將DDoS防御作為整體安全策略的重要部分來考慮�����,防御DDoS攻擊與防數(shù)據(jù)泄露��、防惡意植入�、反病毒保護等安全措施同樣不可或缺����。
1.發(fā)現(xiàn)服務器被入侵,應立即關閉所有網(wǎng)站服務�����,暫停至少3小時��。這時候很多站長朋友可能會想��,不行呀,網(wǎng)站關閉幾個小時�,那該損失多大啊,可是你想想��,是一個可能被黑客修改的釣魚網(wǎng)站對客戶的損失大��,還是一個關閉的網(wǎng)站呢?你可以先把網(wǎng)站暫時跳轉(zhuǎn)到一個單頁面�,寫一些網(wǎng)站維護的的公告。
2.下載服務器日志���,并且對服務器進行全盤殺毒掃描�。這將花費你將近1-2小時的時間�,但是這是必須得做的事情,你必須確認黑客沒在服務器上安裝后門木馬程序�����,同時分析系統(tǒng)日志����,看黑客是通過哪個網(wǎng)站����,哪個漏洞入侵到服務器來的�。找到并確認攻擊源���,并將黑客掛馬的網(wǎng)址和被篡改的黑頁面截圖保存下來��,還有黑客可能留下的個人IP或者代理IP地址����。
3.Windows系統(tǒng)打上最新的補丁����,然后就是mysql或者sql數(shù)據(jù)庫補丁,還有php以及IIS�,serv-u就更不用說了,經(jīng)常出漏洞的東西���,還有就是有些IDC們使用的虛擬主機管理軟件�。
4.關閉刪除所有可疑的系統(tǒng)帳號���,尤其是那些具有高權限的系統(tǒng)賬戶!重新為所有網(wǎng)站目錄配置權限�,關閉可執(zhí)行的目錄權限�����,對圖片和非腳本目錄做無權限處理。
5.完成以上步驟后��,你需要把管理員賬戶密碼����,以及數(shù)據(jù)庫管理密碼,特別是sql的sa密碼���,還有mysql的root密碼��,要知道����,這些賬戶都是具有特殊權限的���,黑客可以通過他們得到系統(tǒng)權限!
6.Web服務器一般都是通過網(wǎng)站漏洞入侵的�,你需要對網(wǎng)站程序進行檢查(配合上面的日志分析)��,對所有網(wǎng)站可以進行上傳����、寫入shell的地方進行嚴格的檢查和處理。如果不能完全確認攻擊者通過哪些攻擊方式進行攻擊,那就重裝系統(tǒng)����,徹底清除掉攻擊源����。
以上方法如果還是沒能解決,下面還有三個方案
一.網(wǎng)絡設備設施
網(wǎng)絡架構�����、設施設備是整個系統(tǒng)得以順暢運作的硬件基礎����,用足夠的機器、容量去承受攻擊���,充分利用網(wǎng)絡設備保護網(wǎng)絡資源是一種較為理想的應對策略�����,說到底攻防也是雙方資源的比拼���,在它不斷訪問用戶、奪取用戶資源之時����,自己的能量也在逐漸耗失���。相應地,投入資金也不小�,但網(wǎng)絡設施是一切防御的基礎,需要根據(jù)自身情況做出平衡的選擇���。
擴充帶寬硬抗
網(wǎng)絡帶寬直接決定了承受攻擊的能力�����,國內(nèi)大部分網(wǎng)站帶寬規(guī)模在10M到100M����,知名企業(yè)帶寬能超過1G�,超過100G的基本是專門做帶寬服務和抗攻擊服務的網(wǎng)站,數(shù)量屈指可數(shù)��。但DDoS卻不同��,攻擊者通過控制一些服務器�、個人電腦等成為肉雞,如果控制1000臺機器,每臺帶寬為10M�����,那么攻擊者就有了10G的流量���。當它們同時向某個網(wǎng)站發(fā)動攻擊,帶寬瞬間就被占滿了�。增加帶寬硬防護是理論最優(yōu)解,只要帶寬大于攻擊流量就不怕了����,但成本也是難以承受之痛,國內(nèi)非一線城市機房帶寬價格大約為100元/M*月���,買10G帶寬頂一下就是100萬�,因此許多人調(diào)侃拼帶寬就是拼人民幣��,以至于很少有人愿意花高價買大帶寬做防御�����。
使用硬件防火墻
許多人會考慮使用硬件防火墻�����,針對DDoS攻擊和黑客入侵而設計的專業(yè)級防火墻通過對異常流量的清洗過濾,可對抗SYN/ACK攻擊�����、TCP全連接攻擊�����、刷腳本攻擊等等流量型DDoS攻擊�。如果網(wǎng)站飽受流量攻擊的困擾,可以考慮將網(wǎng)站放到DDoS硬件防火墻機房����。但如果網(wǎng)站流量攻擊超出了硬防的防護范圍(比如200G的硬防,但攻擊流量有300G)�,洪水瞞過高墻同樣抵擋不住。值得注意一下����,部分硬件防火墻基于包過濾型防火墻修改為主,只在網(wǎng)絡層檢查數(shù)據(jù)包����,若是DDoS攻擊上升到應用層��,防御能力就比較弱了�����。
選用高性能設備
除了防火墻��,服務器����、路由器�����、交換機等網(wǎng)絡設備的性能也需要跟上�����,若是設備性能成為瓶頸����,即使帶寬充足也無能為力����。在有網(wǎng)絡帶寬保證的前提下�����,應該盡量提升硬件配置�。
