本文目錄:
- 1����、服務器被DDOS攻擊最佳解決方案是什么�?報網警有用么�?
- 2�、服務器如何防御ddos
- 3�����、ddos防護服務器
服務器被DDOS攻擊最佳解決方案是什么���?報網警有用么�?
服務器被DDOS攻擊最佳解決方案是什么����?報網警有用么���?
目前����,有效緩解DDoS攻擊的解決方案可分為 3 大類:
架構優化
服務器加固
商用的DDoS防護服務
架構優化
在預算有限的情況下���,建議您優先從自身架構的優化和服務器加固上下功夫�,減緩DDoS攻擊造成的影響����。
部署DNS智能解析通過智能解析的方式優化DNS解析�����,有效避免DNS流量攻擊產生的風險�����。同時�,建議您托管多家DNS服務商��。
屏蔽未經請求發送的DNS響應信息
典型的DNS交換信息是由請求信息組成的����。DNS解析器會將用戶的請求信息發送至DNS服務器中,在DNS服務器對查詢請求進行處理之后,服務器會將響應信息返回給DNS解析器�����。
但值得注意的是,響應信息是不會主動發送的����。服務器在沒有接收到查詢請求之前,就已經生成了對應的響應信息,這些回應就應被丟棄����。
丟棄快速重傳數據包
即便是在數據包丟失的情況下,任何合法的DNS客戶端都不會在較短的時間間隔內向同- -DNS服務器發送相同的DNS查詢請求����。如果從相同IP地址發送至同一目標地址的相同查詢請求發送頻率過高,這些請求數據包可被丟棄�����。
啟用TTL
如果DNS服務器已經將響應信息成功發送了���,應該禁 止服務器在較短的時間間隔內對相同的查詢請求信息進行響應���。
對于一個合法的DNS客戶端,如果已經接收到了響應信息,就不會再次發送相同的查詢請求�����。
每一個響應信息都應進行緩存處理直到TTL過期��。當DNS服務器遭遇大查詢請求時,可以屏蔽掉不需要的數據包�。
丟棄未知來源的DNS查詢請求和響應數據
通常情況下,攻擊者會利用腳本對目標進行分布式拒絕服務攻擊( DDoS攻擊) , 而且這些腳本通常是有漏洞的����。因此,在服務器中部署簡單的匿名檢測機制,在某種程度上可以限制傳入服務器的數據包數量��。
丟棄未經請求或突發的DNS請求
這類請求信息很可能是由偽造的代理服務器所發送的,或是由于客戶端配置錯誤或者是攻擊流量����。無論是哪一種情況�,都應該直接丟棄這類數據包�。
非泛洪攻擊(non-flood) 時段,可以創建一個白名單 ,添加允許服務器處理的合法請求信息����。
白名單可以屏蔽掉非法的查詢請求信息以及此前從未見過的數據包��。
這種方法能夠有效地保護服務器不受泛洪攻擊的威脅,也能保證合法的域名服務器只對合法的DNS查詢請求進行處理和響應���。
啟動DNS客戶端驗證
偽造是DNS攻擊中常用的一種技術�。如果設備可以啟動客戶端驗證信任狀,便可以用于從偽造泛洪數據中篩選出非泛洪數據包����。
對響應信息進行緩存處理如果某- -查詢請求對應的響應信息已經存在于服務器的dns緩存之中,緩存可以直接對請求進行處理��。這樣可以有效地防止服務器因過載而發生宕機���。
使用ACL的權限
很多請求中包含了服務器不具有或不支持的信息,可以進行簡單的阻斷設置�����。例如,外部IP地址請求區域轉換或碎片化數據包,直接將這類請求數據包丟棄���。
利用ACL , BCP38及IP信營功能
托管DNS服務器的任何企業都有用戶軌跡的限制,當攻擊數據包被偽造,偽造請求來自世界各地的源地址��。設置-個簡單的過濾器可阻斷不需 要的地理位置的IP地址請求或只允許在地理位置白名單內的IP請求�。
同時,也存在某些偽造的數據包可能來自與內部網絡地址的情況,可以利用BCP38通過硬件過濾清除異常來源地址的請求���。
部署負載均衡通過部署負載均衡( SLB )服務器有效減緩CC攻擊的影響�。通過在SLB后端負載多臺服務器的方式,對DDoS攻擊中的CC攻擊進行防護����。
部署負載均衡方案后,不僅具有CC攻擊防護的作用,也能將訪問用戶均衡分配到各個服務器上,減少單臺服務器的負擔,加快訪問速度��。
使用專有網絡通過網絡內部邏輯隔離,防止來自內網肉雞的攻擊�。
提供余量帶寬通過服務器性能測試,評估正常業務環境下能承受的帶寬和請求數,確保流量通道
不止是日常的量,有-定的帶寬余量可以有利于處理大規模攻擊�����。
服務器加固
在服務器上進行安全加固,減少可被攻擊的點,增大攻擊方的攻擊成本:
確保服務器的系統文件是最新的版本,并及時更新系統補丁���。
對所有服務器主機進行檢查,清楚訪問者的來源��。
