高防服務(wù)器是指一些外來攻擊如CC，DDoS，SYN等攻擊，可以有效地進行鑒別和清洗的服務(wù)器。那么高防服務(wù)器能防御的攻擊類型及措施有哪些呢？
 

一、高防服務(wù)器能防御的攻擊類型

1、洪水攻擊

洪水攻擊是現(xiàn)在黑客比較常用的一種攻擊技術(shù)，特點是實施簡單，威力巨大，大多是無視防御的。常見的洪水攻擊分類之一就是DDoS攻擊，DDoS攻擊通過大量合法的請求占用大量網(wǎng)絡(luò)資源，然后受攻擊者的網(wǎng)絡(luò)資源被這些假的流量所占據(jù)就無法為他們的正常用戶提供服務(wù)了。

2、發(fā)送異常數(shù)據(jù)包攻擊

發(fā)送IP碎片，或超過主機能夠處理的數(shù)據(jù)報使得被攻擊主機不知道該怎么處理這種數(shù)據(jù)包，從而引發(fā)系統(tǒng)崩潰。

3、對郵件系統(tǒng)進行攻擊

向一個郵件地址或郵件服務(wù)器發(fā)送大量的相同或不同的郵件，或者通過各種更為先進的攻擊方式進行攻擊，然后以郵件服務(wù)器為跳板向內(nèi)網(wǎng)滲透，給郵件系統(tǒng)和內(nèi)網(wǎng)安全帶來了巨大的風(fēng)險。

4、僵尸網(wǎng)絡(luò)攻擊

僵尸網(wǎng)絡(luò)（Botnet）是指采用一種或多種傳播手段，將大量主機感染Bot程序（僵尸程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡(luò)。被攻擊主機被植入Bot后，就主動和互聯(lián)網(wǎng)上的一臺或多臺控制節(jié)點取得聯(lián)系，進而自動接收黑客通過這些控制節(jié)點發(fā)送的控制指令，這些被攻擊主機和控制服務(wù)器就組成了僵尸網(wǎng)絡(luò)。黑客可以控制這些“僵尸網(wǎng)絡(luò)”集中發(fā)動對目標(biāo)主機的拒絕服務(wù)攻擊。

二、高防服務(wù)器防御措施

1、定期掃描

會定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點，清查可能存在的安全漏洞，對新出現(xiàn)的漏洞及時進行清理。

2、在高防服務(wù)器的骨干節(jié)點配置防火墻

安裝防火墻可以有效的抵御DDoS攻擊和其他一些攻擊。當(dāng)發(fā)現(xiàn)攻擊的時候，可以將攻擊導(dǎo)向一些不重要的犧牲主機，這樣可以保護真正的主機不被攻擊。

3、充分利用網(wǎng)絡(luò)設(shè)備保護網(wǎng)絡(luò)資源

所謂網(wǎng)絡(luò)設(shè)備是指路由器、防火墻等負(fù)載均衡設(shè)備，它們可將網(wǎng)絡(luò)有效地保護起來。當(dāng)一個公司使用了負(fù)載均衡設(shè)備，這樣當(dāng)一臺路由器被攻擊死機時，另一臺將馬上工作。從而最大程度的削減了DDoS的攻擊。

4、過濾不必要的服務(wù)和端口

這個指的是在路由器上過濾掉假的IP，只開放服務(wù)端口是現(xiàn)在高防服務(wù)器比較常見的做法，例如WWW服務(wù)器只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。

5、過濾所有RFC1918 IP地址

RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它們不是某個網(wǎng)段的固定的IP地址，而是Internet內(nèi)部保留的區(qū)域性IP地址，應(yīng)該把它們過濾掉。此方法并不是過濾內(nèi)部員工的訪問，而是將攻擊時偽造的大量虛假內(nèi)部IP過濾，這樣也可以減輕DdoS的攻擊。

6、限制SYN/ICMP流量

用戶應(yīng)在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬，這樣，當(dāng)出現(xiàn)大量的超過所限定的SYN/ICMP流量時，說明不是正常的網(wǎng)絡(luò)訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DDoS的方法，雖然該方法對于DDoS效果不太明顯了，不過仍然能夠起到一定的作用。