這篇文章主要介紹了對抗 DDoS 攻擊的 15 個方法,DDoS 攻擊主要要兩大(dà)類: 帶寬耗盡攻擊和資(zī)源耗盡攻擊,爲了有效遏制這兩種類型的攻擊,你可以按照本文列出的步驟來做,需要的朋友可以參考下(xià)
爲了對抗 DDoS(分(fēn)布式拒絕服務)攻擊,你需要對攻擊時發生(shēng)了什麽有一(yī)個清楚的理解. 簡單來講,DDoS 攻擊可以通過利用服務器上的漏洞,或者消耗服務器上的資(zī)源(例如 内存、硬盤等等)來達到目的。DDoS 攻擊主要要兩大(dà)類: 帶寬耗盡攻擊和資(zī)源耗盡攻擊. 爲了有效遏制這兩種類型的攻擊,你可以按照下(xià)面列出的步驟來做:
1. 如果隻有幾台計算機是攻擊的來源,并且你已經确定了這些來源的 IP 地址, 你就在防火(huǒ)牆服務器上放(fàng)置一(yī)份 ACL(訪問控制列表) 來阻斷這些來自這些 IP 的訪問。如果可能的話(huà) 将 web 服務器的 IP 地址變更一(yī)段時間,但是如果攻擊者通過查詢你的 DNS 服務器解析到你新設定的 IP,那這一(yī)措施及不再有效了。
2. 如果你确定攻擊來自一(yī)個特定的國家,可以考慮将來自那個國家的 IP 阻斷,至少要阻斷一(yī)段時間.
3、監控進入的網絡流量。通過這種方式可以知(zhī)道誰在訪問你的網絡,可以監控到異常的訪問者,可以在事後分(fēn)析日志(zhì)和來源IP。在進行大(dà)規模的攻擊之前,攻擊者可能會使用少量的攻擊來測試你網絡的健壯性。
4、對付帶寬消耗型的攻擊來說,最有效(也很昂貴)的解決方案是購買更多的帶寬。
5、也可以使用高性能的負載均衡軟件,使用多台服務器,并部署在不同的數據中(zhōng)心。
6、對web和其他資(zī)源使用負載均衡的同時,也使用相同的策略來保護DNS。
7、優化資(zī)源使用提高 web server 的負載能力。例如,使用 apache 可以安裝 apachebooster 插件,該插件與 varnish 和 nginx 集成,可以應對突增的流量和内存占用。
8、使用高可擴展性的 DNS 設備來保護針對 DNS 的 DDOS 攻擊。可以考慮購買 Cloudfair 的商(shāng)業解決方案,它可以提供針對 DNS 或 TCP/IP3 到7層的 DDOS 攻擊保護。
9、啓用路由器或防火(huǒ)牆的反IP欺騙功能。在 CISCO 的 ASA 防火(huǒ)牆中(zhōng)配置該功能要比在路由器中(zhōng)更方便。在 ASDM(Cisco Adaptive Security Device Manager)中(zhōng)啓用該功能隻要點擊“配置”中(zhōng)的“防火(huǒ)牆”,找到“anti-spoofing”然後點擊啓用即可。也可以在路由器中(zhōng)使用 ACL(access control list)來防止 IP 欺騙,先針對内網創建 ACL,然後應用到互聯網的接口上。
10、使用第三方的服務來保護你的網站。有不少公司有這樣的服務,提供高性能的基礎網絡設施幫你抵禦拒絕服務攻擊。你隻需要按月支付幾百美元費(fèi)用就行。
11、注意服務器的安全配置,避免資(zī)源耗盡型的 DDOS 攻擊。
12、聽(tīng)從專家的意見,針對攻擊事先做好應對的應急方案。
13、監控網絡和 web 的流量。如果有可能可以配置多個分(fēn)析工(gōng)具,例如:Statcounter 和 Google analytics,這樣可以更直觀了解到流量變化的模式,從中(zhōng)獲取更多的信息。
14、保護好 DNS 避免 DNS 放(fàng)大(dà)攻擊。
15、在路由器上禁用 ICMP。僅在需要測試時開(kāi)放(fàng) ICMP。在配置路由器時也考慮下(xià)面的策略:流控,包過濾,半連接超時,垃圾包丢棄,來源僞造的數據包丢棄,SYN 閥值,禁用 ICMP 和 UDP 廣播。
最後多了解一(yī)些 DDOS 攻擊的類型和手段,并針對每一(yī)種攻擊制定應急方案。
上一(yī)篇:十五招提升服務器安全等級
下(xià)一(yī)篇:智慧城市網絡安全十大(dà)要點