4763 
2023-06-27 10:22:01 從DDOS攻擊的類型上,主要分為流量型攻擊和應用型攻擊。如何有效防御DDOS攻擊十分重要,對于大部分企業來說做好安全防護能夠保障網絡安全和服務器的安全使用。提前采取有效的安全防護措施,網絡將不再脆弱。
如何有效防御DDOS攻擊?
1、采用高性能的網絡設備
首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協議的話就更好了,當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某種類的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用
無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用,因為采用此技術會較大降低網絡通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。
3、充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主干上了。但需要注意的是,主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。
4、升級主機服務器硬件
在有網絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務器的配置至少應該為:P42.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,若有志強雙CPU的話就用它,內存一定要選擇DDR的高速內存,硬盤要盡量選擇SCSI的,別貪圖IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5、將網站做成靜態頁面或者偽靜態
事實證明,將網站做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關于HTML的溢出還沒出現。現在很多門戶網站主要都是靜態頁面,若你非要動態腳本調用,那就把它弄到另外一個單獨主機,免的遭受攻擊時連累主服務器。當然,適當放一些不做數據庫調用腳本還是可以的,此外,最好在需要調用數據庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬于惡意行為。
怎么防御DDoS攻擊?
網絡架構、設施設備是整個系統得以順暢運作的硬件基礎,用足夠的機器、容量去承受攻擊,充分利用網絡設備保護網絡資源是一種較為理想的應對策略,說到底攻防也是雙方資源的比拼,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失。相應地,投入資金也不小,但網絡設施是一切防御的基礎,需要根據自身情況做出平衡的選擇。
1. 擴充帶寬硬抗
網絡帶寬直接決定了承受攻擊的能力,國內大部分網站帶寬規模在10M到100M,知名企業帶寬能超過1G,超過100G的基本是專門做帶寬服務和抗攻擊服務的網站,數量屈指可數。但DDoS卻不同,攻擊者通過控制一些服務器、個人電腦等成為肉雞,如果控制1000臺機器,每臺帶寬為10M,那么攻擊者就有了10G的流量。當它們同時向某個網站發動攻擊,帶寬瞬間就被占滿了。增加帶寬硬防護是理論最優解,只要帶寬大于攻擊流量就不怕了,但成本也是難以承受之痛,國內非一線城市機房帶寬價格大約為100元/M*月,買10G帶寬頂一下就是100萬,因此許多人調侃拼帶寬就是拼人民幣,以至于很少有人愿意花高價買大帶寬做防御。
2. 使用硬件防火墻
許多人會考慮使用硬件防火墻,針對DDoS攻擊和黑客入侵而設計的專業級防火墻通過對異常流量的清洗過濾,可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果網站飽受流量攻擊的困擾,可以考慮將網站放到DDoS硬件防火墻機房。但如果網站流量攻擊超出了硬防的防護范圍(比如200G的硬防,但攻擊流量有300G),洪水瞞過高墻同樣抵擋不住。值得注意一下,部分硬件防火墻基于包過濾型防火墻修改為主,只在網絡層檢查數據包,若是DDoS攻擊上升到應用層,防御能力就比較弱了。
3. 選用高性能設備
除了防火墻,服務器、路由器、交換機等網絡設備的性能也需要跟上,若是設備性能成為瓶頸,即使帶寬充足也無能為力。在有網絡帶寬保證的前提下,應該盡量提升硬件配置。
硬碰硬的防御偏于“魯莽”,通過架構布局、整合資源等方式提高網絡的負載能力、分攤局部過載的流量,通過接入第三方服務識別并攔截惡意流量等等行為就顯得更加“理智”,而且對抗效果良好。
4. 負載均衡
普通級別服務器處理數據的能力最多只能答復每秒數十萬個鏈接請求,網絡處理能力很受限制。負載均衡建立在現有網絡結構之上,它提供了一種廉價有效透明的方法擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性,對DDoS流量攻擊和CC攻擊都很見效。CC攻擊使服務器由于大量的網絡傳輸而過載,而通常這些網絡流量針對某一個頁面或一個鏈接而產生。在企業網站加上負載均衡方案后,鏈接請求被均衡分配到各個服務器上,減少單個服務器的負擔,整個服務器系統可以處理每秒上千萬甚至更多的服務請求,用戶訪問速度也會加快。
5. CDN流量清洗
CDN是構建在網絡之上的內容分發網絡,依靠部署在各地的邊緣服務器,通過中心平臺的分發、調度等功能模塊,使用戶就近獲取所需內容,降低網絡擁塞,提高用戶訪問響應速度和命中率,因此CDN加速也用到了負載均衡技術。相比高防硬件防火墻不可能扛下無限流量的限制,CDN則更加理智,多節點分擔滲透流量,目前大部分的CDN節點都有200G 的流量防護功能,再加上硬防的防護,可以說能應付目絕大多數的DDoS攻擊了。這里我們推薦一款高性比的CDN產品:百度云加速,非常適用于中小站長防護。
有效防御DDOS攻擊能提高企業的服務器安全使用,在所有的網絡攻擊方式中,DDoS是最常見也是最高頻的攻擊方式之一。這也讓企業很容易受到攻擊,業務的受損傷害非常大,所以及時做好防護措施相當重要。