過濾不必要的服務和端口����。例如, WWW服務器,只開放80端口,將其他所有端口關閉,或在防火墻上做阻止策略�����。
限制同時打開的SYN半連接數目,縮短SYN半連接的timeout時間,限制SYN/ICMP流量��。
仔細檢查網絡設備和服務器系統的日志����。一旦出現漏洞或是時間變更,則說明服務器可能遭到了攻擊��。
限制在防火墻外與網絡文件共享����。降低黑客截取系統文件的機會,若黑客以特洛伊木馬替換它���,文件傳輸功能無疑會陷入癱瘓���。
充分利用網絡設備保護網絡資源��。在配置路由器時應考慮以下策略的配置:流控����、包過濾�、半連接超時�、垃圾包丟棄,來源偽造的數據包丟棄, SYN閥值,禁用ICMP和UDP廣播���。
通過iptable之類的軟件防火墻限制疑似惡意IP的TCP新建連接,限制疑似惡意IP的連接��、傳輸速率�����。
識別游戲特征,自動將不符合游戲特征的連接斷開�。
防止空連接和假人攻擊,將空連接的IP地址直接加入黑名單���。
配置學習機制����,保護游戲在線玩家不掉線��。例如,通過服務器搜集正常玩家的信息,當面對攻擊時,將正常玩家導入預先準備的服務器,并暫時放棄新進玩家的接入,以保障在線玩家的游戲體驗�����。
商用的DDoS防護服務
針對超大流量的攻擊或者復雜的游戲CC攻擊,可以考慮采用專業的DDoS解決方案����。目前�����,阿里云�����、磐石云�����、騰訊云有針對各種業務場景的DDOS攻擊解決方案��。
目前����,通用的游戲行業安全解決方案做法是在IDC機房前端部署防火墻或者流量清洗的一些設備, 或者采用大帶寬的高防機房來清洗攻擊�。
當寬帶資源充足時,此技術模式的確是防御游戲行業DDoS攻擊的有效方式�����。不過帶寬資源有時也會成為瓶頸:例如單點的IDC很容易被打滿,對游戲公司本身的成本要求也比較高�。
您可根據自己的預算和遭受攻擊的嚴重程度,來決定采用哪些安全措施���。
安全防護有日志留存的可以選擇報網警,前提是你自己的業務沒有涉灰問題��。
報網警有用嗎����?
至于報警�����,肯定有用���,你不報警,警方沒有線索,怎么抓人?
但是����,這個作用不一定立即體現,警方需要時間偵查,需要取證�。
DDoS的特點決定了,如果不在攻擊時取證,證據很快就沒了�。因此要攻擊者反復作案,才好抓��。
對一一個被害人��,只作案一次,或者隨機尋找被害人的情況����,最難抓����。
而且調查涉及多方溝通��、協調,比如被利用的主機的運營者,被害人,可能涉及多地警方的合作等等�。
指望警方減少犯罪分子是可以的,但是指望通過報警拯救你的業務,只能說遠水解不了近渴��。
服務器如何防御ddos
1���。確保服務器的系統文件是最新的版本��,并及時更新系統補丁���。
2��。關閉不必要的服務��。
3�。限制同時打開的syn半連接數目����。
4�����?�?s短syn半連接的time out 時間�����。
5����。正確設置防火墻
禁止對主機的非開放服務的訪問
限制特定ip地址的訪問
啟用防火墻的防ddos的屬性
嚴格限制對外開放的服務器的向外訪問
運行端口映射程序禍端口掃描程序�����,要認真檢查特權端口和非特權端口�。
6�����。認真檢查網絡設備和主機/服務器系統的日志���。只要日志出現漏洞或是時間變更����,那這臺機器就可 能遭到了攻擊���。
7��。限制在防火墻外與網絡文件共享���。這樣會給黑客截取系統文件的機會�,主機的信息暴露給黑客����, 無疑是給了對方入侵的機會����。
ddos防護服務器
ddos防護服務器是HSS對NTPF的訪問請求�����,根據您配置的防護策略進行檢測�����。
如果您配置的防護策略中存在多種常見的防護規則���,例如���,您可以根據需要配置的精準訪問防護規則����。配置防護規則后����,如果想刪除添加的防護規則��,請刪除原配置的防護規則后重新啟用或關閉對應的防護規則���。前提條件已完成企業項目管理�,并完成購買防護配額�����。
選擇方法
一是類型�����,DDoS防御分為很多種��,比如高防云服務器���、高防IP和高防服務器等���,可以根據攻擊大小和使用習慣選擇���,區別不大����。
二是國內防御價格很貴����,其次是香港�����,美國的防御最便宜(海外DDoS防御服務器避免選擇CN2GIA線路)�����。
三是性能���,如果攻擊小���,為了保障網站服務器的性能���,建議選擇國內或者香港��。
四是防御能力�,大型DDoS防御性價比最高的是美國高防服務器�����,國內防御價格貴����,不考慮成本的話�,首選國內�,其次是香港��。
