對(duì)于遭受DDOS如果我們有好的攻擊,攻擊是非常尷尬的�����。DDoS防御方法����,那么很多問(wèn)題就會(huì)迎刃而解����。讓我們來(lái)看看我們常用的有效方法。DDoS防御呢�。
對(duì)于DDoS理解防御:
對(duì)付DDOS它是一個(gè)系統(tǒng)工程,只想依靠某個(gè)系統(tǒng)或產(chǎn)品來(lái)阻止它DDOS是不現(xiàn)實(shí)的����,可以肯定的是����,完全消除了DDOS目前不可能通過(guò)適當(dāng)?shù)拇胧┑挚?0%DDoS攻擊是可以做到的�,基于攻擊和防御都有成本開(kāi)銷(xiāo)的緣故,若通過(guò)適當(dāng)?shù)霓k法增強(qiáng)了抵御DDOS能力��,也就是說(shuō)���,增加了攻擊者的攻擊成本��,所以絕大多數(shù)攻擊者不能繼續(xù)放棄�����,這相當(dāng)于成功的抵抗DDoS攻擊�。
舉個(gè)例子:
我開(kāi)了一家餐廳���,正常情況下��,最多可以容納30個(gè)人同時(shí)進(jìn)餐�。你直接走進(jìn)餐廳���,找一張桌子坐下點(diǎn)餐�,馬上就可以吃到東西。
不幸的是����,我得罪了一個(gè)流氓。他同時(shí)派了300人去餐館�����。這些人看起來(lái)像普通顧客�����,每個(gè)人都說(shuō)"趕快上餐"�。然而,餐廳的容量只有30人�,不可能同時(shí)滿足這么多的訂購(gòu)需求。此外�,他們堵住了門(mén),里面三層���,外面三層。正常用餐的客人根本進(jìn)不去�����,但實(shí)際上他們癱瘓了餐廳。
這就是DDoS攻擊��,它在短時(shí)間內(nèi)發(fā)起大量請(qǐng)求���,耗盡服務(wù)器資源�����,無(wú)法響應(yīng)正常訪問(wèn)����,導(dǎo)致網(wǎng)站實(shí)質(zhì)性下線���。
DDoS里面的DoS是denialofservice(停止服務(wù))的縮寫(xiě)�,表示這種攻擊的目的����,就是使得服務(wù)中斷。最前面的那個(gè)D是distributed(分布式)意味著攻擊不是來(lái)自一個(gè)地方����,而是來(lái)自四面八方���,所以更難防范。你關(guān)上前門(mén)�����,他從后門(mén)進(jìn)來(lái)����;你關(guān)上后門(mén),他從窗戶(hù)跳了起來(lái)���。
DDoS防御方法:
1.采用高性能網(wǎng)絡(luò)設(shè)備
首先����,我們應(yīng)該確保網(wǎng)絡(luò)設(shè)備不能成為瓶頸��。因此�����,在選擇路由器����、交換機(jī)、硬件防火墻等設(shè)備時(shí)��,應(yīng)盡量選擇知名度高�、信譽(yù)好的產(chǎn)品。此外�,如果與網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議。當(dāng)發(fā)生大量攻擊時(shí)��,請(qǐng)?jiān)诰W(wǎng)絡(luò)連接處對(duì)某些類(lèi)型進(jìn)行流量限制DDoS攻擊非常有效����。
這就是傳說(shuō)中的技術(shù)不錢(qián)湊。
2.盡量避免NAT的使用
路由器和硬件防護(hù)墻設(shè)備應(yīng)盡量避免使用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT因?yàn)槭褂眠@種技術(shù)會(huì)大大降低網(wǎng)絡(luò)通信能力���,原因其實(shí)很簡(jiǎn)單����,因?yàn)镹AT地址需要來(lái)回轉(zhuǎn)換���,網(wǎng)絡(luò)包的驗(yàn)證和計(jì)算需要在轉(zhuǎn)換過(guò)程中進(jìn)行���,浪費(fèi)了很多CPU但有時(shí)必須使用時(shí)間NAT,沒(méi)有好辦法。
