|
1.減少公開暴露
之前曝光的的 Booter 網(wǎng)站或者是臭名昭著的 LizardSquad 旗下站 LizardStresser,都提供付費 DDoS 攻擊某一目標的服務���,而且這些網(wǎng)站都會將攻擊偽裝成合法的載入測試來進行攻擊�。這個黑客組織在 2014 年的圣誕節(jié)期間利用 DDoS 攻擊了微軟的 Xbox Live 和索尼的 PSN 網(wǎng)絡����,令許多玩家很長時間無法正常娛樂�����。
對于企業(yè)來說�,減少公開暴露是防御DDoS攻擊的有效方式����,對 PSN 網(wǎng)絡設置安全群組和私有網(wǎng)絡,及時關閉不必要的服務等方式�,能夠有效防御網(wǎng)絡黑客對于系統(tǒng)的窺探和入侵。具體措施包括禁止對主機的非開放服務的訪問��,限制同時打開的 SYN 最大連接數(shù)��,限制特定 IP 地址的訪問��,啟用防火墻的防DDoS 的屬性等��。
2.利用擴展和冗余
DDoS攻擊針對不同協(xié)議層有不同的攻擊方式�,因此我們必須采取多重防護措施。利用擴展和冗余可以防患于未然�,保證系統(tǒng)具有一定的彈性和可擴展性����,確保在 DDoS 攻擊期間可以按需使用����,尤其是系統(tǒng)在多個地理區(qū)域同時運行的情況下����。任何運行在云中的虛擬機實例都需要保證網(wǎng)絡資源可用。
微軟針對所有的 Azure 提供了域名系統(tǒng)(DNS)和網(wǎng)絡負載均衡�����,Rackspace 提供了控制流量流的專屬云負載均衡�。結合 CDN 系統(tǒng)通過多個節(jié)點分散流量,避免流量過度集中�����,還能做到按需緩存�,使系統(tǒng)不易遭受DDoS攻擊。
3.充足的網(wǎng)絡帶寬保證
網(wǎng)絡帶寬直接決定了能抗受攻擊的能力�����,假若僅僅有 10M 帶寬的話�,無論采取什么措施都很難對抗當今的 SYNFlood 攻擊,至少要選擇 100M 的共享帶寬,最好的當然是掛在1000M 的主干上了�。但需要注意的是,主機上的網(wǎng)卡是 1000M 的并不意味著它的網(wǎng)絡帶寬就是千兆的���,若把它接在 100M 的交換機上�,它的實際帶寬不會超過 100M����,再就是接在 100M 的帶寬上也不等于就有了百兆的帶寬,因為網(wǎng)絡服務商很可能會在交換機上限制實際帶寬為 10M���,這點一定要搞清楚���。
4.分布式服務拒絕DDoS攻擊
所謂分布式資源共享服務器就是指數(shù)據(jù)和程序可以不位于一個服務器上,而是分散到多個服務器����。分布式有利于任務在整個計算機系統(tǒng)上進行分配與優(yōu)化,克服了傳統(tǒng)集中式系統(tǒng)會導致中心主機資源緊張與響應瓶頸的缺陷��,分布式數(shù)據(jù)中心規(guī)模越大�����,越有可能分散DDoS攻擊的流量,防御攻擊也更加容易�����。
5.實時監(jiān)控系統(tǒng)性能
除了以上這些措施�����,對于系統(tǒng)性能的實時監(jiān)控也是預防DDoS攻擊的重要方式��。不合理的 DNS 服務器配置也會導致系統(tǒng)易受DDoS攻擊����,系統(tǒng)監(jiān)控能夠?qū)崟r監(jiān)控系統(tǒng)可用性��、API���、CDN 以及 DNS 等第三方服務商性能���,監(jiān)控網(wǎng)絡節(jié)點,清查可能存在的安全隱患����,對新出現(xiàn)的漏洞及時進行清理����。骨干節(jié)點的計算機因為具有較高的帶寬�,是黑客利用的最佳位置,因此對這些主機加強監(jiān)控是非常重要的�。
|
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
