站务联系
DDoS分布式拒绝服务攻击采取的防御方式就是分布式的,在防御的方式改变了传统的点对点的防御机制,使防御方法出现了没有规律的状况,而且在进行防御的时侯,通常使用的只是常见的合同跟服务,这样也是从合同跟服务的类别上是很难对防御进行辨别的。在进行防御的时侯,攻击数据包都是经过伪装的,在源IP地址上只是进行编造的服务器托管,这样就很难对防御进行地址的确定,在查找方面只是很难的。这样就造成了分布式拒绝服务攻击在检测方式上是很难做到的。
DDoS攻击可以通过运用服务器上的漏洞,或者消耗服务器上的资源(例如显存、硬盘等等)来达到目的。DDoS攻击主要要两大类:带宽用尽防御跟资源用尽防御.为了有效遏止这两种类别的防御,你可以根据下边列举的方法来做:
1、如果只有几台计算机是防御的来源,并且你已然确定了很多来源的IP地址,你就在防火墙服务器上放置一份ACL(访问控制列表)来阻断那些来自某些IP的访问。如果或许的话将web服务器的IP地址变更一段时间,但是假如攻击者通过查询你的DNS服务器解读至你新设定的IP,那这一举措及不再有效了。
2、如果你确定防御来自一个特定的国家,可以考虑将来自哪个国家的IP阻断,至少要阻断一段时间。
3、监控踏入的网路流量。通过这些手段可以晓得谁在访问你的网路,可以监控至异常的访问者,可以在事后剖析日志跟来源IP。在进行大规模的防御之前,攻击者可能会让 用少量的防御来检测你网路的健壮性。
4、对付码率消耗型的防御来说,最有效(也太高昂)的解决方案是订购更多的码率。
5、也可以使用高性能的负载均衡硬件,使用多台服务器,并布署在不同的数据中心。
6、对web跟其他资源使用负载均衡的同时,也使用相似的策略来保护DNS。
7、优化资源使用增强webserver的负载能力。例如,使用apache可以安装apachebooster插件,该插件与varnish跟nginx集成,可以规避突增的流量跟显存占用。
8、使用高可扩展性的DNS设备来保护针对DNS的DDOS攻击。可以考虑订购Cloudfair的商业解决方案服务器托管,它可以提供针对DNS或TCP/IP3至7层的DDOS攻击保护。
9、启用路由器或防火墙的反IP欺诈功能。
10、使用第三方的服务来保护你的网站。有不少公司有这么的服务,提供高性能的基础网路设施帮你抵抗拒绝服务攻击。
11、注意服务器的安全配置,避免资源耗尽型的DDOS攻击。
12、听从学者的意见,针对防御事先做好规避的应急方案。
13、监控网路跟web的流量。如果有或许可以配置多个剖析工具,例如:Statcounter跟Googleanalytics,这样可以更直观了解到流量变化的机制,从中获取更多的信息。
14、保护好DNS防止DNS放大防御。
15、在路由器上禁用ICMP。仅在还要检测时开放ICMP。在配置路由器时也考虑下边的策略:流控,包过滤,半连结超时,垃圾包扔掉,来源编造的数据包遗弃,SYN阈值,禁用ICMP跟UDP广播。
服务器的事就找菊石