3.保證充足的網(wǎng)絡(luò)帶寬
如果只有10��,網(wǎng)絡(luò)帶寬直接決定了抵抗攻擊的能力M對(duì)于帶寬來(lái)說(shuō)���,無(wú)論采取什么措施�,都很難對(duì)抗現(xiàn)在SYNFlood目前至少要選擇100次攻擊M當(dāng)然�,最好的共享帶寬是1萬(wàn)M主干上了。但需要注意的是��,主機(jī)上的網(wǎng)卡是1萬(wàn)M并不意味著它的網(wǎng)絡(luò)帶寬是千兆���,如果連接到1000M在交換機(jī)上�����,其實(shí)際帶寬不超過(guò)100M���,再就是接在100M由于網(wǎng)絡(luò)服務(wù)提供商很可能會(huì)將實(shí)際帶寬限制在交換機(jī)上,因此帶寬不等于100兆M��,這一點(diǎn)必須弄清楚�。
4.升級(jí)主機(jī)服務(wù)器硬件
在網(wǎng)絡(luò)帶寬保證的前提下,請(qǐng)盡量改進(jìn)硬件配置��,每秒有效對(duì)抗10萬(wàn)個(gè)SYN攻擊包,服務(wù)器的配置至少應(yīng)該為:P42.4G/DDR512M/SCSI-HD��,主要作用是CPU和內(nèi)存�,如果有志強(qiáng)雙CPU如果你使用它,你必須選擇內(nèi)存DDR硬盤(pán)應(yīng)盡量選擇高速內(nèi)存SCSI的�,別只貪IDE價(jià)格不貴����,而且足夠便宜,否則會(huì)付出高昂的性能代價(jià)��。此外��,網(wǎng)卡必須選擇3COM或Intel等名牌����,如果Realtek還是用在自己PC上吧。
5.將網(wǎng)站制成靜態(tài)頁(yè)面或偽靜態(tài)頁(yè)面
大量事實(shí)證明��,盡可能將網(wǎng)站制作成靜態(tài)頁(yè)面����,不僅可以大大提高抗攻擊能力,還會(huì)給黑客入侵帶來(lái)很多麻煩�,至少到目前為止HTML溢出還沒(méi)有出現(xiàn),看看吧!新浪�����、搜狐�、網(wǎng)易等門(mén)戶(hù)網(wǎng)站主要是靜態(tài)頁(yè)面。如果您不需要?jiǎng)討B(tài)腳本調(diào)用����,請(qǐng)將其轉(zhuǎn)移到另一個(gè)單獨(dú)的主機(jī),以免在攻擊過(guò)程中影響主服務(wù)器����。當(dāng)然,最好在需要調(diào)用數(shù)據(jù)庫(kù)的腳本中拒絕使用代理訪問(wèn)����,因?yàn)榻?jīng)驗(yàn)表明,使用代理訪問(wèn)您網(wǎng)站的80%是惡意的����。
6.增強(qiáng)操作系統(tǒng)TCP/IP棧
Win2000和Win作為服務(wù)器操作系統(tǒng),2003本身就有一定的抵抗力DDoS攻擊能力�����,只是默認(rèn)狀態(tài)下沒(méi)有打開(kāi),如果打開(kāi)可以抵抗約1萬(wàn)人SYN攻擊包�����,如果不打開(kāi)���,只能抵抗幾百個(gè)����,具體怎么打開(kāi)�,自己去看微軟的文章吧���!TCP/IP堆棧安全����。
7.安裝專(zhuān)業(yè)抗DDOS防火墻
8.HTTP請(qǐng)求的攔截
如果惡意請(qǐng)求有特點(diǎn)���,很容易處理:直接攔截它��。
