2138 
2023-06-01 10:43:01 數字化時代,網絡安全市場迎來發展的新機遇,同時也伴隨著許多危險。DDoS攻擊一直以來都是互聯網時代攻擊最強最難防護的攻擊之一。今天快快網絡小編要跟大家分享的是商用的DDoS防護服務方式,多種防護方式大家可以根據實際需求去應用。
商用的DDoS防護服務
架構優化
在預算有限的情況下,建議您優先從自身架構的優化和服務器加固上下功夫,減緩DDoS攻擊造成的影響。部署DNS智能解析通過智能解析的方式優化DNS解析,有效避免DNS流量攻擊產生的風險。同時,建議您托管多家DNS服務商。
屏蔽未經請求發送的DNS響應信息
典型的DNS交換信息是由請求信息組成的。DNS解析器會將用戶的請求信息發送至DNS服務器中,在DNS服務器對查詢請求進行處理之后,服務器會將響應信息返回給DNS解析器。但值得注意的是,響應信息是不會主動發送的。服務器在沒有接收到查詢請求之前,就已經生成了對應的響應信息,這些回應就應被丟棄。
丟棄快速重傳數據包
即便是在數據包丟失的情況下,任何合法的DNS客戶端都不會在較短的時間間隔內向同- -DNS服務器發送相同的DNS查詢請求。如果從相同IP地址發送至同一目標地址的相同查詢請求發送頻率過高,這些請求數據包可被丟棄。
啟用TTL
如果DNS服務器已經將響應信息成功發送了,應該禁 止服務器在較短的時間間隔內對相同的查詢請求信息進行響應。對于一個合法的DNS客戶端,如果已經接收到了響應信息,就不會再次發送相同的查詢請求。每一個響應信息都應進行緩存處理直到TTL過期。當DNS服務器遭遇大查詢請求時,可以屏蔽掉不需要的數據包。
丟棄未知來源的DNS查詢請求和響應數據
通常情況下,攻擊者會利用腳本對目標進行分布式拒絕服務攻擊( DDoS攻擊) , 而且這些腳本通常是有漏洞的。因此,在服務器中部署簡單的匿名檢測機制,在某種程度上可以限制傳入服務器的數據包數量。
丟棄未經請求或突發的DNS請求
這類請求信息很可能是由偽造的代理服務器所發送的,或是由于客戶端配置錯誤或者是攻擊流量。無論是哪一種情況,都應該直接丟棄這類數據包。非泛洪攻擊(non-flood) 時段,可以創建一個白名單 ,添加允許服務器處理的合法請求信息。白名單可以屏蔽掉非法的查詢請求信息以及此前從未見過的數據包。方法能夠有效地保護服務器不受泛洪攻擊的威脅,也能保證合法的域名服務器只對合法的DNS查詢請求進行處理和響應。
啟動DNS客戶端驗證
偽造是DNS攻擊中常用的一種技術。如果設備可以啟動客戶端驗證信任狀,便可以用于從偽造泛洪數據中篩選出非泛洪數據包。對響應信息進行緩存處理如果某- -查詢請求對應的響應信息已經存在于服務器的DNS緩存之中,緩存可以直接對請求進行處理。這樣可以有效地防止服務器因過載而發生宕機。
使用ACL的權限
很多請求中包含了服務器不具有或不支持的信息,可以進行簡單的阻斷設置。例如,外部IP地址請求區域轉換或碎片化數據包,直接將這類請求數據包丟棄。
利用ACL , BCP38及IP信營功能
托管DNS服務器的任何企業都有用戶軌跡的限制,當攻擊數據包被偽造,偽造請求來自世界各地的源地址。設置-個簡單的過濾器可阻斷不需 要的地理位置的IP地址請求或只允許在地理位置白名單內的IP請求。
同時,也存在某些偽造的數據包可能來自與內部網絡地址的情況,可以利用BCP38通過硬件過濾清除異常來源地址的請求。部署負載均衡通過部署負載均衡( SLB )服務器有效減緩CC攻擊的影響。通過在SLB后端負載多臺服務器的方式,對DDoS攻擊中的CC攻擊進行防護。部署負載均衡方案后,不僅具有CC攻擊防護的作用,也能將訪問用戶均衡分配到各個服務器上,減少單臺服務器的負擔,加快訪問速度。使用專有網絡通過網絡內部邏輯隔離,防止來自內網肉雞的攻擊。提供余量帶寬通過服務器性能測試,評估正常業務環境下能承受的帶寬和請求數,確保流量通道不止是日常的量,有-定的帶寬余量可以有利于處理大規模攻擊。
服務器加固
在服務器上進行安全加固,減少可被攻擊的點,增大攻擊方的攻擊成本:確保服務器的系統文件是最新的版本,并及時更新系統補丁。對所有服務器主機進行檢查,清楚訪問者的來源。過濾不必要的服務和端口。例如, WWW服務器,只開放80端口,將其他所有端口關閉,或在防火墻上做阻止策略。限制同時打開的SYN半連接數目,縮短SYN半連接的timeout時間,限制SYN/ICMP流量。
商用的DDoS防護服務有利于在遇到攻擊時做出相應的措施,雖然沒有辦法百分百進行抵御,但是也是挽回一些損失。同時也要利用好防火墻,在遇到不法分子攻擊時及時做出反應是很重要的。
