udp攻击怎么防御,有什么办法解决吗?

udp攻击怎么防御，有什么办法解决吗？

大规模DDos流量清洗

关于服务器被人攻击的处理，当然先要分两种情况，如果是大规模DDos抢注攻击的话，一般对付办法不多，根本办法是通过运营商做流量清洗，分布式部署系统分流。用一些基于公有云的防护手段（费钱，效果一般般），一些安全公司昂贵的设备（作用也不大，有钱就可以多买）。

一般性防护手段，通过硬防或者软防火墙比如iptables，主要要限制服务器端口访问，除了必须的80，443以外其他端口一律不对外开放。

关于对外开放端口限制和检测的访问，我的原创文章都提过几篇介绍过：

「安全扫描」看好你的大门，企业安全端口扫描实践

基本上就是在外面扫描你服务器ip，看都开了那些端口，对不该开放端口开放的话就封禁掉。主要对外开放的危险端口有 所有udp端口（比如最近大规模针对github的攻击，就用对外开放的memcache udp 11211 udp端口进行的反射式攻击），tcp重点关注端口： 21（ftp），22（ssh） 23（telnet），2181（zookeeper），3306（mysql），6379（redis），8161和61616（mq），11211（memcache），27017/27018（mongodb），9200（elasticsearch）还有其他的根据企业部署情况来增加。

在服务上查看开放的监听端口情况使用命令：

netstat -ntualp

Local地址 类似于 0.0.0.0:3306和 :::22的监听的服务器就要重点关注，一般除了web都不应该对外开放。

对web服务：

1、注意升级所用程序的版本，有漏洞的要及时升级（比如dedecms，struts2的漏洞等），部署的时候注意权限设置，不给多余的权限。

2、部署必要的waf系统，安利下笔者有个开源免费的waf，有需要的可以联系我。

3、部署时候精良先通过CDN或者自己用nginx返乡代理来对用户，不直接把php 应用、tomcat应用服务器对外，这样即可以提高访问效率，增加访问并发，还可以低于短期大流量访问的冲击。

常见异常情况：异常的流量、异常tcp链接（来源端口，往外发的端口）、异常的访问日志（大量的ip频繁的访问个别文件）。

如果部署了监控系统的话（强烈建议部署zabbix，并增加对系统添加专门安全items），可以方便通过zabbix监控图和趋势对比了解这些信息：

利用last，lastb发现异常的用户登录情况，ip来源。

利用lastlog，/var/log/message，/var/log/secure,日志等，是否权限已经被攻陷。

用history 发现shell执行情况信息。

用top，ps，pstree等发现异常进程和服务器负载等情况。

用netstat -natlp发现异常进程情况。用w命令发现当前系统登录用户的情况。

如果发现异常用户，立即修改用户密码，pkill -kill -t tty 剔除异常用户。然后进行进一步处理。

发现异常进程，立即禁止，冻结禁止。

发现一个恶意进程后通过 ls -al /proc/Pid (Pid为具体的进程号)，发现进程的启动路径，启动的文件所在目录等信息。

如果发现异常连接数，通过iptables封禁相关端口或者ip

iptables -I INPUT -s ip -j DROP

iptables -I OUTPUT -p tcp --dport 25 -j DROP

iptables -I INPUT -p tcp --dport 25 -j DROP

对清理移动木马，杀掉进程

首先清理掉木马创建的cron 计划项和启动项。

ls -al /etc/proc/Pid/ 找的恶意木马文件。

恶意进程的执行目录和文件

最后用一条命令 kill -9 所有的进程ID && rm -rf 所有涉及的文件和目录。

更多信息可以关注笔者的文章或者咨询笔者：

「系统安全」当网站发生异常，出现安全事故，如何进行排查处置？

「WEB安全」单行命令查杀Webshell（php为例）

icmp连接数限制几个好呢？

启用 TCP 单机总连接数限制 最大允许的 TCP 单机总连接数 (范围 10-10000): (推荐 200-250)

启用 UDP 单机总连接数限制 最大允许的 UDP 单机总连接数 (范围 10-10000): (推荐 200-300) 启用 ICMP-Flood 攻击防御 (范围 10-10000): 每个IP每秒最大允许的 ICMP 包个数: pps (推荐 50-150)

如何借助路由器来防范网络中的恶意攻击？

1、源IP地址过滤

在ISP所有网络接入或汇聚节点对源IP地址过滤，可以有效减少或杜绝源IP地址欺骗行为，使SMURF、TCP-SYN flood等多种方式的DDoS攻击无法实施。

2、流量限制

在网络节点对某些类型的流量，如ICMP、UDP、TCP-SYN流量进行控制，将其大小限制在合理的水平，可以减轻拒绝DDoS攻击对承载网及目标网络带来的影响。

3、ACL过滤

在不影响业务的情况下，对蠕虫攻击端口和DDoS工具的控制端口的流量进行过滤。

4、TCP拦截

针对TCP-SYN flood攻击，用户侧可以考虑启用网关设备的TCP拦截功能进行抵御。由于开启TCP拦截功能可能对路由器性能有一定影响，因此在使用该功能时应综合考虑。

网页游戏高防服务器用来完成什么工作？

目前，游戏行业是互联网上最火的行业之一，有着众多的游戏玩家。这也就催生各类游戏服务商的兴起。为了抢夺游戏玩家，同行之间的恶意竞争是常态。因此，游戏服务器会经常遭受各类的网络攻击。轻者导致玩家游戏变卡，无法正常游戏；重者导致游戏服务器瘫痪，用户信息的丢失。这对于游戏服务商的危害是巨大的。

高防服务器能够对SYN、UDP、ICMP、HTTP GET等各类DDoS攻击进行防护，并且能针对部分特殊安全要求的web用户提供CC攻击动态防御，大大提升了游戏服务器的安全性和和服务稳定性。

至于页游服务器本身的作用，基本就是处理来自网页客户端的请求数据进行逻辑处理或者落地存储或者推送信息到客户端等等。

COMR9怎么样？

IP-COM R9的前面板布局非常简洁，从左到右依次是指示灯区，4个10/100/1000M局域网接口(其中3个接口支持LAN/WAN切换)，4个10/100/1000M广域网接口(其中3个接口支持LAN/WAN切换)，RESET复位键，电源接口在机身背面，整机采用全钢壳设计，坚固且有利于散热，标准1U机身。 R9可以防御常见的各种攻击，包括ICMP、UDP、SYN洪水攻击，大于1024字节的ICMP包，没有flag的TCP包等，电脑会发送异常的数据包基本是由于中毒所致，R9虽然无法清除电脑中的病毒，但它可以切断有问题主机的网络(一旦被锁定需要手工解锁)。

R9既可作为PPTP VPN服务器端又可做为远程拨入端，前者可以满足出差用户拨入内网访问内网资源的需求(最高8用户)，后者可以让分公司通过PPTP方式拨入总公司建立VPN链路。