服務(wù)器遭受攻擊的常見方式和處理步驟

生活在互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)安全問題時(shí)刻威脅著企業(yè)，企業(yè)價(jià)值越高就越容易被黑客盯上，受到網(wǎng)絡(luò)攻擊的威脅就越大。而服務(wù)器作為存儲(chǔ)和支持企業(yè)數(shù)據(jù)的載體，在維護(hù)和攻擊防范中變得越來越重要。
網(wǎng)絡(luò)安全總是相對(duì)的，再安全的服務(wù)器也有可能遭受到攻擊。作為一個(gè)安全運(yùn)維人員，要把握的原則是：盡量做好系統(tǒng)安全防護(hù)，修復(fù)所有已知的危險(xiǎn)行為，同時(shí)，在系統(tǒng)遭受攻擊后能夠迅速有效地處理攻擊行為，最大限度地降低攻擊對(duì)系統(tǒng)產(chǎn)生的影響。
一、服務(wù)器被攻擊的常見方式   
1、DDoS攻擊
DDoS是目前最常見的網(wǎng)絡(luò)攻擊方式，全稱為分布式拒絕服務(wù)攻擊，DDoS攻擊包括SYN Flood、DrDoS、HTTP Flood等多種變種攻擊，主要是利用TCP協(xié)議的漏洞來發(fā)起攻擊的，所以沒有辦法完全避免。DDoS的攻擊原理也比較簡(jiǎn)單，攻擊者通過大量僵尸網(wǎng)絡(luò)肉雞偽造成各種虛假IP地址，向目標(biāo)發(fā)出大量連接請(qǐng)求，傳輸大量錯(cuò)誤或特殊結(jié)構(gòu)的數(shù)據(jù)包，服務(wù)器將會(huì)消耗非常多的資源（CPU和內(nèi)存）來處理這種無效連接，最后導(dǎo)致資源耗盡，服務(wù)器崩潰，正常訪客無法訪問。
2、CC攻擊
CC攻擊，前身名為Fatboy攻擊，攻擊者主要通過代理服務(wù)器或者肉雞向被攻擊網(wǎng)站發(fā)送訪問請(qǐng)求，迫使Web服務(wù)器超出限制范圍，造成對(duì)方服務(wù)器資源耗盡，到最后導(dǎo)致防火墻死機(jī)，一直到宕機(jī)崩潰。
3、ARP攻擊
ARP攻擊通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，且可讓網(wǎng)絡(luò)上特定計(jì)算機(jī)或所有計(jì)算機(jī)無法正常連接。攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包，就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP協(xié)議又稱“地址解析協(xié)議”，簡(jiǎn)略來說，即可經(jīng)過IP地址來查詢方針主機(jī)的MAC地址，一旦這個(gè)環(huán)節(jié)犯錯(cuò)，就不能正常和方針主機(jī)進(jìn)行通訊，致使全部網(wǎng)絡(luò)癱瘓。
4、木馬攻擊
不法黑客通過網(wǎng)絡(luò)開發(fā)的端口、破解用戶密碼、程序漏洞等，把木馬程序、惡意腳本插入正常的軟件、郵件等宿主中運(yùn)行。在受害者執(zhí)行這些軟件的時(shí)候，木馬就可以悄悄地進(jìn)入系統(tǒng)，向黑客開放進(jìn)入計(jì)算機(jī)的途徑，取得服務(wù)器控制權(quán)，讓被攻擊服務(wù)器做挖礦機(jī)，從而導(dǎo)致服務(wù)器資源消耗殆盡。
二、服務(wù)器遭受攻擊后的一般處理步驟
系統(tǒng)遭受攻擊并不可怕，可怕的是面對(duì)攻擊束手無策，下面就詳細(xì)介紹下在服務(wù)器遭受攻擊后的一般處理思路。
1.切斷網(wǎng)絡(luò)
所有的攻擊都來自于網(wǎng)絡(luò)，因此，在得知系統(tǒng)正遭受黑客的攻擊后，首先要做的就是斷開服務(wù)器的網(wǎng)絡(luò)連接，這樣除了能切斷攻擊源之外，也能保護(hù)服務(wù)器所在網(wǎng)絡(luò)的其他主機(jī)。
2.查找攻擊源
可以通過分析系統(tǒng)日志或登錄日志文件，查看可疑信息，同時(shí)也要查看系統(tǒng)都打開了哪些端口，運(yùn)行哪些進(jìn)程，并通過這些進(jìn)程分析哪些是可疑的程序。這個(gè)過程要根據(jù)經(jīng)驗(yàn)和綜合判斷能力進(jìn)行追查和分析。下面的章節(jié)會(huì)詳細(xì)介紹這個(gè)過程的處理思路。
3.分析入侵原因和途徑
既然系統(tǒng)遭到入侵，那么原因是多方面的，可能是系統(tǒng)漏洞，也可能是程序漏洞，一定要查清楚是哪個(gè)原因?qū)е碌模⑶疫€要查清楚遭到攻擊的途徑，找到攻擊源，因?yàn)橹挥兄懒嗽馐芄舻脑蚝屯緩?，才能刪除攻擊源同時(shí)進(jìn)行漏洞的修復(fù)。
4.備份用戶數(shù)據(jù)
在服務(wù)器遭受攻擊后，需要立刻備份服務(wù)器上的用戶數(shù)據(jù)，同時(shí)也要查看這些數(shù)據(jù)中是否隱藏著攻擊源。如果攻擊源在用戶數(shù)據(jù)中，一定要徹底刪除，然后將用戶數(shù)據(jù)備份到一個(gè)安全的地方。
5.重新安裝系統(tǒng)
永遠(yuǎn)不要認(rèn)為自己能徹底清除攻擊源，因?yàn)闆]有人能比黑客更了解攻擊程序，在服務(wù)器遭到攻擊后，最安全也最簡(jiǎn)單的方法就是重新安裝系統(tǒng)，因?yàn)榇蟛糠止舫绦蚨紩?huì)依附在系統(tǒng)文件或者內(nèi)核中，所以重新安裝系統(tǒng)才能徹底清除攻擊源。
6.修復(fù)程序或系統(tǒng)漏洞
在發(fā)現(xiàn)系統(tǒng)漏洞或者應(yīng)用程序漏洞后，首先要做的就是修復(fù)系統(tǒng)漏洞或者更改程序bug，因?yàn)橹挥袑⒊绦虻穆┒葱迯?fù)完畢才能正式在服務(wù)器上運(yùn)行。
7.恢復(fù)數(shù)據(jù)和連接網(wǎng)絡(luò)
將備份的數(shù)據(jù)重新復(fù)制到新安裝的服務(wù)器上，然后開啟服務(wù)，最后將服務(wù)器開啟網(wǎng)絡(luò)連接，對(duì)外提供服務(wù)。
以上就是服務(wù)器被攻擊后的解決方法，希望可以幫助到你。服務(wù)器租用，認(rèn)準(zhǔn)新網(wǎng)，真實(shí)高防，24小時(shí)售后為您保駕護(hù)航！http://www.xinnet.com/cs/cs.html