|
為了對(duì)抗DDoS(分布式拒絕服務(wù))攻擊,你需要對(duì)攻擊時(shí)發(fā)生了什么有一個(gè)清楚的理解.簡(jiǎn)單來(lái)講���,DDoS攻擊可以通過(guò)利用服務(wù)器上的漏洞��,或者消耗服務(wù)器上的資源(例如 內(nèi)存��、硬盤(pán)等等)來(lái)達(dá)到目的���。DDoS攻擊主要要兩大類(lèi):帶寬耗盡攻擊和資源耗盡攻擊.為了有效遏制這兩種類(lèi)型的攻擊,你可以按照下面列出的步驟來(lái)做:
1.如果只有幾臺(tái)計(jì)算機(jī)是攻擊的來(lái)源����,并且你已經(jīng)確定了這些來(lái)源的IP地址,你就在防火墻服務(wù)器上放置一份ACL(訪問(wèn)控制列表)來(lái)阻斷這些來(lái)自這些IP的訪問(wèn)。如果可能的話 將web服務(wù)器的IP地址變更一段時(shí)間�,但是如果攻擊者通過(guò)查詢(xún)你的DNS服務(wù)器解析到你新設(shè)定的IP�����,那這一措施及不再有效了。 2.如果你確定攻擊來(lái)自一個(gè)特定的國(guó)家�,可以考慮將來(lái)自那個(gè)國(guó)家的IP阻斷,至少要阻斷一段時(shí)間. 3��、監(jiān)控進(jìn)入的網(wǎng)絡(luò)流量���。通過(guò)這種方式可以知道誰(shuí)在訪問(wèn)你的網(wǎng)絡(luò)�����,可以監(jiān)控到異常的訪問(wèn)者���,可以在事后分析日志和來(lái)源IP。在進(jìn)行大規(guī)模的攻擊之前�����,攻擊者可能會(huì)使用少量的攻擊來(lái)測(cè)試你網(wǎng)絡(luò)的健壯性���。 4�����、對(duì)付帶寬消耗型的攻擊來(lái)說(shuō)���,最有效(也很昂貴)的解決方案是購(gòu)買(mǎi)更多的帶寬���。 5、也可以使用高性能的負(fù)載均衡軟件���,使用多臺(tái)服務(wù)器�,并部署在不同的數(shù)據(jù)中心���。 6�����、對(duì)web和其他資源使用負(fù)載均衡的同時(shí)���,也使用相同的策略來(lái)保護(hù)DNS。 7�、使用第三方的服務(wù)來(lái)保護(hù)你的網(wǎng)站。有不少公司有這樣的服務(wù)�����,提供高性能的基礎(chǔ)網(wǎng)絡(luò)設(shè)施幫你抵御拒絕服務(wù)攻擊�����。你只需要按月支付幾百上千費(fèi)用就行���。推薦使用知道創(chuàng)宇的加速樂(lè)���、抗D保、或其它你需要的解決方案�,目前我的棋牌游戲APP和網(wǎng)站仍然在接入中,還沒(méi)有出現(xiàn)過(guò)什么問(wèn)題���; 8�、使用高可擴(kuò)展性的DNS設(shè)備來(lái)保護(hù)針對(duì)DNS的DDOS攻擊��??梢钥紤]購(gòu)買(mǎi)Cloudfair的商業(yè)解決方案,它可以提供針對(duì)DNS或TCP/IP3到7層的DDOS攻擊保護(hù)����。 9、啟用路由器或防火墻的反IP欺騙功能����。在CISCO的ASA防火墻中配置該功能要比在路由器中更方便���。在ASDM(Cisco Adaptive Security Device Manager)中啟用該功能只要點(diǎn)擊“配置”中的“防火墻”,找到“anti-spoofing”然后點(diǎn)擊啟用即可����。也可以在路由器中使用ACL(access control list)來(lái)防止IP欺騙,先針對(duì)內(nèi)網(wǎng)創(chuàng)建ACL���,然后應(yīng)用到互聯(lián)網(wǎng)的接口上��。 10��、優(yōu)化資源使用提高web server的負(fù)載能力�。例如���,使用apache可以安裝apachebooster插件�,該插件與varnish和nginx集成�����,可以應(yīng)對(duì)突增的流量和內(nèi)存占用����。 11���、注意服務(wù)器的安全配置,避免資源耗盡型的DDOS攻擊�����。 12��、聽(tīng)從專(zhuān)家的意見(jiàn)��,針對(duì)攻擊事先做好應(yīng)對(duì)的應(yīng)急方案��。 13��、監(jiān)控網(wǎng)絡(luò)和web的流量�����。如果有可能可以配置多個(gè)分析工具�,例如:Statcounter和Google analytics����,這樣可以更直觀了解到流量變化的模式,從中獲取更多的信息���。 14���、保護(hù)好DNS避免DNS放大攻擊����。 15����、在路由器上禁用ICMP。僅在需要測(cè)試時(shí)開(kāi)放ICMP���。在配置路由器時(shí)也考慮下面的策略:流控�,包過(guò)濾��,半連接超時(shí)����,垃圾包丟棄,來(lái)源偽造的數(shù)據(jù)包丟棄����,SYN閥值,禁用ICMP和UDP廣播����。 最后多了解一些DDOS攻擊的類(lèi)型和手段��,并針對(duì)每一種攻擊制定應(yīng)急方案��。
|
