首页 > 学院 > 操作系统 > 正文

倾囊相授DDoS防护十二式

2024-06-28 16:01:14
字体:
来源:转载
供稿:网友

DDoS攻击对于在线业务如同噩梦。从BBC到Twitter,再到川普的网站,去年的网络攻击不绝于耳。 现在高科技产品千变万化,物联网设备备受瞩目,DDoS攻击已经是过去几年的数倍,未来也不容乐观。当下,企业要在高度发达的互联网世界中谨慎工作,中盈优创旗下安全品牌云端卫士有一些方式可以进行DDoS防护。

制定应急响应计划

不要等攻击发生后才想起来制定方案。创建一个系统来预防响应潜在的DDoS攻击。虽然无法实现完全处理掉DDoS攻击,但是可以很大程度上减缓风险。有效的行动方案由一下一些内容组成:

应急响应计划

不管网站因为什么宕掉发送告警

防止任何恶意活动,及时清除日志

联系ISP了解免费和付费DDoS防护计划

确定系统DNS TTL (time-to-live)

文档化IT基础架构并采用资产清单创建网络拓扑图

购买DDoS防护产品减少攻击损失

……

监测流量水平

DDoS攻击会让服务器遭受前所未有的流量,远远超过预期和想象。实际上,对于任何进行攻击的黑客而言理想的时间可能就是类似圣诞节这样,本来就会有大流量的节日。混杂真实流量,将服务器压垮,最终导致服务器崩溃。因此注意到DDoS攻击最佳的途径就是找出网站上的反常流量。如果通常是十分钟500个访客,要是一分钟就有4000个肯定就是不正常的,需要出发告警。设置合适的基线有助于企业远离DDoS攻击。

关注连接设备

物联网是现在的热门话题。从可穿戴设备到零售、医疗等等,物联网影响着每一个领域,但是这种迅速增长的技术也被攻击者纳入囊中。黑客会找到自己的方式用这些连接设备破坏服务。关注这些连接设备有助于度过DDoS劫难。健壮的DDoS防护需要定期更改设备密码,不使用时切断设备。

确保具备额外带宽

更多的带宽比一些看似合理的需求更有意义,因为这些带宽提供了额外的时间来识别和处理攻击。服务器也能因此应对前所未有的流量剧增,而且在某种程度上降低攻击的强度。

如果你拥有200%或600%的带宽,停止DDoS攻击当然是不一定的,但是能够提供重要的减缓攻击的时间资源。

明显攻击源头丢包

DDoS攻击有可能对业务造成极大破坏,需要不惜任何代价停止这些错误来源的流量。注意访问列表边界,防止恶意活动。此外命令路由器丢掉明显的ip攻击源头的数据包。可以限制路由器速率加多一层保护。攻击的规模越来越大,这个策略只能拖延时间和延迟威胁的增加。

购买专属服务器

购买一个专用的主机服务器将提供更多的带宽、控制安全和无数的资源。专用服务器作为第一层防线,可以成功运行企业网站与成千上万的合法的客户。无疑专用服务器成本较高,但带来的好处明显大于由于缺乏DDoS保护所造成的损失。我们的DDoS防护专属服务器提供了多达80 Gbps的防护能力,同时提供其他的选择。

锁定伪造IP地址

防止伪造IP地址导致的DDoS攻击需要关注一些内容:

创建访问控制列表(ACL)用一个特定的源IP拒绝所有入站流量。

关注使用反向路径转发(RPF)或IP验证。它的工作原理类似于一个反垃圾邮件解决方案。

过滤出站和入站流量提高DDoS保护。

改变交换机和路由器的配置,从而自动拒绝外部网络的数据包。

加密路由器上的不同会话,允许受信任的主机外部网络。

及时升级打补丁

类似WordPRess这样德凯园平台要尽快审计,减少攻击风险。潜在的安全漏洞需要升级解决。因此,在网络中尽快部署更新升级。更新和升级拖延的时间越久,系统就越脆弱。这一点也被企业经常忽视,主要在于他们认为更新频率和更新应用程序无关紧要。

主动监测半开放连接

常规三次握手

客户端发送SYN(同步)包到服务器请求连接,

服务器返回SYN-ACK(synchronize-acknowledge)包到客户端,

客户回复ACK(承认)表示接收到包和通信开始。

半开连接中,数据包来源于恶意客户端。客户端使用伪造IP地址向服务器发送多个请求址。这样的连接没有关闭,仍然打开使它容易受到攻击。

半开连接检测:

添加一个空的keepalive消息到应用程序协议框架

添加一个NULL keepalive消息到实际应用协议框架

使用一个显式的计时器

修改TCP keepalive设置

采用代理防护

代理防护提供了一个额外DDoS保护层,让你的网站安全远离复杂网络威胁。远程DDoS代理保护隐藏客户真实IP,通过自身的缓解网络发送代理流量。整个过程没有网站访问者意识到这一点。此外远程代理防护增加HTTP应用程序的安全性和性能。

设置RST Cookie

RST Cookie是强大的DDoS防御,因为服务器发送错误的ACK+SYN到客户端,然后客户端将数据包转发告诉服务器这个潜在错误。因此可以防止业务发生潜在攻击。

远程黑洞过滤UDP流量

通过远程黑洞过滤UDP流量可以有效地阻止不良流量进入受保护的网络。这些远程黑洞通过区域流量转发,然后丢掉。基于IP地址和目的地检测并丢掉流量。设置的三个步骤:

准备一个空的路由

准备一个线路图

在管理路由器上生成一个受害者路径

如果觉得这些过于复杂,欢迎随时联系云端卫士量身定制适合您的防护解决方案。

倾囊相授DDoS防护十二式


发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表