如何进行DDoS防护呢?你能否确保对你的web服务器和应用程序提供高级别的DDoS攻击防护?DDoS即分布式拒绝服务攻击,是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
什么是DDoS攻击?
一旦企业网站遭受DDoS攻击,都会影响波及很多的客户,损失不能说不惨重。因此许多企业对DDoS攻击恨得咬牙切齿,却很难找到解决办法。那么到底什么是DDoS攻击呢?
想象一下,有人使用不同的电话号码一遍又一遍地打电话给你,而你又无法将他们列入黑名单。最终你可能会选择关闭手机,从而避免骚扰。这个场景就是常见的分布式拒绝服务(DDoS)攻击的样子。
DDoS攻击是如何发起的呢?
DDoS攻击的破坏力很大,足以威胁到整个国家的关键基础设施,这个事实可以解释为何诸多政府部门在开始要求:必须制定DDoS缓解方案。如果企业遭遇DDoS攻击的话,对于企业来说会是一次巨大的打击。在发起DDoS攻击前需要先搜集目标,刺探军情,然后确定攻击时间段,以此完成一次完整的DDoS攻击过程。
那么企业应该采取哪些DDoS防护措施呢?具体方式如下:
1、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上了。
2、把网站做成静态页面或者伪静态
减少动态脚本的使用,这样能大大提高抗攻击能力,也让黑客不那么容易入侵,此外如果需要调用数据库的脚本,一定要拒绝代理服务的访问。如新浪、搜狐、网易等门户网站主要都是静态页面。
3、采用高性能的网络设备
首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。
4、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,会较大降低网络通信能力,但有些时候必须使用NAT,那就没有好办法了。
5、隐藏服务器的真实IP地址
服务器前端加CDN中转,如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。
6、部署CDN
CDN 指的是网站的静态内容分发到多个服务器,用户就近访问,提高速度。因此,CDN 也是带宽扩容的一种DDoS防护方法。
7、增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统,本身就具备一定的DDoS防护能力,只是默认状态下没有开启而已。若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个。
8、拦截含特定词语的HTTP 请求
HTTP 请求的特征一般有两种:IP 地址和 User Agent 字段。比如,恶意请求都是从某个 IP 段发出的,那么把这个 IP 段封掉就行。或者,它们的 User Agent 字段有特征(包含某个特定的词语),那就把带有这个词语的请求拦截。
9、定期检查
(1)定期扫描漏洞,时打上补丁。要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。(2)检查访客来源。许多黑客经常使用假IP地址来迷惑用户,很难找到它的来源。使用单播反向路径转发等方法,通过反向路由器查询,检查访客IP地址是否为真,如果为假,则屏蔽,有助于提高网络安全性。
结论
黑客不断使用和改进DDoS攻击来破坏特定服务、大小型企业甚至公共和非营利组织的工作。主要目的是耗尽受害者的资源,从而使他们的服务、应用程序或网站崩溃。虽然无法完全阻止DDoS攻击的发生,但有一些有效的DDoS防护技术和方法可用于增强基础设施抵御DDoS攻击并减轻其后果。
深圳市飞博可科技有限公司是专业的网络安全高防公司,旗下无敌防护平台专注于DDoS流量攻击防护、CC防护等网络安全。公司总部位于深圳市南山高新技术产业园区,核心团队由前百度腾讯安全团队及电信运营商团队组成,旗下无敌防护平台是公司核心平台。
本文来自:https://www.zhuanqq.com/News/Industry/217.html
