服務(wù)器DDOS攻擊如何防御（防御方法分享）

關(guān)于DDOS攻擊，分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。下面創(chuàng)新互聯(lián)服務(wù)器托管一起來了解下，以下是內(nèi)容詳情：

通常，攻擊者將攻擊程序通過代理程序安裝在網(wǎng)絡(luò)上的各個(gè)“肉雞”上，代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。

常見的DDoS攻擊種類：

網(wǎng)絡(luò)層攻擊：比較典型的攻擊類型是UDP反射攻擊，例如：NTP Flood攻擊，這類攻擊主要利用大流量擁塞被攻擊者的網(wǎng)絡(luò)帶寬，導(dǎo)致被攻擊者的業(yè)務(wù)無法正常響應(yīng)客戶訪問。

傳輸層攻擊：比較典型的攻擊類型包括SYN Flood攻擊、連接數(shù)攻擊等，這類攻擊通過占用服務(wù)器的連接池資源從而達(dá)到拒絕服務(wù)的目的。

會(huì)話層攻擊：比較典型的攻擊類型是SSL連接攻擊，這類攻擊占用服務(wù)器的SSL會(huì)話資源從而達(dá)到拒絕服務(wù)的目的。

應(yīng)用層攻擊：比較典型的攻擊類型包括DNS flood攻擊、HTTP flood攻擊、游戲假人攻擊等，這類攻擊占用服務(wù)器的應(yīng)用處理資源極大的消耗服務(wù)器處理性能從而達(dá)到拒絕服務(wù)的目的。

DDOS攻擊應(yīng)對(duì)策略

這里創(chuàng)新互聯(lián)分享一些在一定程度范圍內(nèi)，能夠應(yīng)對(duì)緩解DDOS攻擊的策略方法，以供大家借鑒。

一、確保服務(wù)器系統(tǒng)安全

1、確保服務(wù)器的系統(tǒng)文件是最新的版本,并及時(shí)更新系統(tǒng)補(bǔ)丁。

2、管理員需對(duì)所有主機(jī)進(jìn)行檢查，知道訪問者的來源。

3、關(guān)閉不必要的服務(wù)：在服務(wù)器上刪除未使用的服務(wù)，關(guān)閉未使用的端口。

4、限制同時(shí)打開的SYN半連接數(shù)目,縮短SYN半連接的time out 時(shí)間,限制SYN/ICMP流量。

5、正確設(shè)置防火墻，在防火墻上運(yùn)行端口映射程序或端口掃描程序。

6、認(rèn)真檢查網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或是時(shí)間變更,那這臺(tái)機(jī)器就可能遭到了攻擊。

7、限制在防火墻外與網(wǎng)絡(luò)文件共享。這樣會(huì)給黑客截取系統(tǒng)文件的機(jī)會(huì),若黑客以特洛伊木馬替換它，文件傳輸功能無疑會(huì)陷入癱瘓。

其他方法

1、隱藏服務(wù)器真實(shí)IP

服務(wù)器防御DDOS攻擊最根本的措施就是隱藏服務(wù)器真實(shí)IP地址。當(dāng)服務(wù)器對(duì)外傳送信息時(shí)就可能會(huì)泄露IP，例如，我們常見的使用服務(wù)器發(fā)送郵件功能就會(huì)泄露服務(wù)器的IP。

因而，我們在發(fā)送郵件時(shí)，需要通過第三方代理發(fā)送，這樣子顯示出來的IP是代理IP，因而不會(huì)泄露真實(shí)IP地址。在資金充足的情況下，可以選擇高防服務(wù)器，且在服務(wù)器前端加CDN中轉(zhuǎn)，所有的域名和子域都使用CDN來解析。

使用創(chuàng)新互聯(lián)DDos高防IP后，你可以將域名解析到創(chuàng)新互聯(lián)DDos高防IP后，由創(chuàng)新互聯(lián)DDos高防IP轉(zhuǎn)發(fā)的您的真實(shí)IP地址，這樣就達(dá)到隱藏真實(shí)IP 目標(biāo)，使用源站隱藏功能后，您的網(wǎng)站源IP將不再暴露，攻擊者將無法直接攻擊您的網(wǎng)站服務(wù)器。

2、關(guān)閉不必要的服務(wù)或端口

這也是服務(wù)器運(yùn)維人員最常用的做法。在服務(wù)器防火墻中，只開啟使用的端口，比如網(wǎng)站web服務(wù)的80端口、數(shù)據(jù)庫的3306端口、SSH服務(wù)的22端口等。關(guān)閉不必要的服務(wù)或端口，在路由器上過濾假IP。

3、購買高防提高承受能力

該措施是通過購買高防的盾機(jī)，提高服務(wù)器的帶寬等資源，來提升自身的承受攻擊能力。對(duì)于普通中小企業(yè)甚至不合適，且不被攻擊時(shí)造成服務(wù)器資源閑置，所以這里不過多闡述。

4、限制SYN/ICMP流量

用戶應(yīng)在路由器上配置SYN/ICMP的大流量來限制SYN/ICMP封包所能占有的最高頻寬，這樣，當(dāng)出現(xiàn)大量的超過所限定的SYN/ICMP流量時(shí)，說明不是正常的網(wǎng)絡(luò)訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法，雖然目前該方法對(duì)于DdoS效果不太明顯了，不過仍然能夠起到一定的作用。

