DDoS防禦的(de)八大(dà)方法詳解✔♣≥
來(lái)源:mozhe 2021-01-17
對(duì)付DDOS是(shì)一♣→¶(yī)個(gè)系統工(gōng)程,想僅僅依靠某種系統或産品防•✔γ住DDOS是(shì)不(bù)現(xiàn)實的(d φ♣$e),可(kě)以肯定
的(de)是(shì),完全杜絕DDOS目前是(s✘£hì)不(bù)可(kě)能(néng)的(de),但(dàn)通(tōng§•$✔)過适當的(de)措施抵禦90%的(de)DDoS攻擊是(shì)可(kě)以做(zuò)
到(dào)的(de),基于攻擊和(hé)防禦都(dōu)有(yǒu)成本開σφ÷(kāi)銷的(de)緣故,若通(tōng)過≤¶✘适當的(de)辦法增強了(le)抵禦DDOS的(de)能(néng)力,
也(yě)就(jiù)意味著(zhe)加大(dà)了(le)攻εφ♥★擊者的(de)攻擊成本,那(nà)麽絕大(dà)多(duō)數(&•shù)攻擊者将無法繼續下(xià)去(qù)而放(f∑>àng)棄,也(yě)就(jiù)相(xiàng)
當于成功的(de)抵禦了(le)DDoS攻擊。
DDoS防禦的(de)方法:
1、采用(yòng)高(gāo)性能(néng)的(de)網÷≈絡設備
首先要(yào)保證網絡設備不(bù)能®£ε(néng)成為(wèi)瓶頸,因此選擇路(♦÷lù)由器(qì)、交換機(jī)、硬件(jiàn)£¥防火(huǒ)牆等設備的(de)時(shí)候要(y≥™₽δào)
盡量選用(yòng)知(zhī)名度高(gāo)、口碑好(hǎo±±)的(de)産品。再就(jiù)是(shì)假如(rú)和(hé)網絡提供商有★↕✘(yǒu)特殊關系或協議(yì)的(de)話(huà)就(jiù)更好(hǎo)
了(le),當大(dà)量攻擊發生(shēng)的(de)時(shí)候請(q≥φ ǐng)他(tā)們在網絡接點處做(zuò ®)一(yī)下(xià)流量限制(zhì)來(lái)對(duì)↓γ>抗某些(xiē)種類的(de)DDOS攻
擊是(shì)非常有(yǒu)效的(de)。
2、盡量避免NAT的(de)使用(yòng)
無論是(shì)路(lù)由器(qì)還(hái)是(shì)硬件(jià×εγ"n)防護牆設備要(yào)盡量避免采用(yòng)網絡地(dì)址$ ×轉換NAT的(de)使用(yòng),因為('✘wèi)采用(yòng)此
技(jì)術(shù)會(huì)較大(dà)降低(dī)網絡通(tōng≥♦)信能(néng)力,其實原因很(hěn)簡單π₩¶γ,因為(wèi)NAT需要(yào)對(duì)地(dì)址來(lái)βΩ回轉換,轉換過
程中需要(yào)對(duì)網絡包的(de)校(xià£≥π↔o)驗和(hé)進行(xíng)計(jì)算(sΩ±☆uàn),因此浪費(fèi)了(le)很(hěn)多(duō)CPU的(d®<→αe)時(shí)間(jiān),但(dàn)有(yǒu)些(↔♦≠®xiē)時(shí)候必須使用(yòng)
NAT,那(nà)就(jiù)沒有(yǒ₹∏€u)好(hǎo)辦法了(le)。
3、充足的(de)網絡帶寬保證
網絡帶寬直接決定了(le)能(néng)抗受攻擊的(de)能(nα™éng)力,假若僅僅有(yǒu)10M帶寬的(de)話(huà),無 ™論采取什(shén)麽措施都(dōu)
很(hěn)難對(duì)抗現(xiàn)在 σ&的(de)SYNFlood攻擊,當前至少(s™εhǎo)要(yào)選擇100M的(de)共享帶寬,最好(hǎo)的(de•☆)當然是(shì)挂在
