如何最大限度地保護(hù)企業(yè)服務(wù)器免受攻擊��?如果我們不能阻止這次襲擊,我們可以采取什么措施�����?分布式拒絕服務(wù)是一種完全不同的攻擊��。你不能阻止黑客這樣對(duì)你�。除非你主動(dòng)斷網(wǎng),否則它會(huì)對(duì)你的網(wǎng)站發(fā)起DDoS攻擊����。
Ddos防御,ddos保護(hù)
那么我們首先要了解DDoS攻擊的三個(gè)階段:
第一階段是目標(biāo)確認(rèn):黑客將公司網(wǎng)絡(luò)的IP地址鎖定在互聯(lián)網(wǎng)上�����。鎖定的IP地址可能代表企業(yè)的網(wǎng)絡(luò)服務(wù)器����、鬼影互聯(lián)DNS服務(wù)器、互聯(lián)網(wǎng)網(wǎng)關(guān)等�。這些目標(biāo)的選擇是出于各種目的,比如賺錢(有些人會(huì)為黑客入侵一些網(wǎng)站而付費(fèi))或者打破樂(lè)趣�。
第二階段是準(zhǔn)備階段:在這個(gè)階段,黑客會(huì)在沒(méi)有好的防護(hù)系統(tǒng)的情況下入侵互聯(lián)網(wǎng)上的大量電腦(基本上是網(wǎng)絡(luò)上的家用電腦,NDSL寬帶或者有線電纜是主要手段)�����,黑客在未來(lái)會(huì)植入必要的工具�����。
第三階段是實(shí)際攻擊階段:黑客向所有被攻擊的計(jì)算機(jī)(即僵尸計(jì)算機(jī))發(fā)送攻擊命令�,命令計(jì)算機(jī)使用預(yù)植入的攻擊工具不斷向攻擊目標(biāo)發(fā)送數(shù)據(jù)包,使目標(biāo)無(wú)法處理大量數(shù)據(jù)或占用全部帶寬�����。
聰明的黑客也會(huì)讓這些僵尸電腦騙過(guò)攻擊包的IP地址�����,將攻擊目標(biāo)的IP地址插入包的原始地址�。這叫反射攻擊。在服務(wù)器或路由器看到這些數(shù)據(jù)包后����,它會(huì)將收到的響應(yīng)轉(zhuǎn)發(fā)(即反映)到原始IP地址�,這將進(jìn)一步增加到目標(biāo)主機(jī)的數(shù)據(jù)流。因此,我們無(wú)法阻止這種DDoS攻擊�,但了解了這種攻擊的原理,就可以將這種攻擊的影響降到最低��。
DDoS防御方法:
1.如果只有幾臺(tái)計(jì)算機(jī)是攻擊的來(lái)源���,并且您已經(jīng)確定了這些來(lái)源的IP地址�,您將在防火墻服務(wù)器上放置一個(gè)ACL(訪問(wèn)控制列表)來(lái)阻止這些IP訪問(wèn)�����。如果可能的話���,將web服務(wù)器的IP地址更改一段時(shí)間����,但是如果攻擊者通過(guò)查詢您的DNS服務(wù)器來(lái)解析您新設(shè)置的IP�����,這種措施將不再有效�����。
2.如果你確定攻擊來(lái)自某個(gè)特定的國(guó)家,可以考慮屏蔽那個(gè)國(guó)家的IP���,至少在一段時(shí)間內(nèi)����。
3.監(jiān)控傳入的網(wǎng)絡(luò)流量�。這樣就可以知道是誰(shuí)在訪問(wèn)你的網(wǎng)絡(luò),監(jiān)控異常訪客�,事后分析日志和源IP。在大規(guī)模攻擊之前�����,攻擊者可能會(huì)使用少量攻擊來(lái)測(cè)試您網(wǎng)絡(luò)的健壯性�����。4.為了應(yīng)對(duì)消耗帶寬的攻擊����,最有效(也是最昂貴)的解決方案是購(gòu)買更多帶寬。異常流量由DDoS硬件防火墻清理過(guò)濾����,數(shù)據(jù)包定期過(guò)濾、數(shù)據(jù)流指紋檢測(cè)過(guò)濾����、數(shù)據(jù)包內(nèi)容定制過(guò)濾等頂級(jí)技術(shù)可以準(zhǔn)確判斷外部訪問(wèn)流量是否正常,進(jìn)而禁止異常流量過(guò)濾�。單個(gè)負(fù)載每秒可以防御800-927萬(wàn)個(gè)syn攻擊包。
5.您還可以使用高性能負(fù)載平衡軟件�,使用多臺(tái)服務(wù)器,并將其部署在不同的數(shù)據(jù)中心�����。
6.在對(duì)網(wǎng)絡(luò)和其他資源使用負(fù)載平衡的同時(shí)����,我們也使用相同的策略來(lái)保護(hù)域名系統(tǒng)。