5、網(wǎng)站請求IP過濾

除了服務(wù)器之外，網(wǎng)站程序本身安全性能也需要提升。以小編自己的個(gè)人博客為例，使用cms做的。系統(tǒng)安全機(jī)制里的過濾功能，通過限制單位時(shí)間內(nèi)的POST請求、404頁面等訪問操作，來過濾掉次數(shù)過多的異常行為。雖然這對(duì)DDOS攻擊沒有明顯的改善效果，但也在一定程度上減輕小帶寬的惡意攻擊。

6、部署DNS智能解析

通過智能解析的方式優(yōu)化DNS解析，可以有效避免DNS流量攻擊產(chǎn)生的風(fēng)險(xiǎn)。同時(shí)，建議您將業(yè)務(wù)托管至多家DNS服務(wù)商。

屏蔽未經(jīng)請求發(fā)送的DNS響應(yīng)信息

丟棄快速重傳數(shù)據(jù)包

啟用TTL

丟棄未知來源的DNS查詢請求和響應(yīng)數(shù)據(jù)

丟棄未經(jīng)請求或突發(fā)的DNS請求

啟動(dòng)DNS客戶端驗(yàn)證

對(duì)響應(yīng)信息進(jìn)行緩存處理

使用ACL的權(quán)限

利用ACL，BCP38及IP信譽(yù)功能

7、提供余量帶寬

通過服務(wù)器性能測試，評(píng)估正常業(yè)務(wù)環(huán)境下所能承受的帶寬和請求數(shù)。在購買帶寬時(shí)確保有一定的余量帶寬，可以避免遭受攻擊時(shí)帶寬大于正常使用量而影響正常用戶的情況。

8、高防CDN。

CDN的英文全名是內(nèi)容分發(fā)網(wǎng)絡(luò)。通過部署在網(wǎng)絡(luò)上不同地方的邊緣節(jié)點(diǎn)服務(wù)器，能夠讓用戶以最短的距離和時(shí)間獲得其需要的內(nèi)容，從而避免單節(jié)點(diǎn)帶來的網(wǎng)絡(luò)擁堵和信息延遲。正是因?yàn)镃DN在全網(wǎng)都能布置節(jié)點(diǎn)，并且可以隱藏原服務(wù)器IP地址的功能，CDN除了可以用來加速網(wǎng)絡(luò)服務(wù)外，還能用來當(dāng)高防服務(wù)器使用。相比臨時(shí)租用高防帶寬，高防CDN的價(jià)格極其便宜。比如創(chuàng)新互聯(lián)的高防CDN，50G防御的起步價(jià)每月僅需5999元，費(fèi)用不到租用帶寬防御的1/10。

小結(jié)

目前而言，DDOS攻擊并沒有最好的根治之法，做不到徹底防御，只能采取各種手段在一定程度上減緩攻擊傷害。所以平時(shí)服務(wù)器的運(yùn)維工作還是要做好基本的保障。

創(chuàng)新互聯(lián)是國內(nèi)較早的互聯(lián)網(wǎng)應(yīng)用服務(wù)提供商，累計(jì)現(xiàn)在全國30多個(gè)數(shù)據(jù)中心資源，阿里云、百度云、騰訊云、中國西部信息中心、成都電信機(jī)房、綿陽電信機(jī)房、重慶服務(wù)器數(shù)據(jù)中心。在成都、重慶、綿陽均有服務(wù)團(tuán)隊(duì)。

我司目標(biāo)是建設(shè)成為中國的網(wǎng)絡(luò)平臺(tái)服務(wù)提供商，并為這目標(biāo)的實(shí)現(xiàn)制定了可持續(xù)的企業(yè)發(fā)展綱略，組建了具有豐富網(wǎng)絡(luò)從業(yè)經(jīng)驗(yàn)的現(xiàn)代型企業(yè)團(tuán)隊(duì)，主要向國內(nèi)外用戶提供包括、服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、帶寬租用、云服務(wù)器等方面的專業(yè)網(wǎng)絡(luò)服務(wù)。成都服務(wù)器托管，創(chuàng)新互聯(lián)提供包括服務(wù)器租用、服務(wù)器托管、帶寬租用、云主機(jī)、機(jī)柜租用、主機(jī)租用托管、CDN網(wǎng)站加速、域名注冊等業(yè)務(wù)的一體化完整服務(wù)。。

以上就是“服務(wù)器DDOS攻擊如何防御（防御方法分享）”的全部內(nèi)容，如果大家想咨詢服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、帶寬租用、云服務(wù)器等相關(guān)價(jià)格，敬請關(guān)注我們創(chuàng)新互聯(lián)官網(wǎng)(www.muchs.cn)，或者加微信/電話聯(lián)系：13518219792 進(jìn)行咨詢。

網(wǎng)頁題目：服務(wù)器DDOS攻擊如何防御（防御方法分享）
轉(zhuǎn)載來于：http://www.muchs.cn/news6/274456.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供動(dòng)態(tài)網(wǎng)站、網(wǎng)站設(shè)計(jì)、外貿(mào)建站、App設(shè)計(jì)、品牌網(wǎng)站建設(shè)、微信小程序

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)