防御服務(wù)器DDOS攻擊7個(gè)有效建議

首先介紹一下什么是DoS(DenialofService)，DoS是基于網(wǎng)絡(luò)的、阻止用戶正常訪問網(wǎng)絡(luò)服務(wù)的攻擊。它采用發(fā)起大量網(wǎng)絡(luò)連接，使服務(wù)器或者是運(yùn)行在服務(wù)器上的程序崩潰、耗盡資源或以其他方式阻止客戶訪問網(wǎng)絡(luò)服務(wù)。

而DDoS(DistributedDenialofService)是由DoS演變而來，基本原理和DoS是一樣的，黑客利用控制的計(jì)算機(jī)(肉雞)對(duì)一個(gè)特定的目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問請(qǐng)求，形成流量洪流來沖擊目標(biāo)系統(tǒng)。

為什么說DDoS攻擊很泛濫?

因?yàn)楸阋税。墒切Ч黠@啊。網(wǎng)站能做到?jīng)]bug，但是再牛也扛不住大規(guī)模的DDoS啊，20M的小水管利用NTP可以搞出2G/s的攻擊效果，DDoS圈里能打出上百G的大有人在，況且DDoS已經(jīng)有很完整的產(chǎn)業(yè)鏈了。

1、持續(xù)更新系統(tǒng)

首先我們就是要保障服務(wù)器軟件沒有任何漏洞，避免攻擊者入侵。一定要確定服務(wù)器是采用系統(tǒng)，并打上補(bǔ)丁。在服務(wù)器上刪除未使用的服務(wù)，關(guān)掉未使用的端口號(hào)。對(duì)于服務(wù)器上運(yùn)作的網(wǎng)站，保證其打了的補(bǔ)丁，沒有網(wǎng)絡(luò)問題。因?yàn)?，只有保證自身，才能讓“敵人”沒有可趁之機(jī)。

2、假如能隱藏服務(wù)器IP

可以選擇將所有的域名以及子域名都使用CDN來解析，這樣可以隱藏服務(wù)器的真實(shí)IP，從而也不容易讓服務(wù)器被DDOS攻擊。不要把域名直接解析到服務(wù)器的真實(shí)IP地址，不能讓服務(wù)器真實(shí)IP泄漏，服務(wù)器前端加CDN中轉(zhuǎn)(免費(fèi)的CDN一般能防止5G左右的DDOS)，如果資金充裕的話，可以購買高防的盾機(jī)，用于隱藏服務(wù)器真實(shí)IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址

此外，服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析，全部都使用CDN來解析?？傊?，只要服務(wù)器的真實(shí)IP不泄露，5G以下小流量DDOS的預(yù)防花不了多少錢，免費(fèi)的CDN就可以應(yīng)付得了。如果攻擊流量超過10G，那么免費(fèi)的CDN可能就頂不住了，需要購買一個(gè)高防的盾機(jī)來應(yīng)付了，而服務(wù)器的真實(shí)IP同樣需要隱藏。

3、發(fā)送郵件要小心

一般情況下，服務(wù)器對(duì)外傳送信息會(huì)泄漏IP，因此，大家別用服務(wù)器來大量發(fā)送郵件。假如一定要發(fā)送郵件，可以通過第三方代理軟件進(jìn)行發(fā)送，這樣顯示出來的IP是代理IP，也不容易暴露服務(wù)器真實(shí)IP。

另外，現(xiàn)在80%以上的網(wǎng)絡(luò)攻擊都是從一封釣魚郵件開始的。因而，除了不要“明目張膽”的發(fā)送郵件外，對(duì)于，來路不明的郵件、文件以及鏈接也不要輕易的點(diǎn)擊，以防招來麻煩。

4、實(shí)時(shí)監(jiān)控，定期掃描

要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn)，清查可能存在的漏洞，對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理。骨干節(jié)點(diǎn)的計(jì)算機(jī)因?yàn)榫哂休^高的帶寬，是黑客利用的位置，因此對(duì)這些主機(jī)本身加強(qiáng)主機(jī)是非常重要的。而且連接到網(wǎng)絡(luò)主節(jié)點(diǎn)的都是服務(wù)器級(jí)別的計(jì)算機(jī)，所以定期掃描漏洞就變得更加重要了。

5、利用海量帶寬清洗攻擊流量

傳統(tǒng)高防服務(wù)器存在著很多防御能力弱、價(jià)格昂貴等缺陷，葵芳等IDC服務(wù)商，著力開發(fā)新型高防服務(wù)器，并成功推出市場。新型高防服務(wù)器租用，是從根源上與傳統(tǒng)高防服務(wù)器區(qū)別開來。

傳統(tǒng)高防服務(wù)器是依靠機(jī)房提供的硬件防火墻實(shí)現(xiàn)防御，完全依賴機(jī)房提供的帶寬來緩解DDoS攻擊帶來的超大流量，由于國際帶寬昂貴，因此無法提供更高的防御能力。

6、過濾不必要的服務(wù)和端口

過濾不必要的服務(wù)和端口，即在路由器上過濾假IP。只開放服務(wù)端口成為很多服務(wù)器的流行做法，例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。

7、檢查訪問者的來源

使用UnicastReversePathForwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來自何處。因此，利用UnicastReversePathForwarding可減少假IP地址的出現(xiàn)，有助于提高網(wǎng)絡(luò)性。