17种简单的ddos防御方法,让你的服务器安全起来
如何最大限度地保护企业服务器免受攻击?如果我们不能阻止这次袭击,我们能采取什么措施?分布式拒绝服务是一种完全不同的攻击。你不能阻止黑客这样对你。除非你主动断开与互联网的连接,否则它会对你的网站发起DDoS攻击。
如何最大限度地保护企业服务器免受攻击?如果我们不能阻止这次袭击,我们能采取什么措施?分布式拒绝服务是一种完全不同的攻击。你不能阻止黑客这样对你。除非你主动断开与互联网的连接,否则它会对你的网站发起DDoS攻击。
Ddos防御,ddos保护
那么我们首先要了解DDoS攻击的三个阶段:
第一阶段是目标确认:黑客将公司网络的IP地址锁定在互联网上。锁定的IP地址可能代表企业的网络服务器、DNS服务器、互联网网关等。这些目标的选择有各种各样的目的,比如赚钱(有些人会为黑客入侵一些网站而付费)或打破乐趣。
第二个阶段是准备阶段:在这个阶段,黑客会在没有好的防护系统的情况下入侵互联网上的大量电脑(基本上家庭电脑都在网络上,NDSL宽带或者有线电缆是主要方法),未来黑客会植入必要的工具。
第三阶段是实际攻击阶段:黑客向所有被攻击的计算机(即僵尸计算机)发送攻击命令,命令计算机使用预植入的攻击工具不断向攻击目标发送数据包,使目标无法处理大量数据或占用全部带宽。
聪明的黑客还会让这些僵尸电脑欺骗攻击包的IP地址,并将攻击目标的IP地址插入到包的原始地址中。这被称为反射性攻击。服务器或路由器看到这些数据包后,会将收到的响应转发(即反映)到原始IP地址,这将进一步增加到目标主机的数据流。因此,我们无法阻止这种DDoS攻击,但是知道了这种攻击的原理,我们就可以将这种攻击的影响降到最低。
DDoS防御方法:
1.如果只有几台计算机是攻击的来源,并且您已经确定了这些来源的IP地址,您将在防火墙服务器上放置一个ACL(访问控制列表)来阻止这些IP访问。如果可能的话,在一段时间内更改web服务器的IP地址,但是如果攻击者通过查询您的DNS服务器来解析您新设置的IP,这种措施将不再有效。
2.如果你确定攻击来自某个特定的国家,你可以考虑阻止来自那个国家的IP,至少在一段时间内。
3.监控传入的网络流量。这样就可以知道谁在访问你的网络,监控异常访客,事后分析日志和源IP。在大规模攻击之前,攻击者可能会使用少量攻击来测试您网络的健壮性。4.为了应对消耗带宽的攻击,最有效(也是最昂贵)的解决方案是购买更多带宽。异常流量通过DDoS硬件防火墙进行清理过滤,数据包定期过滤、数据流指纹检测过滤、数据包内容定制过滤等顶级技术可以准确判断外部访问流量是否正常,进而禁止异常流量过滤。单个负载每秒可以防御800-927万个syn攻击数据包。
5.您还可以使用高性能负载平衡软件,使用多台服务器,并将其部署在不同的数据中心。
6.在对网络和其他资源使用负载平衡的同时,我们也使用相同的策略来保护域名系统。
7.优化资源使用,提高web服务器的负载能力。比如可以用apache来安装apachebooster插件,这个插件集成了清漆和nginx,可以应对流量和内存使用量的突然增加。
8.使用高度可扩展的DNS设备来保护DDoS免受DNS攻击。您可以考虑从Cloudflare购买一个商业解决方案,它可以提供针对DNS或TCP/IP3第3层到第7层的DDoS攻击防护。如果想得到更多的服务支持(国外的保安服务一般都是不售后的,遇到问题只能提交工单解决,效率不高。),可以考虑选择国内云安全服务提供商。推荐小蚂蚁云安全、腾讯云、阿里巴巴云。
9.启用路由器或防火墙的防IP欺骗功能。在CISCO ASA防火墙中配置此功能比在路由器中配置更方便。要在ASDM启用此功能(思科自适应安全设备管理器),只需在配置中单击防火墙,找到反欺骗,然后单击启用。您也可以在路由器中使用ACL(访问控制列表)来防止IP欺骗。首先,为内部网创建ACL,然后将其应用于互联网的接口。
10.使用第三方服务保护您的网站。很多公司都有这样的服务,提供高性能的基础网络设施,帮助你抵御拒绝服务攻击。你每月只需要支付几百美元。
11.注意服务器的安全配置,避免资源耗尽的DDoS攻击。
12.听取专家意见,提前制定应对攻击的应急预案。
13.监控网络和网络流量。如果可能的话,可以配置多个分析工具,比如Statcounter和Google analytics,这样可以更直观地了解流量变化模式,从中获取更多信息。14.保护DNS,避免DNS放大攻击。
15.在路由器上禁用ICMP。仅在需要测试时打开ICMP。在配置路由器时还需要考虑以下策略:流量控制、包过滤、半连接超时、垃圾数据包丢弃、使用伪造源的数据包丢弃、SYN阈值、禁用ICMP和UDP广播。
16.分布式集群防御:这是网络安全社区防御大规模DDoS攻击最有效的方式。分布式集群防御的特点是每个节点服务器配置多个IP地址,每个节点都可以抵御不少于10G的DDOS攻击。如果一个节点受到攻击,无法提供服务,系统会根据优先级设置自动切换另一个节点,将攻击者的所有数据包返回发送点,使攻击源瘫痪,从更深层次的安全防护角度影响企业的安全执行决策。
17.云防御:目前很多企业用这种方式防御大攻击。一方面可以通过云进行调度,另一方面操作非常简单,能够及时响应各种类型的攻击性DDoS攻击。但缺点是攻击量大时代价会更高,这取决于企业对DDoS攻击的度量,是被击败代价更高,还是花钱对抗d代价更高。
