网站防止恶意访问_网页服务器如何防恶意攻击

怎么防止服务器被攻击

一：定期扫描检查

定期扫描 *** 主节点，及时查看扫描发现的安全漏洞，对漏洞进行彻底清理。定期维护也是必不可少的，这是对服务器的更好保护，所以定期扫描维护是必要的工作。

二：主动设置防火墙

防火墙说白了就是一个护盾，可以抵御攻击。在发现被攻击时会把攻击导向一些牺牲主机，最后保护了真正的主机不会受到攻击。

三：关闭端口

关闭所以不必要端口，对于登陆密码也可以进行修改，密码设置复杂一点。防止服务器密码泄露造成损失。ip地址限制，不是自己预先设置的IP不能进行登陆。这样可以说是锁上加锁更安全一些。

四：及时修复

发现漏洞必须及时清理，防止攻击者利用漏洞来进行攻击。卸载掉不合规的软件，这些软件有可能携带病毒，让攻击者可以更好得手。可能会被盗取有用数据。

如何防范服务器被攻击？

一，首先服务器一定要把administrator禁用，设置一个陷阱账号:"Administrator"把它权限降至更低,然后给一套非常复杂的密码，重新建立

一个新账号，设置上新密码，权限为administraor

然后删除最不安全的组件：

建立一个BAT文件,写入

regsvr32/u C:\WINDOWS\System32\wshom.ocx

del C:\WINDOWS\System32\wshom.ocx

regsvr32\u C:\WINDOWS\system32\shell32.dll

del C:\WINDOWS\system32\shell32.dll

二，IIS的安全：

1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。

3、删除系统盘下的虚拟目录，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除不必要的IIS扩展名映射。

右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm

5、更改IIS日志的路径

右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

八、其它

1、 系统升级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁;

2、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装!

3、隐藏重要文件/目录

可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi

-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

4、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

5、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery 值为0

NoNameReleaseOnDemand 值为1

EnableDeadGWDetect 值为0

KeepAliveTime 值为300,000

PerformRouterDiscovery 值为0

EnableICMPRedirects 值为0

6. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

7. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

8. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

9、禁用DCOM:

运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。

对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。

清除“在这台计算机上启用分布式 COM”复选框。

10.禁用服务里的

Workstation 这服务开启的话可以利用这个服务，可以获取服务器所有帐号.

11阻止IUSR用户提升权限

三，这一步是比较关键的（禁用CMD运行）

运行-gpedit.msc-管理模板-系统

-阻止访问命令提示符

-设置

-已启用(E)

-也停用命令提示符脚本处理吗?

(是)

四，防止SQL注入

打开SQL Server，在master库用查询分析器执行以下语句:

exec sp_dropextendedproc 'xp_cmdshell

使用了以上几个 *** 后，能有效保障你的服务器不会随便被人黑或清玩家数据，当然我技术有限，有的高手还有更多 *** 入侵你的服务器，这

需要大家加倍努力去学习防黑技术，也希望高手们对我的评论给予指点，修正出更好的解决方案，对玩家的数据做出更有力的保障~~~

如何正确的防范恶意攻击

一、一般 *** 恶意攻击分为3类

分别为ARP欺骗攻击、CC攻击、DDoS流量攻击。

（ 1 ） ARP欺骗攻击

         地址解析协议（ARP）是TCP/IP栈中的一个 *** 层，它将一个IP地址解析为MAC地址。ARP协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址，保证通信的进行。ARP攻击只能在以太网(LAN，如:机房、内部网、企业 *** 等)中进行，无法攻击外部 *** (Internet、非本地局域网)。

（ 2 ） CC攻击

        相对而言，这种攻击比较有害。主机空间中有一个参数IIS连接数。当所访问的网站超过IIS连接数时，网站将出现不可用的服务。攻击者使用受控制的机器不断地向被攻击的网站发送访问请求，迫使IIS超过其连接限制数，当CPU或带宽资源耗尽时，网站将被攻击至关闭。对于高达100兆字节的攻击，防火墙是相当费力的，有时甚至会导致防火墙CPU资源耗尽而导致防火墙崩溃。高达100兆以上，在上层路由时操作员通常会阻止攻击的IP。CC攻击对动态网站造成的破坏更大，通常几台的电脑就可以搞垮一个网站。

（3）DDoS攻击

       这是一种DDoS攻击，而且这种攻击是最有害的。其原理是向目标服务器发送大量数据包，占用其带宽。对于流量攻击，简单地添加防火墙是无用的，必须有足够的带宽与防火墙配合进行防御。