1000M的(de)主幹上(shàng)了(le)。但(dàn)需•↓要(yào)注意的(de)是(shì),€$主機(jī)上(shàng)的(de)網卡是(shì)100₽✘☆0M的(de)并不(bù)意味著(zhe)它的(de)→∞網絡帶寬
就(jiù)是(shì)千兆的(de),若把它接在1÷ 00M的(de)交換機(jī)上(shàng),它的(de)實際× 帶寬不(bù)會(huì)超過100M,再就(jiù)是(shì)接㶮在100M
的(de)帶寬上(shàng)也(yě)不(bù)✔™等于就(jiù)有(yǒu)了(le)百兆的(de)帶寬,因為(wèi)網絡§§≤服務商很(hěn)可(kě)能(néng)會(huì)在交換機(jī)上(s≈✔hàng)限制(zhì)實際帶寬為(wèi)
10M,這(zhè)點一(yī)定要(yào)≤↑£搞清楚。
4、升級主機(jī)服務器(qì)硬件(jiàn)
在有(yǒu)網絡帶寬保證的(de)前提下(x≥ ià),請(qǐng)盡量提升硬件(jiàn)配♦∏£置,要(yào)有(yǒu)效對(duì)抗每秒(miǎ→Ω≠o)10萬個(gè)SYN攻擊包,
服務器(qì)的(de)配置至少(shǎo)應該為(wèi):P4↓ 2.4G/DDR512M/SCSI-HD,起關鍵作(zuò)用(yòn♠§ g)的(de)主要(yào)是(shì)CPU和♣σ(hé)內(nèi)存,
若有(yǒu)志(zhì)強雙CPU的(de)話(huà)就 α✔←(jiù)用(yòng)它吧(ba),內(nèi)存一(yī)€Ω≥定要(yào)選擇DDR的(de)高(gāo)速內(n© →€èi)存,硬盤要(yào)盡量選擇SCSI的(de←∞β),
别隻貪IDE價格不(bù)貴量還(hái)足的(de)便宜,否則會(hu€₩♣ì)付出高(gāo)昂的(de)性能(néng)代價,再就(jiù)是(sh쀕®φ)網卡一(yī)定要(yào)選用(yòng)
3COM或Intel等名牌的(de),若是(shì)Re♦✔≤☆altek的(de)還(hái)是(shì)用(yòng)在自(zì)己€ 的(de)PC上(shàng)吧(ba)。
5、把網站(zhàn)做(zuò)成靜(♦∏jìng)态頁面
大(dà)量事(shì)實證明(míng),把網站(zhàn)盡可✔♣&(kě)能(néng)做(zuò)成靜(jìng)态頁面,不(bù)僅 •λ能(néng)大(dà)大(dà)提高(gāo)抗≤¥ 攻擊能(néng)力,而且還(hái)給黑λα€(hēi)客入
侵帶來(lái)不(bù)少(shǎo)麻煩,至少(shǎo)到(dào)δ₽"←現(xiàn)在為(wèi)止關于HTML的(de)溢出還£♣(hái)沒出現(xiàn),看(kàn)看(kàn)吧↔ε(ba)!新浪、搜狐、網易
等門(mén)戶網站(zhàn)主要(yào)都(dōu)是(shì)靜(↓"λjìng)态頁面,若你(nǐ)非需要(yào)動态腳本調用(y§≥λòng),那(nà)就(jiù)把它弄到(dào)另外(wài)一(yī☆♠→ )台單獨主機(jī)
去(qù),免的(de)遭受攻擊時(shí)連累主服≈ 務器(qì),當然,适當放(fàng)一(yī)γβ些(xiē)不(bù)做(zuò)數(shù)據庫調用(yòng)腳本還(háσΩ₽φi)是(shì)可(kě)以的(de),此
外(wài),最好(hǎo)在需要(yàε§o)調用(yòng)數(shù)據庫的(de)腳本中拒絕使用(yσ∑≥òng)代理(lǐ)的(de)訪問(wèn),因 γ∑為(wèi)經驗表明(míng)使用(yòng)代理(δ≥ε±lǐ)訪問(wèn)你(nǐ)網
站(zhàn)的(de)80%屬于惡意行>☆π'(xíng)為(wèi)。
6、增強操作(zuò)系統的(de)TCP/IP棧
