從企業客戶角度來看,DDoS攻擊的防御策略是一個漫長的過程,攻擊手段和工具會不斷刷新。DDOS攻擊在近年來愈演愈烈,大量網站遭受打擊而損失慘重,目前而言,甚至一些黑客對攻擊進行明碼標價,用一定的流量攻擊網站多少時間,標有明確的價格,使得許多企業主難以招架。
DDoS防御需要受到企業的重視,用戶需要意識到網絡攻防和合規是兩回事,安全部署不應該以合規為目標,而要重點考慮攻防,將DDoS防御放置于首位。其次,用戶需要改變統一安全策略,對于關鍵應用而言,需要對應用做完流量精分之后,再根據不同灰度的流量進行安全策略配置。
5種ddos攻擊的防御策略是什么?
一)修復漏洞
首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是想要確保系統安全,防止攻擊入侵,還需要保證網站或系統沒有任何漏洞,當然這一點比較難做到,但至少要保證漏洞更少或不易被攻破。及時更新最新系統,并打上安全補丁,是修復漏洞的最好方式之一。
二)防止IP泄露
另外,防止服務器對外傳送信息泄漏IP,最常見的是,服務器不使用發送郵件功能,許多鏈接、交易都會暴露你的IP地址,包括郵件功能是最常見的暴露IP的一種方式,如果非要發送郵件,可以通過第三方代理(例如sendcloud)發送,這樣對外顯示的IP是代理的IP。而減小了被攻擊的風險。
也可以在服務器前端加上CDN中轉,域名包括子域名解析的時候也用CDN的IP,用于隱藏真實IP。如果資金充裕,購買幾大云服務商提供的高防
IP,效果更好:網站域名指向高防 IP,它提供一個緩沖層,清洗流量,并對源服務器的內容進行緩存。購買高防的盾擊效果更好。
三)HTTP 請求的攔截
如果惡意請求有特征,對付起來很簡單:直接攔截它就行了。HTTP 請求的特征一般有兩種:IP 地址和 User Agent
字段。比如,惡意請求都是從某個 IP 段發出的,那么把這個 IP 段封掉就行了。或者,它們的 User Agent
字段有特征(包含某個特定的詞語),那就把帶有這個詞語的請求攔截。
四)CDN流量清洗
CDN是構建在網絡之上的內容分發網絡,依靠部署在各地的邊緣服務器,通過中心平臺的分發、調度等功能模塊,使用戶就近獲取所需內容,降低網絡擁塞,提高用戶訪問響應速度和命中率,因此CDN加速也用到了負載均衡技術。相比高防硬件防火墻不可能扛下無限流量的限制,CDN則更加理智,多節點分擔滲透流量,目前大部分的CDN節點都有200G
的流量防護功能,再加上硬防的防護,可以說能應付目絕大多數的DDoS攻擊了。
五)大帶寬防護
機房網絡帶寬直接決定了承受攻擊的能力,國內大部分網站帶寬規模在10M到100M,知名企業帶寬能超過1G,超過100G的基本是專門做帶寬服務和抗攻擊服務的網站,數量屈指可數。但DDoS卻不同,攻擊者通過控制一些服務器、通常很快就有超過10G的攻擊流量。當它們同時向某個網站發動攻擊,帶寬瞬間就被占滿了。
增加帶寬硬防護是理論最優解,只要帶寬大于攻擊流量就不怕了,但成本也是難以承受之痛,國內非一線城市機房帶寬價格大約為100元/M*月,買10G帶寬頂一下就是100萬,因此許多人調侃拼帶寬就是拼人民幣,以至于很少有人愿意花高價買大帶寬做防御。
除了防火墻,服務器、路由器、交換機等網絡設備的性能也需要跟上,若是設備性能成為瓶頸,即使帶寬充足也無能為力。大量事實證明,把網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關于HTML的溢出還沒出現!比如那些政府網站、學校網站、新浪、搜狐、網易等門戶網站主要都是靜態頁面,若你非需要動態腳本調用,那就把它弄到另外一臺單獨主機去,免的遭受攻擊時連累主服務器,當然,適當放一些不做數據庫調用腳本還是可以的,此外,最好在需要調用數據庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬于惡意行為。
你還可以選擇互
聯數據DDOS防護策略,利用在云計算及大數據處理方面的行業領先能力,可為用戶提供具備國際一流安全技術標準的可視化解決方案,提升用戶網絡安全監測、預警及防御能力。我們的抗DDoS產品:抗D保——防御大規模流量型DDoS攻擊、全面防御任何類型的DDoS攻擊、自主研發Anti-CC引擎,無上限CC攻擊防護、抗DNS海嘯攻擊。
ddos攻擊的防御策略是什么:http://www.ukunilife.com/security/ddos.html
上一篇:
Web應用防火墻的功能有哪些?
下一篇:
阿里云ddos防護多少錢?
