DDoS 是一種耗盡攻擊目標的系統資源導致其無法響應正常的服務請求的攻擊方式,DDoS 的防護系統,本質上是一個基於資源較量和規則過濾的智能化系統。面對DDoS攻擊,常見的防禦方式有哪些:
1、採用高性能的網絡設備
首先需要保證路由器、交換機、硬件防火牆等網絡設備的性能,當發生DDoS攻擊的時候,用足夠性能的機器、容量去承受攻擊,充分利用網絡設備保護網絡資源是十分有效的應對策略。
2、保證服務器系統的安全
首先要確保服務器軟件沒有任何漏洞,防止攻擊者入侵。確保服務器採用最新系統,並打上安全補丁。在服務器上刪除未使用的服務,關閉未使用的端口。對於服務器上運行的網站,確保其打了最新的補丁,沒有安全漏洞。
3、充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論採取什麼措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主幹上了。但需要注意的是,主機上的網卡是1000M的並不意味着它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等於就有了百兆的帶寬,因爲網絡服務商很可能會在交換機上限制實際帶寬爲10M,這點一定要搞清楚。
4、把網站做成靜態頁面或者僞靜態
大量事實證明,把網站儘可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在爲止關於HTML的溢出還沒出現。如果非需要動態腳本調用,那就把它弄到另外一臺單獨主機去,免的遭受攻擊時連累主服務器,當然,適當放一些不做數據庫調用腳本還是可以的。
5、增強操作系統的TCP/IP棧
Windows操作系統本身就具備一定的抵抗DDoS攻擊的能力,只是默認狀態下沒有開啓而已,若開啓的話可抵擋約10000個SYN攻擊包,若沒有開啓則僅能抵禦數百個,具體怎麼開啓,還需自行去微軟官網瞭解。
6、HTTP 請求的攔截
HTTP 請求的特徵一般有兩種:IP 地址和 User Agent 字段。比如,惡意請求都是從某個 IP 段發出的,那麼把這個 IP 段封掉就行。或者,它們的 User Agent 字段有特徵(包含某個特定的詞語),那就把帶有這個詞語的請求攔截。
7、部署CDN
CDN 指的是網站的靜態內容分發到多個服務器,用戶就近訪問,提高速度。因此,CDN 也是帶寬擴容的一種方法,可以用來防禦 DDOS 攻擊。
8、隱藏服務器的真實IP地址
服務器前端加CDN中轉,如果資金充裕的話,可以購買高防的盾機,用於隱藏服務器真實IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服務器上部署的其他域名也不能使用真實IP解析,全部都使用CDN來解析。
9、定期檢查
企業網骨幹需要定期檢查主要的網絡節點,清查可能會出現的問題,對於新出現的漏洞及時處理。主要因爲是骨幹節點本身就具有很高的帶寬,這是黑客們可以利用的好位置,所以說要加強這些主機是十分必要的。
10、利用專業的安全防護產品
比如騰訊雲的DDoS防護或者阿里雲的DDoS防護產品。自動快速的緩解網絡攻擊對業務造成的延遲增加,訪問受限,業務中斷等影響,從而減少業務損失,降低潛在DDoS攻擊風險。
隨着全球互聯網業務和雲計算的發展熱潮,可以預見到,針對雲數據中心的DDoS攻擊頻率還會大幅度增長,攻擊手段也會更加複雜。安全工作是一個長期持續性而非階段性的工作,所以需要時刻保持一種警覺,而且網絡安全不僅僅是某家企業的責任,更是全社會的共同責任,需要大家共同努力。
參考來源:知乎