为了能抵抗 DDoS(分布式系统拒绝服务攻击)攻击,你必须对攻击时发生什么事有一个清晰的认知. 通俗点说,DDoS 攻击能通过运用服务器里的系统漏洞,或是耗费服务器里的资源(比如 运行内存、电脑硬盘这些)来获得成功。DDoS 攻击关键要两类: 网络带宽耗尽攻击和资源耗尽攻击. 为了能有效遏制这两类的攻击,你能依照下边列出的流程做:
1. 如果仅仅是多台计算机是攻击的源头,而且你明确表示了一些来源的 IP 详细地址, 你就在防火墙服务器上置放一份 ACL(访问控制列表) 来阻断这种来源于这种 IP 的浏览。如果可能的话 将 web 服务器的 IP 变更地址一段时间,但如果攻击者根据查看你 DNS 服务器分析你新设置的 IP,那这一对策及不会再合理了。
2. 假如你明确攻击来源于一个特殊的大国,可以选择将来源于那个国家的 IP 阻断,需要阻断一段时间.
3、监管进入的数据流量。用这种方式就可以知道谁在浏览你互联网,能够监管到异常来访者,还可以在事后分析日志和由来IP。在开展大规模攻击以前,攻击者可能应用少量攻击来测试你互联网的可扩展性。
4、应对网络带宽消耗性的攻击而言,最管用(也挺价格昂贵)解决方案是选购更多网络带宽。
5、也可以用性能卓越的web服务手机软件,应用几台服务器,并布署在不同大数据中心。
6、对web和别的资源应用web服务的前提下,也采用同样的思路来维护DNS。
7、提升资源应用提升 web server 的负载能力。比如,应用 apache 能够组装 apachebooster 外挂,该外挂与 varnish 和 nginx 集成化,能够解决猛增的流量和内存占用。
8、应用高可维护性的 DNS 机器设备来维护对于 DNS 的 DDOS 攻击。可以选择选购 Cloudfair 的商业解决方案,它能够提供对于 DNS 或 TCP/IP3 到7层 DDOS 攻击维护。
9、开启无线路由器或防火墙的反IP出轨作用。在 CISCO 的 ASA 防火墙中配备这个功能会比在无线路由器更为便捷。在 ASDM(Cisco Adaptive Security Device Manager)中开启这个功能只需点一下“配备”里的“防火墙”,寻找“anti-spoofing”点击开启就可以。还可以在无线路由器中应用 ACL(access control list)来避免 IP 出轨,先对于内部网建立 ACL,随后运用到大数据的插口上。
10、应用第三方的服务项目来维护你的网站。也有不少企业会有这样的服务项目,给予性能卓越的前提网络建设帮忙抵挡拒绝服务攻击攻击。你只要按月付款几百美元花费就可以了。
11、留意服务器的安全配置,防止资源耗尽型 DDOS 攻击。
12、遵从专家建议,对于攻击事前搞好应对的应对措施。
13、监控网络和 web 平台流量。如果有可能能够配备好几个分析工具,比如:Statcounter 和 Google analytics,这可以更真实了解到了总流量转变的方式,从这当中获取更多的信息内容。
14、守护好 DNS 防止 DNS 变大攻击。
15、在路由器上禁止使用 ICMP。仅仅在必须检测时对外开放 ICMP。在配置路由器时才考虑到下边的思路:流控,包过虑,半网络连接超时,垃圾包丢掉,由来伪造的数据文件丢掉,SYN 阈值,禁止使用 ICMP 和 UDP 广播节目。
最终多了解一些 DDOS 攻击的种类和方式,并就每一种攻击制订应对措施。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
