当网络遭受攻击如何快速找到真凶
本帖最后由 辛勤劳动的蜜蜂 于 2014-12-03 15:21 编辑在多年的IDC机房维护过程中,服务器不定期的遭受各种人士的来访。来访的方式一般有两种:
1、DDOS攻击
2、利用系统漏洞植入后台程序
对于第一种情况,危害比较大,直接把入口堵死。但对服务器本身的伤害比较小。但第二种就很严重了,如果他入侵了web服务器,就可以直接访问后台数据库。一定要谨慎。
如果当遭受攻击,而你的整个防护设备中又没有入侵检测和流量分析设备。如何找出肇事者呢?这个时候使用开源的工具也可以。
方法如下:
在连接到防火墙内网口的核心交换机端口上启用SPAN(端口镜像),在目的端口上使用wireshark进行数据分析。很多人只知道wireshark可以抓包,可以看到数据包里面的内容。其实它还有一个很重要的功能就是以会话的方式统计数据流量。并进行排名。
至于交换机上的SPAN配置我这里就说明了。大家可以查找网上资料。下面是在wireshark上如何查看:
当然你先得开始数据包捕获功能。打开“conversation”后,可以看到如下,点击IPV4,最上面的按钮是排序用的。可以看出,当前哪些人正在访问你。source和destination都有了
如果source的数据量过大,基本就可以断定是肇事者。可以使用很多方法进行过滤了。
二、解决方案概述
1、安全部署
服务器安全: 订单数据库的防篡改,防攻击,防下载。网站订单数据库的实时同步解决方案,底层系统的安全加固,网站服务器系统的漏洞修补,包括了服务器软件的漏洞,以及服务器端网站环境漏洞的修复,rootkit DLL文件的加密以及防篡改,系统文件的防篡改,网站文件的防篡改,注册表和日志的监视和报警,对于服务器远程端口实行军规化的安全认证,多层次的设备进行登录IP限制认证。
网站的安全: 保障用户访问的网站是一个真实,安全的网站,防止非法用户提交恶意信息,订单系统的防篡改,支付链接的防篡改和安全加密,以及用户信息密码防恶意修改。订单后台管理非法登录以及恶意修改,进行二次安全验证,支付页面进行SSL加密,双重的加密保护措施。网站的管理后台进行军规化的安全验证,包括了指定IP,设备以及二次验证,手机短信码验证。 对网站程序代码进行安全审计,对于上传漏洞,XSS跨站漏洞、SQL注入等等进行安全的代码审计并网站漏洞修复,网站防CC攻击策略,对网站程序代码加密。
2、备份部署
竞价网站一旦网站打不开,数据遭受pohuai,对运营者来说是个极大损失。因此一个安全稳定和能够快速更换的网站环境,决定了一个竞价产品网站的长期发展。多备份提供的网站备份解决方案可以快速恢复还原和迁移数据,在最短时间内让网站在不损失数据的前提下复原。
1)网站自动备份:不担心攻击和人工失误造成网站的数据丢失。
2)网站恢复功能:网站数据一旦丢失和操作失误删掉数据可立即启用恢复功能,保障数据完整性。
3)网站迁移功能:经过授权,多备份系统可以自动迁移业务系统数据到你指定的任何IDC服务器或云主机,云存储系统等。
总的来说:即使网站受到攻击或操作失误导致网站打不开或数据丢失,也可以使用多备份快速把网站还原或迁移到新主机上,有利于运营者更加专注于竞价本身。
不错,希望看到更多内容。:wink:
页:
[1]