防范DDoS攻击必做的步骤

2019-11-28 22:18 标签: 防范DDoS攻击

  DDoS攻击可以通过利用服务器上的漏洞,或者消耗服务器上的资源(例如内存、硬盘等等)来达到目的。网堤安全小编介绍,DDoS攻击主要要两大类:带宽耗尽攻击和资源耗尽攻。为了有效遏制这两种类型的攻击,防范DDoS攻击必做的步骤如下:

  1、如果只有几台计算机是攻击的来源,并且你已经确定了这些来源的IP地址, 你就在防火墙服务器上放置一份ACL(访问控制列表) 来阻断这些来自这些IP的访问。如果可能的话,将web服务器的IP地址变更一段时间,但是如果攻击者通过查询你的DNS服务器解析到你新设定的IP。

  2、如果你确定攻击来自一个特定的国家,可以考虑将来自那个国家的IP阻断,至少要阻断一段时间。

  3、监控进入的网络流量。通过这种方式可以知道谁在访问你的网络,可以监控到异常的访问者,可以在事后分析日志和来源IP。在进行大规模的攻击之前,攻击者可能会使用少量的攻击来测试你网络的情况。

  4、对付带宽消耗型的攻击来说,最有效(也很昂贵)的解决方案是购买更多的带宽。

  5、也可以使用高性能的负载均衡软件,使用多台服务器,并部署在不同的数据中心。

  6、对web和其他资源使用负载均衡的同时,也使用相同的策略来保护DNS。

  7、优化资源使用提高web server的负载能力。例如,使用apache可以安装apachebooster 插件,该插件与varnish和nginx集成,可以应对突增的流量和内存占用。

  8、使用高可扩展性的DNS设备来保护针对DNS的DDOS攻击。可以考虑购买Cloudfair的商业解决方案,它可以提供针对DNS或TCP/IP3到7层的DDOS攻击保护。

  9、启用路由器或防火墙的反IP欺骗功能。在CISCO的ASA防火墙中配置该功能要比在路由器中更方便。在ASDM(Cisco Adaptive Security Device Manager)中启用该功能只要点击“配置”中的“防火墙”,找到“anti-spoofing”然后点击启用即可。也可以在路由器中使用 ACL(access control list)来防止IP欺骗,先针对内网创建 ACL,然后应用到互联网的接口上。

  10、使用第三方的服务来保护你的网站。有不少公司有这样的服务,提供高性能的基础网络设施帮你抵御拒绝服务攻击。你只需要按月支付几百美元费用就行。

  11、注意服务器的安全配置,避免资源耗尽型的DDOS攻击。

  12、听从专家的意见,针对攻击事先做好应对的应急方案。

  13、监控网络和web的流量。如果有可能可以配置多个分析工具,例如:Statcounter和Google analytics,这样可以更直观了解到流量变化的模式,从中获取更多的信息。

  14、保护好DNS避免DNS放大攻击。

  15、在路由器上禁用ICMP。仅在需要测试时开放ICMP。在配置路由器时也考虑下面的策略:流控,包过滤,半连接超时,垃圾包丢弃,来源伪造的数据包丢弃,SYN 阀值,禁用 ICMP和UDP广播。

  以上就是防范DDoS攻击必做的步骤的介绍,如果您还有疑惑,可咨询网堤安全在线客服。网堤安全为企业客户提供简单、 高效、智能、快速、低成本的云防护产品,帮助企业从根本上实现防御网络攻击于千里之外。

热门文章 最严重的黑客攻击,网络攻击和数据泄露 日本三菱电机称其在华服务器遭黑客攻击 或致泄密 马云的“守护神”,每天拦下20亿次黑客攻击! 防御DDoS攻击的五种方法 5g服务器优势特点详解
行业资讯 Industry Information

关于我们

About Us