HTTP一般有兩個(gè)特征:IP地址和UserAgent字段�。例如����,惡意請(qǐng)求來(lái)自某一點(diǎn)IP如果段發(fā)出�����,那就把這個(gè)發(fā)出去���。IP密封段?;蛘撸麄兊?����。UserAgent如果字段有特征(包括特定單詞)�,請(qǐng)攔截帶有該單詞的請(qǐng)求。
9.備份網(wǎng)站
你必須有一個(gè)備份網(wǎng)站��,或者最低限度地有一個(gè)臨時(shí)主頁(yè)���。如果生產(chǎn)服務(wù)器離線��,可以立即切換到備份網(wǎng)站�����,以免沒(méi)有辦法�����。
備份網(wǎng)站不一定是全功能的����。如果能全靜態(tài)瀏覽,就能滿足需求�����。公告應(yīng)該能夠顯示到最低限度���,告訴用戶(hù)網(wǎng)站有問(wèn)題,正在全力搶修���。
這種臨時(shí)主頁(yè)建議放在這個(gè)臨時(shí)主頁(yè)上GithubPages或者Netlify����,它們的帶寬很大�,可以應(yīng)對(duì)攻擊,都支持綁定域名���,可以自動(dòng)構(gòu)建源代碼�。
10.部署CDN
CDN該網(wǎng)站的靜態(tài)內(nèi)容分發(fā)給多個(gè)服務(wù)器,用戶(hù)就近訪問(wèn)�����,提高速度���。CDN帶寬擴(kuò)容也是一種防御方法DDOS攻擊�。
源服務(wù)器存儲(chǔ)網(wǎng)站內(nèi)容�,CDN以上是內(nèi)容緩存。只允許用戶(hù)訪問(wèn)CDN���,若內(nèi)容不在CDN上�,CDN向源服務(wù)器發(fā)出請(qǐng)求�。只要CDN足夠大,可以抵抗大攻擊�����。然而����,這種方法有一個(gè)前提����,網(wǎng)站的大部分內(nèi)容必須能夠靜態(tài)緩存���。對(duì)于以動(dòng)態(tài)內(nèi)容為主的網(wǎng)站(如論壇)�,要想辦法減少用戶(hù)對(duì)動(dòng)態(tài)數(shù)據(jù)的要求�����。
各大云服務(wù)提供商提供的高防御IP�����,背后也是如此:網(wǎng)站域名指向高防御IP���,它提供緩沖層�,清洗流量�,緩存源服務(wù)器的內(nèi)容���。
這里有一個(gè)關(guān)鍵點(diǎn)�,一旦上去CDN�,不要泄露源服務(wù)器IP否則攻擊者可以繞過(guò)地址CDN直接攻擊源服務(wù)器�����,前面的努力都白費(fèi)了�。"繞過(guò)CDN獲取真實(shí)IP地址"��,你會(huì)知道國(guó)內(nèi)黑產(chǎn)業(yè)有多猖獗。
11.其他防御措施
以上對(duì)抗DDoS建議適合大多數(shù)擁有自己主機(jī)的用戶(hù)�����,但如果采取上述措施后仍無(wú)法解決DDoS問(wèn)題����,有些麻煩��,可能需要更多的投資���,增加服務(wù)器的數(shù)量使用DNS輪巡或負(fù)載平衡技術(shù)��,甚至需要購(gòu)買(mǎi)七層交換機(jī)設(shè)備�����,使抗性DDoS只要投資足夠深入��,攻擊能力就會(huì)成倍提高���。
騰佑科技高防IP更懂你的DDoS高防服務(wù)
作為國(guó)內(nèi)領(lǐng)先的服務(wù)器安全綜合解決方案提供商����,騰佑科技秉持“客戶(hù)第一”企業(yè)價(jià)值觀����,深入了解客戶(hù)痛點(diǎn),圍繞客戶(hù)痛點(diǎn)打造完整的DDoS攻擊防護(hù)服務(wù)方案——騰佑科技高防IP��。1800G防御����、100M只需1000元/月帶寬;時(shí)間有限�����,請(qǐng)盡快聯(lián)系我們��!
詳情請(qǐng)戳:
咨詢(xún)熱線:
400-996-8756
產(chǎn)品詳情頁(yè)
0371-89913000