最后,详细了解DDOS攻击的类型和手段,并针对每一次攻击制定应急预案。
Ddos防御,ddos保护
那么我们首先要了解DDoS攻击的三个阶段:
第一阶段是目标确认:黑客将公司网络的IP地址锁定在互联网上。锁定的IP地址可能代表企业的网络服务器、DNS服务器、互联网网关等。这些目标的选择有各种各样的目的,比如赚钱(有些人会为黑客入侵一些网站而付费)或打破乐趣。
第二个阶段是准备阶段:在这个阶段,黑客会在没有好的防护系统的情况下入侵互联网上的大量电脑(基本上家庭电脑都在网络上,NDSL宽带或者有线电缆是主要方法),未来黑客会植入必要的工具。
第三阶段是实际攻击阶段:黑客向所有被攻击的计算机(即僵尸计算机)发送攻击命令,命令计算机使用预植入的攻击工具不断向攻击目标发送数据包,使目标无法处理大量数据或占用全部带宽。
聪明的黑客还会让这些僵尸电脑欺骗攻击包的IP地址,并将攻击目标的IP地址插入到包的原始地址中。这被称为反射性攻击。服务器或路由器看到这些数据包后,会将收到的响应转发(即反映)到原始IP地址,这将进一步增加到目标主机的数据流。因此,我们无法阻止这种DDoS攻击,但是知道了这种攻击的原理,我们就可以将这种攻击的影响降到最低。
DDoS防御方法:
1.如果只有几台计算机是攻击的来源,并且您已经确定了这些来源的IP地址,您将在防火墙服务器上放置一个ACL(访问控制列表)来阻止这些IP访问。如果可能的话,在一段时间内更改web服务器的IP地址,但是如果攻击者通过查询您的DNS服务器来解析您新设置的IP,这种措施将不再有效。
2.如果你确定攻击来自某个特定的国家,你可以考虑阻止来自那个国家的IP,至少在一段时间内。
3.监控传入的网络流量。这样就可以知道谁在访问你的网络,监控异常访客,事后分析日志和源IP。在大规模攻击之前,攻击者可能会使用少量攻击来测试您网络的健壮性。4.为了应对消耗带宽的攻击,最有效(也是最昂贵)的解决方案是购买更多带宽。异常流量通过DDoS硬件防火墙进行清理过滤,数据包定期过滤、数据流指纹检测过滤、数据包内容定制过滤等顶级技术可以准确判断外部访问流量是否正常,进而禁止异常流量过滤。单个负载每秒可以防御800-927万个syn攻击数据包。
5.您还可以使用高性能负载平衡软件,使用多台服务器,并将其部署在不同的数据中心。
6.在对网络和其他资源使用负载平衡的同时,我们也使用相同的策略来保护域名系统。
7.优化资源使用,提高web服务器的负载能力。比如可以用apache来安装apachebooster插件,这个插件集成了清漆和nginx,可以应对流量和内存使用量的突然增加。
8.使用高度可扩展的DNS设备来保护DDoS免受DNS攻击。您可以考虑从Cloudflare购买一个商业解决方案,它可以提供针对DNS或TCP/IP3第3层到第7层的DDoS攻击防护。如果想得到更多的服务支持(国外的保安服务一般都是不售后的,遇到问题只能提交工单解决,效率不高。),可以考虑选择国内云安全服务提供商。推荐小蚂蚁云安全、腾讯云、阿里巴巴云。
9.启用路由器或防火墙的防IP欺骗功能。在CISCO ASA防火墙中配置此功能比在路由器中配置更方便。要在ASDM启用此功能(思科自适应安全设备管理器),只需在配置中单击防火墙,找到反欺骗,然后单击启用。您也可以在路由器中使用ACL(访问控制列表)来防止IP欺骗。首先,为内部网创建ACL,然后将其应用于互联网的接口。
10.使用第三方服务保护您的网站。很多公司都有这样的服务,提供高性能的基础网络设施,帮助你抵御拒绝服务攻击。你每月只需要支付几百美元。
11.注意服务器的安全配置,避免资源耗尽的DDoS攻击。
12.听取专家意见,提前制定应对攻击的应急预案。
13.监控网络和网络流量。如果可能的话,可以配置多个分析工具,比如Statcounter和Google analytics,这样可以更直观地了解流量变化模式,从中获取更多信息。14.保护DNS,避免DNS放大攻击。
15.在路由器上禁用ICMP。仅在需要测试时打开ICMP。在配置路由器时还需要考虑以下策略:流量控制、包过滤、半连接超时、垃圾数据包丢弃、使用伪造源的数据包丢弃、SYN阈值、禁用ICMP和UDP广播。
16.分布式集群防御:这是网络安全社区防御大规模DDoS攻击最有效的方式。分布式集群防御的特点是每个节点服务器配置多个IP地址,每个节点都可以抵御不少于10G的DDOS攻击。如果一个节点受到攻击,无法提供服务,系统会根据优先级设置自动切换另一个节点,将攻击者的所有数据包返回发送点,使攻击源瘫痪,从更深层次的安全防护角度影响企业的安全执行决策。
17.云防御:目前很多企业用这种方式防御大攻击。一方面可以通过云进行调度,另一方面操作非常简单,能够及时响应各种类型的攻击性DDoS攻击。但缺点是攻击量大时代价会更高,这取决于企业对DDoS攻击的度量,是被击败代价更高,还是花钱对抗d代价更高。
最后,详细了解DDOS攻击的类型和手段,并针对每一次攻击制定应急预案。
责任编辑:
声明:本平台发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。
相关文章:
