1.减少公开暴露
对于企业来说,减少公开暴露是防御 DDoS 攻击的有效方式,对 PSN 网络设置安全群组和私有网络,及时关闭不必要的服务等方式,能够有效防御网络黑客对于系统的窥探和入侵。具体措施包括禁止对主机的非开放服务的访问,限制同时打开的 SYN 最大连接数,限制特定 IP 地址的访问,启用防火墙的防 DDoS 的属性等。
2.利用扩展和冗余
DDoS 攻击针对不同协议层有不同的攻击方式,因此我们必须采取多重防护措施。利用扩展和冗余可以防患于未然,保证系统具有一定的弹性和可扩展性,确保在 DDoS 攻击期间可以按需使用,尤其是系统在多个地理区域同时运行的情况下。任何运行在云中的虚拟机实例都需要保证网络资源可用。
微软针对所有的 Azure 提供了域名系统(DNS)和网络负载均衡,Rackspace 提供了控制流量流的专属云负载均衡。结合 CDN 系统通过多个节点分散流量,避免流量过度集中,还能做到按需缓存,使系统不易遭受 DDoS 攻击。
3.充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力,假若仅仅有 10M 带宽的话,无论采取什么措施都很难对抗当今的 SYNFlood 攻击,至少要选择 100M 的共享带宽,最好的当然是挂在1000M 的主干上了。但需要注意的是,主机上的网卡是 1000M 的并不意味着它的网络带宽就是千兆的,若把它接在 100M 的交换机上,它的实际带宽不会超过 100M,再就是接在 100M 的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为 10M,这点一定要搞清楚。
4.分布式服务拒绝 DDoS 攻击
所谓分布式资源共享服务器就是指数据和程序可以不位于一个服务器上,而是分散到多个服务器。分布式有利于任务在整个计算机系统上进行分配与优化,克服了传统集中式系统会导致中心主机资源紧张与响应瓶颈的缺陷,分布式数据中心规模越大,越有可能分散 DDoS 攻击的流量,防御攻击也更加容易。
5.实时监控系统性能
除了以上这些措施,对于系统性能的实时监控也是预防 DDoS 攻击的重要方式。不合理的 DNS 服务器配置也会导致系统易受 DDoS 攻击,系统监控能够实时监控系统可用性、API、CDN 以及 DNS 等第三方服务商性能,监控网络节点,清查可能存在的安全隐患,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机加强监控是非常重要的。
当然最好的办法还是选择使用香港的高防服务器。
网站被攻击一般表现为访问速度慢或页面不能访问,这类攻击一般为流量攻击。流量攻击一般是竞争对手所为。遇到这样情况使用一般免费防御是起不作用的,你需要购买专业DDOS防御服务。具体购买多大的流量,你最好先咨询下你的网站服务器提供商,他们可以查看到攻击流量。较大流量攻击不会持续太久,一般攻击3-5天或一星期。他们攻击也需要需要成本的。
建议:网站程序每周或每月定期备份。数据库每天或每次更新后进行备份。一般被攻击后一段时间后会自动解除,如果不想造成不必要的损失可以升级服务器的防御,选择防御更强的高防服务器。
先在网络平台进行组建安全组 关掉不需要理由的端口 远程密码要难,升级网络带宽
看对方用的什么协议,攻击峰值是多少,然后自己选择防御级别,如果是udp,不需要就用封的。
DDoS攻击是最常见的一种应用层攻击手段,攻击者借助代理服务器生成指向目标系统的合法请求,造成服务器资源耗尽,一直到宕机崩溃。
DDoS攻击之所以会选择代理服务器就是因为这样可以有效的隐藏身份,还可以绕过防火墙,因为基本上所有的防火墙都会检测并发的TCP/IP连接数目,超过一定数目一定频率就会被认为是Connection-Flood。
当然也可以使用肉鸡来发动DDoS攻击,攻击者使用DDoS攻击软件控制大量肉鸡发动攻击,肉鸡可以模拟正常用户访问网站的请求伪造成合法数据包,相比前者来说更难防御。最让站长们担心的是DDoS攻击技术含量和成本非常低,利用更换IP代理工具和一些IP代理,一个初、中级的电脑水平的用户就能够实施攻击。
很多公司在受到DDoS攻击时,会选择用一些防火墙来进行防御,或者选择机房进行流量迁移和清洗,这种两种方法对于小流量攻击的确有效,而且价格也便宜。但是当攻击者使用大流量DDoS攻击时,这两种方法就完全防御不住了,这种情况就必须考虑接入高防了,高防的优势还是很明显的,配置简单,接入方便见效快,对于大流量攻击也完全不在话下。
解决方法:
1、选择带有硬件DDOS防火墙
目前大部分的硬防机房对100G以内的DDOS流量攻击都能做到有效防护。选择硬防主要是针对DDOS流量攻击这一块的,在设备出口处设置阈值针对于业务类型的阈值,比如门户型网站服务器,用户登录之后需要做的只是一些图片、文档的查阅,每一个IP向服务器发送的流量是很有限的,可能只有几十K的速率,那这时我们就可以针对于每一个访问IP设置一个阈值,如果一个IP接入服务器的速率超过100K,就将其暂时放入黑名单中,拒绝其后续的访问,然后在一段时间之后进行黑名单解除。这样的话,就可以避免大部分的DDOS攻击。
2、无防火墙的环境
如果企业没有防火墙,只有路由器做网关,如何防治DDOS?这时要基于攻击方式来做区分:
如果是用登录连接数作为攻击方式的话,我们可以在服务器上,针对于同一IP在一段时间内进行登录次数进行阈值的设置,例如,1分钟之后同一个IP登录超过5次,则暂时将该IP放入黑名单,拒绝其访问,一段时间之后再解禁即可。
如果是用流量拥堵的方式来进行攻击的话,则可以通过更换服务器IP的方式来暂时解决,然后在上游设备上将原有IP地址的下一跳置为空,也就是做一条空路由,这样就可以暂时解决DDOS流量攻击,当然,这是治标不治本的,最好的办法就是增加带宽,或者做服务器的负载均衡。
3、蔚可云DDos云清洗功能
DDoS云清洗是通过服务商全球广泛分布的清洗中心,为客户提供一个安全可靠的防护服务;DDoS云清洗会通过服务商自主研发防护算法,对线上大批攻击数据进行分析,并结合其全球智能调度系统进行实时检测,然后在边缘安全节点智能清洗各类DDoS攻击,例如CC攻击、SYN
Flood攻击、UDP Flood攻击等等,保障让客户相关业务依旧可安全及其稳定的运行,当其在受到大规模DDoS攻击的时候。
4、负载均衡技术
这一类主要针对DDOS攻击中的CC攻击进行防护,这种攻击手法使web服务器或其他类型的服务器由于大量的网络传输而过载,一般这些网络流量是针对某一个页面或一个链接而产生的。当然这种现象也会在访问量较大的网站上正常发生,但我们一定要把这些正常现象和分布式拒绝服务攻击区分开来。在企业网站加了负载均衡方案后,不仅有对网站起到CC攻击防护作用,也能将访问用户进行均衡分配到各个web服务器上,减少单个web服务器负担,加快网站访问速度。
5、高智能dns解析
这个是一个解析服务器,需要钱的。不过这个高智能dns解析系统与ddos防御系统可以很好的结合,可以为企业提供对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法,智能根据用户的上网路线将dns解析请求解析到用户所属网络的服务器。同时智能dns解析系统还有宕机检测功能,随时可将瘫痪的服务器ip智能更换成正常服务器ip,为企业的网络保持一个永不宕机的服务状态。