11種方法教你有效防禦DDOS攻擊!
DDOS攻擊是當下最常見,也是危害極大的一種網路攻擊方式,該攻擊方式透過大量的無用請求佔用網路資源,從而造成網路堵塞、伺服器癱瘓等目的,如果不幸遭遇DDOS攻擊,將會對企業的業務和形象造成嚴重的影響,所以如何有效防禦DDOS攻擊便成為大家關注的話題。本篇文章小編透過11種方法教你有效防禦DDOS攻擊,快來看看吧!
1、採用高效能的網路裝置
首先要保證網路裝置不能成為瓶頸,因此選擇路由器、交換機、硬體防火牆等裝置的時候要儘量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關係或協議的話就更好了,當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某種類的DDOS攻擊是非常有效的。
2、儘量避免NAT的使用
無論是路由器還是硬體防護牆裝置要儘量避免採用網路地址轉換NAT的使用,因為採用此技術會較大降低網路通訊能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網路包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。
3、充足的網路頻寬保證
網路頻寬直接決定了能抗受攻擊的能力,假若僅僅有10M頻寬的話,無論採取什麼措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享頻寬,最好的當然是掛在1000M的主幹上了。但需要注意的是,主機上的網路卡是1000M的並不意味著它的網路頻寬就是千兆的,若把它接在100M的交換機上,它的實際頻寬不會超過100M,再就是接在100M的頻寬上也不等於就有了百兆的頻寬,因為網路服務商很可能會在交換機上限制實際頻寬為10M,這點一定要搞清楚。
4、升級主機伺服器硬體
在有網路頻寬保證的前提下,請儘量提升硬體配置,要有效對抗每秒10萬個SYN攻擊包,伺服器的配置至少應該為:P42.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和記憶體,若有志強雙CPU的話就用它,記憶體一定要選擇DDR的高速記憶體,硬碟要儘量選擇SCSI的,別貪圖IDE價格不貴量還足的便宜,否則會付出高昂的效能代價,再就是網路卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5、將網站做成靜態頁面或者偽靜態
事實證明,將網站做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給駭客入侵帶來不少麻煩,至少到現在為止關於HTML的溢位還沒出現。現在很多入口網站主要都是靜態頁面,若你非要動態指令碼呼叫,那就把它弄到另外一個單獨主機,免的遭受攻擊時連累主伺服器。當然,適當放一些不做資料庫呼叫指令碼還是可以的,此外,最好在需要呼叫資料庫的指令碼中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬於惡意行為。
6、增強作業系統的TCP/IP棧
win2000和win2003作為伺服器作業系統,本身就具備一定的抵抗DDOS攻擊的能力,只是預設狀態下沒有開啟而已,若開啟的話可抵抗約10000個SYN攻擊包,若沒有開啟則僅能抵抗數百個。
7、安裝專業抗DDOS防火牆
8、HTTP請求攔截
如果惡意請求有特徵,對付起來很簡單,直接攔截就可以。HTTP請求的特徵一般有兩種:IP地址和User Agent欄位。
9、備份網站
你要有一個備份網站,或者最低限度有一個臨時主頁。生產伺服器萬一下線了,可以立刻切換到備份網站,不至於毫無辦法。
