软件，如下图所示。

4.打开b612卡基软件，切换到“表情包”选项，如下图。

5.点击中间的红色按钮开始拍摄和录制，如下图所示。

6.拍摄完成后，点击底部的“保存”按钮进行保存，如下图。

7.会弹出两个选项。选择“低分辨率(微信表情包)”，如下图所示。

8.出现绿色提示框，表示本地保存成功，如下图所示。

9.打开手机屏幕界面，找到“图库”选项，如下图所示。

10.在打开的相册中，刚刚保存的表情包已经保存，如下图。

https://iknow-pic . cdn . BCE Bos . com/b 8389 b 504 fc2d 5627 fc 8998 cf 71190 ef 77 c 66 c 8 b？x-BCE-process = image % 2f resize % 2Cm _ lfit % 2Cw _ 600% 2Ch _ 800% 2c limit _ 1% 2f quality % 2Cq _ 85% 2f format % 2Cf _ auto

---