Win2000和(hé)Win2003作(zuò)為£♣★(wèi)服務器(qì)操作(zuò)系統,本身(shēn)就(ji' λ±ù)具備一(yī)定的(de)抵抗DDOS攻擊的(de)能(néng)力,隻♦♥≠≤是(shì)
默認狀态下(xià)沒有(yǒu)開(kāi)啓而已,若開(k"€āi)啓的(de)話(huà)可(kě)抵擋約10000個(gè)$♥≤SYN攻擊包,若沒有(yǒu)開(kāi)啓則僅能(néng)
抵禦數(shù)百個(gè),具體(tǐ)怎麽開≠ > (kāi)啓,自(zì)己去(qù)看(kàn)微(wēi)軟×的(de)文(wén)章(zhāng)吧(ba)!《強化(huà)✘↕TCP/IP堆棧安全》。
也(yě)許有(yǒu)的(de)人(r£↕én)會(huì)問(wèn),那(nà)☆<我用(yòng)的(de)是(shì)Linux和(hé¥α)FreeBSD怎麽辦?很(hěn)簡單,按照(zhào)這♠ ®Ω(zhè)篇文(wén)章(zhāng)去(qù)做( ✘zuò)吧(ba)!《SYN
Cookies》。
7、安裝專業(yè)抗DDOS防火(huǒ)牆
8、其他(tā)防禦措施
以上(shàng)幾條對(duì)抗DDO♣ ₹S建議(yì),适合絕大(dà)多(du₽♦←φō)數(shù)擁有(yǒu)自(zì)己主機(jī)的(de)用∑∞¶→(yòng)戶,但(dàn)假如(rú)采取以上(shàng)措施後仍然
不(bù)能(néng)解決DDOS問(wèn)γ≠β題,就(jiù)有(yǒu)些(xiē)麻煩了(le),σ★↓ε可(kě)能(néng)需要(yào)更多(duō)投資 ¥ ,增加服務器(qì)數(shù)量并采用(yòng)DNS Ω輪
巡或負載均衡技(jì)術(shù),甚至♥€需要(yào)購(gòu)買七層交換機(jī)設備,從©σδ(cóng)而使得(de)抗DDOS攻擊能≠ (néng)力成倍提高(gāo),
隻要(yào)投資足夠深入。
DDoS防禦的(de)八大(dà)方法就(jiù)向你(nǐ)介紹到(dào)這₽∑®(zhè)裡(lǐ),希望對(duì)你∑↕←(nǐ)了(le)解和(hé)掌握DDoS防禦有(y¥©©ǒu)所幫助。
關于墨者安全
墨者安全緻力于安全防護、服務器(qì)高(gāo)防、網絡高(gāo)防、←≤₩ddos防護、cc防護、dns防護、防劫β©✘持、高(gāo)防服務器(qì)、高(gāo)防dns、網站(zhà×&n)防護等方面的(de)服務,全網第一(yī)款↑α∞π指紋識别技(jì)術(shù)防火(huǒ)牆,自♥≠(zì)研的(de)WAF指紋識别架構,提供任意CC和λ©∑(hé)DDoS攻擊防禦。
的(de)是(shì),完全杜絕DDOS目前是(s✘£hì)不(bù)可(kě)能(néng)的(de),但(dàn)通(tōng§•$✔)過适當的(de)措施抵禦90%的(de)DDoS攻擊是(shì)可(kě)以做(zuò)
到(dào)的(de),基于攻擊和(hé)防禦都(dōu)有(yǒu)成本開σφ÷(kāi)銷的(de)緣故,若通(tōng)過≤¶✘适當的(de)辦法增強了(le)抵禦DDOS的(de)能(néng)力,
也(yě)就(jiù)意味著(zhe)加大(dà)了(le)攻εφ♥★擊者的(de)攻擊成本,那(nà)麽絕大(dà)多(duō)數(&•shù)攻擊者将無法繼續下(xià)去(qù)而放(f∑>àng)棄,也(yě)就(jiù)相(xiàng)
當于成功的(de)抵禦了(le)DDoS攻擊。
1、采用(yòng)高(gāo)性能(néng)的(de)網÷≈絡設備
首先要(yào)保證網絡設備不(bù)能®£ε(néng)成為(wèi)瓶頸,因此選擇路(♦÷lù)由器(qì)、交換機(jī)、硬件(jiàn)£¥防火(huǒ)牆等設備的(de)時(shí)候要(y≥™₽δào)