備份網站不一定是全功能的,如果能做到全靜態瀏覽,就能滿足需求,最低限度應該可以顯示公告,告訴使用者,網站出了問題,正在搶修。這種臨時主頁建議放到Github Pages或者Netlify,它們的頻寬大,可以應對攻擊,而且都支援繫結域名,還能從原始碼自動構建。
10、部署CDN
CDN指的是網站的靜態內容分佈到多個伺服器,使用者就近訪問,提高速度。因此,CDN也是頻寬擴容的一種方法,可以用來防禦DDOS攻擊。
網站內容存放在源伺服器,CDN上面是內容的快取。使用者只允許訪問CDN,如果內容不在CDN上,CDN再向源伺服器發出請求。這樣的話,只要CDN夠大,就可以抵禦很大的攻擊。不過,這種方法有一個前提,網站的大部分內容必須可以靜態快取。對於動態內容為主的網站,就要想別的辦法,儘量減少使用者對動態資料的請求;本質就是自己搭建一個微型CDN。各大雲服務商提供的高防IP,背後也是這樣做的:網站域名指向高防IP,它提供了一個緩衝層,清洗流量,並對源伺服器的內容進行快取。
這裡有一個關鍵點,一旦上了CDN,千萬不要洩露源伺服器的IP地址,否則攻擊者可以繞過CDN直接攻擊源伺服器,前面的努力都白費了。
11、其他防禦手段
以上的幾條建議,適合絕大多數擁有自己主機的使用者,但假如採取以上措施後仍然不能解決DDOS問題,就比較麻煩了,可能需要更多投資,增加伺服器數量並採用DNS輪巡或負載均衡技術,甚至需要購買七層交換機裝置,從而使得抗DDOS攻擊能力成倍提高,只要投資足夠深入。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69952527/viewspace-2886933/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- DDoS攻擊頻發,科普防禦DDoS攻擊的幾大有效方法
- 如何有效防禦DDoS攻擊和CC攻擊?
- 聚焦DDoS安全,分享防禦DDoS攻擊的幾大有效方法
- DDOS和CC攻擊該如何有效防禦
- DDOS攻擊原理,種類及其防禦
- DDoS攻擊、CC攻擊的攻擊方式和防禦方法
- 一文讀懂DDoS,分享防禦DDoS攻擊的幾大有效方法
- DDOS伺服器防禦的方法有哪些,如何防禦DDOS攻擊伺服器
- 【網路安全】如何有效地防禦DDOS攻擊和CC攻擊?
- DDoS攻擊的危害是什麼?如何防禦DDoS攻擊?
- 淺談DDos攻擊與防禦
- 【網路安全入門知識】如何有效防禦DDoS攻擊和CC攻擊?
- 5 種方法,教你如何防禦供應鏈網路攻擊
- 網路攻擊盯上民生領域,應對DDoS和APT攻擊,如何有效防禦?APT
- DDoS攻擊激增,分享高效可靠的DDoS防禦方案
- 如何防禦惡意流量攻擊(CC、DDoS)?
- DDoS攻擊的手段有哪些?如何防禦?
- XXE攻擊是什麼?如何有效防禦XXE攻擊?
- 帶你走近DDoS攻擊,一文教你防禦DDoS將危害最小化
- 在Linux中,什麼是DDoS攻擊?如何在Linux中防禦DDoS攻擊?Linux
- DDoS 攻擊與防禦:從原理到實踐
- 網際網路公司如何防禦DDoS攻擊?
- 綜述論文:對抗攻擊的12種攻擊方法和15種防禦方法
- DDoS攻擊是什麼?網站DDoS防禦策略有哪些?網站
- 你的防禦DDoS方案可防多少種攻擊你瞭解過嗎?
- cc攻擊防禦解決方法
- 如何防禦DDoS攻擊?學習網路安全多久?
- 恆訊科技的DDoS攻擊防禦解決方案
- 什麼是DDoS攻擊?如何防範DDoS攻擊?
- CC攻擊分為幾種?遭遇CC攻擊如何防禦?
- DDoS攻擊原理是什麼?防禦措施都有哪些呢?
- 如何防禦DDOS攻擊?網路安全技術學多久?
- 運維和IT技術需知的DDOS攻擊防禦整理運維
- 在面對攻擊時,怎麼樣有效防禦?
- 伺服器為什麼經常被攻擊?DDoS攻擊和防禦介紹伺服器
- 防止惡意攻擊,伺服器DDoS防禦軟體科普伺服器
- 面對境外網路的攻擊,該如何有效防禦?
- 如何有效防禦XSS攻擊?網路安全學習教程