二�、有效的抗D思想及方案
硬碰硬的防御偏于“魯莽”,通過架構布局�、整合資源等方式提高網(wǎng)絡的負載能力、分攤局部過載的流量���,通過接入第三方服務識別并攔截惡意流量等等行為就顯得更加“理智”����,而且對抗效果良好���。
負載均衡
普通級別服務器處理數(shù)據(jù)的能力最多只能答復每秒數(shù)十萬個鏈接請求����,網(wǎng)絡處理能力很受限制��。負載均衡建立在現(xiàn)有網(wǎng)絡結構之上��,它提供了一種廉價有效透明的方法擴展網(wǎng)絡設備和服務器的帶寬�、增加吞吐量��、加強網(wǎng)絡數(shù)據(jù)處理能力��、提高網(wǎng)絡的靈活性和可用性�����,對DDoS流量攻擊和CC攻擊都很見效�。CC攻擊使服務器由于大量的網(wǎng)絡傳輸而過載�����,而通常這些網(wǎng)絡流量針對某一個頁面或一個鏈接而產(chǎn)生�����。在企業(yè)網(wǎng)站加上負載均衡方案后����,鏈接請求被均衡分配到各個服務器上����,減少單個服務器的負擔,整個服務器系統(tǒng)可以處理每秒上千萬甚至更多的服務請求���,用戶訪問速度也會加快��。
CDN流量清洗
CDN是構建在網(wǎng)絡之上的內(nèi)容分發(fā)網(wǎng)絡���,依靠部署在各地的邊緣服務器��,通過中心平臺的分發(fā)�、調(diào)度等功能模塊���,使用戶就近獲取所需內(nèi)容����,降低網(wǎng)絡擁塞����,提高用戶訪問響應速度和命中率,因此CDN
也用到了負載均衡技術����。相比高防硬件防火墻不可能扛下無限流量的限制,CDN則更加理智���,多節(jié)點分擔滲透流量��,目前大部分的CDN節(jié)點都有200G 的流量防護功能�����,再加上硬防的防護��,可以說能應付目絕大多數(shù)的DDoS攻擊了�����。
分布式集群防御
分布式集群防御的特點是在每個節(jié)點服務器配置多個IP地址��,并且每個節(jié)點能承受不低于10G的DDoS攻擊��,如一個節(jié)點受攻擊無法提供服務����,系統(tǒng)將會根據(jù)優(yōu)先級設置自動切換另一個節(jié)點,并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點�,使攻擊源成為癱瘓狀態(tài)��,從更為深度的安全防護角度去影響企業(yè)的安全執(zhí)行決策��。
三.預防為主保安全
DDoS的發(fā)生可能永遠都無法預知��,而一來就兇猛如洪水決堤,因此網(wǎng)站的預防措施和應急預案就顯得尤為重要��。通過日常慣性的運維操作讓系統(tǒng)健壯穩(wěn)固��,沒有漏洞可鉆�,降低脆弱服務被攻陷的可能,將攻擊帶來的損失降低到最小��。
篩查系統(tǒng)漏洞
及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞��,及時安裝系統(tǒng)補丁�����,對重要信息(如系統(tǒng)配置信息)建立和完善備份機制�����,對一些特權賬號(如管理員賬號)的密碼謹慎設置�,通過一系列的舉措可以把攻擊者的可乘之機降低到最小。計算機緊急響應協(xié)調(diào)中心發(fā)現(xiàn)����,幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補丁。統(tǒng)計分析顯示,許多攻擊者在對企業(yè)的攻擊中獲得很大成功���,并不是因為攻擊者的工具和技術如何高級���,而是因為他們所攻擊的基礎架構本身就漏洞百出。
系統(tǒng)資源優(yōu)化
合理優(yōu)化系統(tǒng)���,避免系統(tǒng)資源的浪費����,盡可能減少計算機執(zhí)行少的進程�,更改工作模式,刪除不必要的中斷讓機器運行更有效����,優(yōu)化文件位置使數(shù)據(jù)讀寫更快,空出更多的系統(tǒng)資源供用戶支配����,以及減少不必要的系統(tǒng)加載項及自啟動項,提高web服務器的負載能力����。
過濾不必要的服務和端口
就像防賊就要把多余的門窗關好封住一樣���,為了減少攻擊者進入和利用已知漏洞的機會�����,禁止未用的服務�����,將開放端口的數(shù)量最小化就十分重要�。端口過濾模塊通過開放或關閉一些端口,允許用戶使用或禁止使用部分服務���,對數(shù)據(jù)包進行過濾���,分析端口,判斷是否為允許數(shù)據(jù)通信的端口���,然后做相應的處理����。
限制特定的流量
檢查訪問來源并做適當?shù)南拗����,以防止異常���、惡意的流量來襲,限制特定的流量��,主動保護網(wǎng)站安全���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
