都知道現在伺服器的安全對于很多行業來說很重要,即DDOS防護措施十分必要!網際網路上面的DDOS攻擊和CC攻擊等等無處不在,而對于網絡依賴性很強的企業,對伺服器的防禦能力和處理能力要求更高,普通的伺服器則是比較注重各方面能力的均衡。
随着網際網路行業的發展,很多企業在獲得巨大收益的同時也已經暴露在網絡安全的威脅之下,拒絕服務DOS攻擊和基于DOS的分布式拒絕服務DDOS攻擊是最常見的兩種攻擊方式。尤其是DDOS,随着高速網絡的不斷普及,更大規模DDOS攻擊的威脅也越來越大。那麼面對DDOS攻擊的威脅我們該怎麼做DDOS防護措施呢?
一、選擇帶有DDOS硬體防火牆的機房
目前大部分的硬防機房對100G以内的DDOS流量攻擊都能做到有效防護。選擇硬防主要是針對DDOS流量攻擊這一塊的,如果你的企業網站一直遭受流量攻擊的困擾,那你可以考慮将你的網站伺服器放到DDOS防護機房。但是有的流量攻擊超出了硬防的防護範圍了,那就得考慮下面第二種了。
二、選擇雲防禦機房
24小時自動防禦,而且一般高防機房最多兩三百G甚至上百G左右就打死了(注:打死了就真沒了),而且是三線城市帶寬,速度也比較慢,雲防禦可以有效解決這類問題而且還可以就近CDN加速,想省心省事兒的公司可以考慮。
三、隐藏伺服器的真實IP位址
伺服器防禦DDOS攻擊最根本的措施就是隐藏伺服器真實IP位址。當伺服器對外傳送資訊時就可能會洩露IP,例如,我們常見的使用伺服器發送郵件功能就會洩露伺服器的IP,因而,我們在發送郵件時,需要通過第三方代理發送,這樣子顯示出來的IP是代理IP,因而不會洩露真實IP位址。在資金充足的情況下,可以選擇高防伺服器,且在伺服器前端加CDN中轉,所有的域名和子域都使用CDN來解析。
四、在骨幹節點配置防火牆
防火牆本身能防禦DDOS攻擊和其他一些攻擊。在發現受到攻擊的時候,可以将攻擊導向一些犧牲主機,這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的,或者是linux以及unix等漏洞少和天生防範攻擊優秀的系統。(是以最好遊戲伺服器還是用Linux系統來做比較好的)
五、CDN流量清洗防禦
目前大部分的CDN節點都有200G 的流量防護功能,在加上硬防的防護,可以說能應付目前絕大多數的DDOS流量攻擊了。同時,CDN技術不僅對企業網站流量攻擊有防護功能,而且還能對企業網站進行加速(前提要針對CDN節點位置)。解決部分地區打開網站緩慢的問題。
六、負載均衡技術
這一類DDOS防護主要是防禦DDOS攻擊中的CC攻擊,這種攻擊手法使web伺服器或其他類型的伺服器由于大量的網絡傳輸而過載,一般這些網絡流量是針對某一個頁面或一個連結而産生的。當然這種現象也會在通路量較大的網站上正常發生,但我們一定要把這些正常現象和分布式拒絕服務攻擊區分開來。在企業網站加了負載均衡方案後,不僅有對網站起到CC攻擊防護作用,也能将通路使用者進行均衡配置設定到各個web伺服器上,減少單個web伺服器負擔,加快網站通路速度。
并沒有絕對的DDOS防護方式,我們所能做的也就是不斷提高攻擊者的成本。通過手段把不合法的流量攔住。降低網站的不正常流量通路,避免大量的使用者的流失,減少企業的損失。
本文轉自:http://www.heikesz.com/ddos1/5051.html
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)