17年专业服务器托管租用服务商!
咨询热线 : 400-880-5868
帮助中心

DDoS攻击下,怎样来选择DDoS防护方案

发布时间:2021-2-22 13:01:39    返回首页

DDOS攻击成为难解决的网络安全问题之一,因为它容易实施、难以防范、难以追踪,正迅速成为最普遍的网络威胁类型,根据最近的市场研究,在过去的一年中,DDOS攻击的数量和数量都在迅速增长。DDOS防护的方式有很多,首先跟着来了解一下DDOS攻击方式,被攻击现象以及防护攻击的方法。

DDOS攻击是一种通过使来自多个源的流量淹没在线服务来使其不可用的恶意网络攻击。它们针对的是从银行到新闻网站的各种重要资源,使网站客户无法正常进行访问。趋势是缩短攻击持续时间,但增加每秒的数据包攻击量。对付DDOS是一个大工程,DDOS防护想完全防止攻击是不现实的。

而DDOS有以下两种攻击方式:

一、流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致带宽资源被耗尽,合法网络包被虚假的攻击包淹没而无法到达主机。

二、资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

要确定是否在遭受DDOS攻击,可以通过多个方式自行检查。最简单的方法是:检查网站是否正常访问。如果网站无法正常工作访问,则可以登录到控制面板并打开流量统计信息以查看最新的历史记录。如果您看到一些异常的流量拥塞,那么您的网站非常为可能并且正在遭受DDOS攻击。


那么企业应该采取哪些DDoS防护措施呢?具体方式如下:


1、充足的网络带宽保证


网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上了。


2、把网站做成静态页面或者伪静态


减少动态脚本的使用,这样能大大提高抗攻击能力,也让黑客不那么容易入侵,此外如果需要调用数据库的脚本,一定要拒绝代理服务的访问。如新浪、搜狐、网易等门户网站主要都是静态页面。


3、采用高性能的网络设备


首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。


4、尽量避免NAT的使用


无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,会较大降低网络通信能力,但有些时候必须使用NAT,那就没有好办法了。


5、隐藏服务器的真实IP地址


服务器前端加CDN中转,如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。


6、部署CDN


CDN 指的是网站的静态内容分发到多个服务器,用户就近访问,提高速度。因此,CDN 也是带宽扩容的一种DDoS防护方法。


7、增强操作系统的TCP/IP栈


Win2000和Win2003作为服务器操作系统,本身就具备一定的DDoS防护能力,只是默认状态下没有开启而已。若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个。


8、拦截含特定词语的HTTP 请求


HTTP 请求的特征一般有两种:IP 地址和 User Agent 字段。比如,恶意请求都是从某个 IP 段发出的,那么把这个 IP 段封掉就行。或者,它们的 User Agent 字段有特征(包含某个特定的词语),那就把带有这个词语的请求拦截。


9、定期检查


(1)定期扫描漏洞,时打上补丁。要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。(2)检查访客来源。许多黑客经常使用假IP地址来迷惑用户,很难找到它的来源。使用单播反向路径转发等方法,通过反向路由器查询,检查访客IP地址是否为真,如果为假,则屏蔽,有助于提高网络安全性。

 

浦东数据中心专注服务器托管租用17年,服务器托管就选浦东数据中心



在线咨询
QQ 咨询
服务热线
扫一扫

扫一扫
关注我们

全国免费服务热线
400-880-5868

返回顶部