盡量選用(yòng)知(zhī)名度高(gāo)、口碑好(hǎo±±)的(de)産品。再就(jiù)是(shì)假如(rú)和(hé)網絡提供商有★↕✘(yǒu)特殊關系或協議(yì)的(de)話(huà)就(jiù)更好(hǎo)
了(le),當大(dà)量攻擊發生(shēng)的(de)時(shí)候請(q≥φ ǐng)他(tā)們在網絡接點處做(zuò ®)一(yī)下(xià)流量限制(zhì)來(lái)對(duì)↓γ>抗某些(xiē)種類的(de)DDOS攻
擊是(shì)非常有(yǒu)效的(de)。
2、盡量避免NAT的(de)使用(yòng)
無論是(shì)路(lù)由器(qì)還(hái)是(shì)硬件(jià×εγ"n)防護牆設備要(yào)盡量避免采用(yòng)網絡地(dì)址$ ×轉換NAT的(de)使用(yòng),因為('✘wèi)采用(yòng)此
技(jì)術(shù)會(huì)較大(dà)降低(dī)網絡通(tōng≥♦)信能(néng)力,其實原因很(hěn)簡單π₩¶γ,因為(wèi)NAT需要(yào)對(duì)地(dì)址來(lái)βΩ回轉換,轉換過
程中需要(yào)對(duì)網絡包的(de)校(xià£≥π↔o)驗和(hé)進行(xíng)計(jì)算(sΩ±☆uàn),因此浪費(fèi)了(le)很(hěn)多(duō)CPU的(d®<→αe)時(shí)間(jiān),但(dàn)有(yǒu)些(↔♦≠®xiē)時(shí)候必須使用(yòng)
NAT,那(nà)就(jiù)沒有(yǒ₹∏€u)好(hǎo)辦法了(le)。
3、充足的(de)網絡帶寬保證
網絡帶寬直接決定了(le)能(néng)抗受攻擊的(de)能(nα™éng)力,假若僅僅有(yǒu)10M帶寬的(de)話(huà),無 ™論采取什(shén)麽措施都(dōu)
很(hěn)難對(duì)抗現(xiàn)在 σ&的(de)SYNFlood攻擊,當前至少(s™εhǎo)要(yào)選擇100M的(de)共享帶寬,最好(hǎo)的(de•☆)當然是(shì)挂在
1000M的(de)主幹上(shàng)了(le)。但(dàn)需•↓要(yào)注意的(de)是(shì),€$主機(jī)上(shàng)的(de)網卡是(shì)100₽✘☆0M的(de)并不(bù)意味著(zhe)它的(de)→∞網絡帶寬
就(jiù)是(shì)千兆的(de),若把它接在1÷ 00M的(de)交換機(jī)上(shàng),它的(de)實際× 帶寬不(bù)會(huì)超過100M,再就(jiù)是(shì)接㶮在100M
的(de)帶寬上(shàng)也(yě)不(bù)✔™等于就(jiù)有(yǒu)了(le)百兆的(de)帶寬,因為(wèi)網絡§§≤服務商很(hěn)可(kě)能(néng)會(huì)在交換機(jī)上(s≈✔hàng)限制(zhì)實際帶寬為(wèi)
10M,這(zhè)點一(yī)定要(yào)≤↑£搞清楚。
4、升級主機(jī)服務器(qì)硬件(jiàn)
在有(yǒu)網絡帶寬保證的(de)前提下(x≥ ià),請(qǐng)盡量提升硬件(jiàn)配♦∏£置,要(yào)有(yǒu)效對(duì)抗每秒(miǎ→Ω≠o)10萬個(gè)SYN攻擊包,
服務器(qì)的(de)配置至少(shǎo)應該為(wèi):P4↓ 2.4G/DDR512M/SCSI-HD,起關鍵作(zuò)用(yòn♠§ g)的(de)主要(yào)是(shì)CPU和♣σ(hé)內(nèi)存,
若有(yǒu)志(zhì)強雙CPU的(de)話(huà)就 α✔←(jiù)用(yòng)它吧(ba),內(nèi)存一(yī)€Ω≥定要(yào)選擇DDR的(de)高(gāo)速內(n© →€èi)存,硬盤要(yào)盡量選擇SCSI的(de←∞β),