7.優(yōu)化資源使用����,提高web服務(wù)器的負(fù)載能力。比如apache可以用來(lái)安裝apachebooster插件��,鬼影互聯(lián)集成了清漆和nginx�,可以應(yīng)對(duì)流量和內(nèi)存使用量的突然增加。
8.使用高度可擴(kuò)展的DNS設(shè)備來(lái)保護(hù)DDoS免受DNS攻擊������?梢钥紤]從Cloudflare購(gòu)買商業(yè)解決方案�����,可以針對(duì)DNS或者TCP/IP3第3層到第7層提供DDoS攻擊防護(hù)��。如果想得到更多的服務(wù)支持(國(guó)外的保安服務(wù)一般都不是售后�����,遇到問(wèn)題只能提交工單解決�,效率不高����。),可以考慮選擇國(guó)內(nèi)的云安全服務(wù)提供商���。推薦小蟻云安全���,騰訊, 云和和阿里云
9.啟用路由器或防火墻的防IP欺騙功能����。在CISCO ASA防火墻中配置此功能比在路由器中配置更方便��。要在ASDM啟用此功能(思科自適應(yīng)安全設(shè)備管理器),只需單擊配置中的防火墻��,找到反欺騙�,然后單擊啟用。您也可以在路由器中使用訪問(wèn)控制列表來(lái)防止IP欺騙��。首先為內(nèi)網(wǎng)創(chuàng)建ACL����,然后應(yīng)用到互聯(lián)網(wǎng)的接口上。
10.使用第三方服務(wù)來(lái)保護(hù)您的網(wǎng)站����。很多公司都有這樣的服務(wù),提供高性能的基礎(chǔ)網(wǎng)絡(luò)設(shè)施�,鬼影互聯(lián)幫助你抵御拒絕服務(wù)攻擊。一個(gè)月只需要交幾百塊����。
11.注意服務(wù)器的安全配置,避免資源耗盡的DDoS攻擊�。
12.聽(tīng)取專家意見(jiàn)�����,提前制定應(yīng)對(duì)攻擊的應(yīng)急預(yù)案�。
13.監(jiān)控網(wǎng)絡(luò)和網(wǎng)絡(luò)流量���。如果可能的話�����,可以配置多個(gè)分析工具���,比如Statcounter和Google analytics,這樣可以更直觀地了解流量變化模式���,從中獲取更多信息����。14.保護(hù)DNS���,避免DNS放大攻擊�����。
15.在路由器上禁用ICMP����。僅在需要測(cè)試時(shí)打開(kāi)ICMP。配置路由器時(shí)還會(huì)考慮以下策略:流量控制�、包過(guò)濾、半連接超時(shí)����、垃圾數(shù)據(jù)包丟棄��、使用偽造源的數(shù)據(jù)包丟棄�����、SYN閾值�、禁用ICMP和UDP廣播。
16.分布式集群防御:這是網(wǎng)絡(luò)安全社區(qū)防御大規(guī)模DDoS攻擊最有效的方式���。分布式集群防御的特點(diǎn)是每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址���,每個(gè)節(jié)點(diǎn)可以抵御不低于10G的DDOS攻擊。如果一個(gè)節(jié)點(diǎn)受到攻擊�����,無(wú)法提供服務(wù),系統(tǒng)會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換到另一個(gè)節(jié)點(diǎn)���,將攻擊者的所有數(shù)據(jù)包返回到發(fā)送點(diǎn)���,使攻擊源癱瘓,從更深層次的安全防護(hù)角度影響企業(yè)的安全執(zhí)行決策���。
17.云防御:目前很多企業(yè)用這種方式防御大攻擊����。一方面可以通過(guò)云進(jìn)行調(diào)度����,另一方面操作非常簡(jiǎn)單,可以及時(shí)應(yīng)對(duì)各種類型的攻擊性DDoS攻擊����。但缺點(diǎn)是攻擊量大的時(shí)候代價(jià)會(huì)更高,這要看企業(yè)對(duì)DDoS攻擊的衡量����,失敗的代價(jià)更大��,還是花錢對(duì)付d的代價(jià)更大���。
最后,多了解DDOS攻擊的類型和手段�,針對(duì)每次攻擊制定應(yīng)急預(yù)案。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
