近年来,不仅仅是互联网的服务器,就连物联网也深受其害,大量的ddos攻击正在感染着整个物联网。而对于如何进行ddos防御,很多企业也并没有太好的方法,只能被动防御,或者求助于安全公司。
如何进行ddos防御
1、保证服务器系统的安全
首先要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关闭未使用的端口。尽量把数据库和程序单独拿出根目录,更新使用的时候再放进去,尽可能把网站做成静态页面。对于服务器上运行的网站,确保其打了最新的补丁,没有安全漏洞。
2、隐藏服务器真实IP
服务器前端加CDN中转(免费的有百度云加速、360网站卫士、加速乐、安全宝等),如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,
所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。
另外,防止服务器对外传送信息泄漏IP,最常见的是,服务器不使用发送邮件功能,如果非要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样对外显示的IP是代理的IP。
总之,只要服务器的真实IP不泄露,10G以下小流量DDOS的预防花不了多少钱,免费的CDN就可以应付得了。如果攻击流量超过20G,那么免费的CDN可能就顶不住了,需要购买一个高防的DDoS防火墙来应付了。
3、分布式集群防御
分布式集群防御的特点是在每个节点服务器配置多个IP地址,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
4、在系统中加装防火墙系统
激活WAF,WAF是指Web应用程序防火墙,是位于网站和流量之间的一个保护层,利用防火墙系统对所有出入的数据包进行过滤,检查边界安全规则,确保输出的包受到正确限制。激活后可以自动环境DDOS攻击,但因为方案较多,需要企业根据自身情况评估后,选择最合适的一种方案。
5、负载均衡
负载均衡建立在现有网络结构之上,为扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性提供一种廉价有效透明的方法,CC攻击会使服务器大量的网络传输而过载,所以对DDoS流量攻击和CC攻击都很见效,用户访问速度也会加快。
6、优化路由及网络结构。对路由器进行合理设置,降低攻击的可能性。
启用黑名单
如果攻击IP普遍来自于某个国家或地区,那么在被攻击期间,可以将该区域来源IP加入黑名单,从而禁止特定区域访问。虽然这种做法可以有效降低风险,但也有可能将真正客户拒之门外,同样会导致部分损失。并且很难判断该IP地址是否正确,有可能攻击者可以通过工具进行伪装处理。
监控流量
安装入侵检测工具,经常扫描检查系统,解决系统的漏洞,对系统文件和应用程序进行加密,并定期检查这些文件的变化。
DDOS攻击的原理如果简单的说,就是通过大量流量消耗服务器资源,因此,监控网络流量十分重要。如果网站在某个时刻突然获得远超日常的流量,那么很可能是DDOS攻击的一个危险信号,在监控工具中设置访问人数阈值,超过时自动提醒,可以帮助企业最快反应。
7、接入高防服务
日常网络安全防护对一些小流量DDOS攻击能够起到一定的防御效果,但如果遇到大流量洪水DDOS攻击,最直接的办法就是接入专业的DDOS高防服务,建议接入墨者盾,通过墨者盾高防隐藏源IP,对攻击流量进行清洗,保障企业服务器的正常运行。