别隻貪IDE價格不(bù)貴量還(hái)足的(de)便宜,否則會(hu€₩♣ì)付出高(gāo)昂的(de)性能(néng)代價,再就(jiù)是(sh쀕®φ)網卡一(yī)定要(yào)選用(yòng)
3COM或Intel等名牌的(de),若是(shì)Re♦✔≤☆altek的(de)還(hái)是(shì)用(yòng)在自(zì)己€ 的(de)PC上(shàng)吧(ba)。
5、把網站(zhàn)做(zuò)成靜(♦∏jìng)态頁面
大(dà)量事(shì)實證明(míng),把網站(zhàn)盡可✔♣&(kě)能(néng)做(zuò)成靜(jìng)态頁面,不(bù)僅 •λ能(néng)大(dà)大(dà)提高(gāo)抗≤¥ 攻擊能(néng)力,而且還(hái)給黑λα€(hēi)客入
侵帶來(lái)不(bù)少(shǎo)麻煩,至少(shǎo)到(dào)δ₽"←現(xiàn)在為(wèi)止關于HTML的(de)溢出還£♣(hái)沒出現(xiàn),看(kàn)看(kàn)吧↔ε(ba)!新浪、搜狐、網易
等門(mén)戶網站(zhàn)主要(yào)都(dōu)是(shì)靜(↓"λjìng)态頁面,若你(nǐ)非需要(yào)動态腳本調用(y§≥λòng),那(nà)就(jiù)把它弄到(dào)另外(wài)一(yī☆♠→ )台單獨主機(jī)
去(qù),免的(de)遭受攻擊時(shí)連累主服≈ 務器(qì),當然,适當放(fàng)一(yī)γβ些(xiē)不(bù)做(zuò)數(shù)據庫調用(yòng)腳本還(háσΩ₽φi)是(shì)可(kě)以的(de),此
外(wài),最好(hǎo)在需要(yàε§o)調用(yòng)數(shù)據庫的(de)腳本中拒絕使用(yσ∑≥òng)代理(lǐ)的(de)訪問(wèn),因 γ∑為(wèi)經驗表明(míng)使用(yòng)代理(δ≥ε±lǐ)訪問(wèn)你(nǐ)網
站(zhàn)的(de)80%屬于惡意行>☆π'(xíng)為(wèi)。
6、增強操作(zuò)系統的(de)TCP/IP棧
Win2000和(hé)Win2003作(zuò)為£♣★(wèi)服務器(qì)操作(zuò)系統,本身(shēn)就(ji' λ±ù)具備一(yī)定的(de)抵抗DDOS攻擊的(de)能(néng)力,隻♦♥≠≤是(shì)
默認狀态下(xià)沒有(yǒu)開(kāi)啓而已,若開(k"€āi)啓的(de)話(huà)可(kě)抵擋約10000個(gè)$♥≤SYN攻擊包,若沒有(yǒu)開(kāi)啓則僅能(néng)
抵禦數(shù)百個(gè),具體(tǐ)怎麽開≠ > (kāi)啓,自(zì)己去(qù)看(kàn)微(wēi)軟×的(de)文(wén)章(zhāng)吧(ba)!《強化(huà)✘↕TCP/IP堆棧安全》。
也(yě)許有(yǒu)的(de)人(r£↕én)會(huì)問(wèn),那(nà)☆<我用(yòng)的(de)是(shì)Linux和(hé¥α)FreeBSD怎麽辦?很(hěn)簡單,按照(zhào)這♠ ®Ω(zhè)篇文(wén)章(zhāng)去(qù)做( ✘zuò)吧(ba)!《SYN
Cookies》。
7、安裝專業(yè)抗DDOS防火(huǒ)牆
8、其他(tā)防禦措施
以上(shàng)幾條對(duì)抗DDO♣ ₹S建議(yì),适合絕大(dà)多(du₽♦←φō)數(shù)擁有(yǒu)自(zì)己主機(jī)的(de)用∑∞¶→(yòng)戶,但(dàn)假如(rú)采取以上(shàng)措施後仍然