二、 解决办法

（1） ARP欺骗

       1）ARP欺骗是通过重复应答实现的，那么只需要在本机添加一条静态的ARP映射，这样就不需要询问网关MAC地址了，这种 *** 只对主机欺骗有效。对于网关欺骗还需要在网关中也添加一条到主机的静态ARP映射。1.用管理身份运行命令提示符；输入netsh i i show in，查看一下本机有哪些 *** 连接；

      2）查看一下网关的MAC地址。注意如果正遭受ARP欺骗攻击，通过此 *** 查处的可能是虚假的MAC地址。输入arp -a命令查询本机的arp映射表，如果找不到网关的信息，可以先ping一下网关；

      3）输入：netsh -c “i i” add neighbors 连接的Idx号 网关IP 网关MAC 添加一条静态映射,我已经添加过了，所以会显示 对象已存在。

（2） CC攻击防御策略

      1）取消域名绑定

        一般来说，cc攻击的目标是网站的域名。例如，如果我们的网站域名是“mj007.cn”，攻击者会在攻击工具中将目标设置为域名，然后进行攻击。我们对这种攻击的反应是在IIS上解绑定域名，使CC攻击没有目标。具体步骤如下：打开“IIS管理器”来定位特定网站点击右键“属性”打开网站属性面板中，单击“高级”按钮右边的IP地址，选择域名条目进行编辑，删除“主机头值”或改变到另一个值(域名)。

        经过模拟测试，取消域名绑定后，Web服务器的CPU立即恢复正常状态，通过IP接入连接一切正常。然而，同样明显的是，取消域名或更改域名不会改变其他人的访问权限。此外，针对IP的CC攻击是无效的，即使更改域名攻击者发现后，他也会攻击新域名。

      2）域名欺骗解析

       如果发现针对域名的CC攻击，我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行 *** 测试的，如果把被攻击的域名解析到这个IP上，就可以实现攻击者自己攻击自己的目的，这样他再多的肉鸡或者 *** 也会宕机，让其自作自受。

        另外，当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的 *** 网站或者是网警的网站，让其网警来收拾他们。现在一般的Web站点都是利用类似"新网"这样的服务商提供的动态域名解析服务，大家可以登录进去之后进行设置。

       3）更改Web端口

        一般情况下Web服务器通过80端口对外提供服务，因此攻击者实施攻击就以默认的80端口进行攻击，所以，我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器，定位到相应站点，打开站点"属性"面板，在"网站标识"下有个TCP端口默认为80，我们修改为其他的端口就可以了。

        4）IIS屏蔽IP

        我们通过命令或在查看日志发现了CC攻击的源IP，就可以在IIS中设置屏蔽该IP对Web站点的访问，从而达到防范IIS攻击的目的。在相应站点的"属性"面板中，点击"目录安全性"选项卡，点击"IP地址和域名现在"下的"编辑"按钮打开设置对话框。在此窗口中我们可以设置"授权访问"也就是"白名单"，也可以设置"拒绝访问"即"黑名单"。比如我们可以将攻击者的IP添加到"拒绝访问"列表中，就屏蔽了该IP对于Web的访问。

        5）采用防护CDN

        前4种 *** 都是对网站访问有很大的伤害的，而采用CDN话是可以智能识别别并拦截CC攻击，有效减少了误杀率，让网站可以达到正常访问的效果，国内以阿里云WAF防火墙、蔓捷信息高防最为出名，其中蔓捷信息高防物伤力高，防御能力强，推荐使用。

（3） DDoS攻击防御 ***

      1）选择带有DDoS硬件防火墙的机房

         目前大部分的硬防机房对100G以内的DDoS流量攻击都能做到有效防护。选择硬防主要是针对DDoS流量攻击这一块的，如果你的企业网站一直遭受流量攻击的困扰，那你可以考虑将你的网站服务器放到DDoS防御机房。但是有的企业网站流量攻击超出了硬防的防护范围了，那就得考虑下面第二种了。

       2）CDN流量清洗防御

        目前，大多数的CDN服务提供商是普通的CDN，不具有保护功能，购买CDN应注意检查，购买可以防止600 Gbps的 DDoS攻击，可以说应对当前绝大多数的DDoS攻击是没问题的。同时，CDN技术不仅对企业网站流量攻击具有保护功能，也可以加快企业的网站的速度（前提应该基于CDN节点的位置），解决某些地方的缓慢网站打开。

       3）负载均衡技术

         这种类型主要针对DDoS攻击中的CC攻击进行防护，它使web服务器或其他类型的服务器超载，这些服务器具有大量的 *** 流量，通常由页面或链接生成。当然，这种现象也可能发生在访问量很大的网站上，但我们必须将这些正常的现象与分布式拒绝服务攻击区分开来。将负载均衡方案添加到企业网站后，不仅可以保护网站不受CC攻击，还可以平衡用户对各个web服务器的访问，减轻单个web服务器的负担，加快网站访问速度。