不(bù)能(néng)解決DDOS問(wèn)γ≠β題,就(jiù)有(yǒu)些(xiē)麻煩了(le),σ★↓ε可(kě)能(néng)需要(yào)更多(duō)投資 ¥ ,增加服務器(qì)數(shù)量并采用(yòng)DNS Ω輪
巡或負載均衡技(jì)術(shù),甚至♥€需要(yào)購(gòu)買七層交換機(jī)設備,從©σδ(cóng)而使得(de)抗DDOS攻擊能≠ (néng)力成倍提高(gāo),
隻要(yào)投資足夠深入。
DDoS防禦的(de)八大(dà)方法就(jiù)向你(nǐ)介紹到(dào)這₽∑®(zhè)裡(lǐ),希望對(duì)你∑↕←(nǐ)了(le)解和(hé)掌握DDoS防禦有(y¥©©ǒu)所幫助。
關于墨者安全
墨者安全緻力于安全防護、服務器(qì)高(gāo)防、網絡高(gāo)防、←≤₩ddos防護、cc防護、dns防護、防劫β©✘持、高(gāo)防服務器(qì)、高(gāo)防dns、網站(zhà×&n)防護等方面的(de)服務,全網第一(yī)款↑α∞π指紋識别技(jì)術(shù)防火(huǒ)牆,自♥≠(zì)研的(de)WAF指紋識别架構,提供任意CC和λ©∑(hé)DDoS攻擊防禦。
上(shàng)一(yī)篇:大(dà)流量的(de)DDOS攻擊,應該如(rú)何防禦?
最新文(wén)章(zhāng)
-
高(gāo)防網絡安全的(de)全方位探索一(yī)、高(gāo)防網絡安全的(de)基本概念
高(gāo)防網絡安全,簡單來(lái)說(sh↕₽★•uō),是(shì)指通(tōng)過一(y★≈ī)系列技(jì)術(shù)手段和(hé)措施來(lái)抵 -
防禦CC攻擊的(de)有(yǒu)效方法随著(zhe)網絡技(jì)術(shù)的('de)迅猛發展和(hé)普及,網絡已改變每一(yī♣$&≥)個(gè)人(rén)的(de)生(s ↑γhēng)活和(hé)工(gōng)作(zuò)方式,網絡安全問(wèn)δε♠₩題也(yě)越來(lái)
-
DDOS防禦過程中的(de)流量清洗的(de)技(jì)™術(shù)原理(lǐ)在DDOS防護過程中,流量清洗是(shì)必不(bù)可(kě)少(sh§≥ǎo)的(de)技(jì)術(shù)操作(zuò)。那♣Ω§(nà)麽精準的(de)流量清洗具體(tǐ)是(shì)通(tō✔≈≈ng)過什(shén)麽樣
-
DNS攻擊的(de)常見(jiàn)類型有(yǒu)哪些(xiē)?說(shuō)起dns攻擊,有(yǒu)哪些("λxiē)常見(jiàn)的(de)dns攻擊類型呢(ne)?如(rú)何 α防護網站(zhàn)DNS不(bù)被惡意攻擊呢(ne¥★£)?當下(xià),國(guó)外(wài±α₹£)知(zhī)名站(zhàn)
-
互聯網金(jīn)融行(xíng)業(yè)如(rú)何預防DD←↑®oS攻擊?随著(zhe)互聯網的(de)快(kuài)速發展,國∑₹×(guó)內(nèi)金(jīn)融行( £βxíng)業(yè)開(kāi)始向互聯網數(s ≈hù)字化(huà)轉型,數(shù)據顯示,亞洲有(yǒu♦≈)超過10億人(rén)使
-
墨者安全以數(shù)字內(nèi)容資産化(huà)及交易、網±₹ 絡安全防護及數(shù)據安全保護為(wèi)核心,基于大(ε♦dà)數(shù)據內(nèi)容智能(né≥☆"€ng)精準分(fēn)析及應用(yòng)為(w↓®★èi)基礎拓展多(duō)級生(shēng)态産品線MORE ABOUT US >
Copyright © 2020 深圳市墨者安全科技有↑©限公司 版權所有(yǒu)
- 京ICP證000000号
-
粵公網安備 44030502003892号™$↕α
粵網信備44030519847610230019号
