傾囊相授DDoS防護十二式

2024-06-28 16:01:14

字體：大中小

來源：轉載

供稿：網友

DDoS攻擊對于在線業務如同噩夢。從BBC到Twitter，再到川普的網站，去年的網絡攻擊不絕于耳。現在高科技產品千變萬化，物聯網設備備受矚目，DDoS攻擊已經是過去幾年的數倍，未來也不容樂觀。當下，企業要在高度發達的互聯網世界中謹慎工作，中盈優創旗下安全品牌云端衛士有一些方式可以進行DDoS防護。

制定應急響應計劃

不要等攻擊發生后才想起來制定方案。創建一個系統來預防響應潛在的DDoS攻擊。雖然無法實現完全處理掉DDoS攻擊，但是可以很大程度上減緩風險。有效的行動方案由一下一些內容組成：

應急響應計劃

不管網站因為什么宕掉發送告警

防止任何惡意活動，及時清除日志

聯系ISP了解免費和付費DDoS防護計劃

確定系統DNS TTL (time-to-live)

文檔化IT基礎架構并采用資產清單創建網絡拓撲圖

購買DDoS防護產品減少攻擊損失

……

監測流量水平

DDoS攻擊會讓服務器遭受前所未有的流量，遠遠超過預期和想象。實際上，對于任何進行攻擊的黑客而言理想的時間可能就是類似圣誕節這樣，本來就會有大流量的節日。混雜真實流量，將服務器壓垮，最終導致服務器崩潰。因此注意到DDoS攻擊最佳的途徑就是找出網站上的反常流量。如果通常是十分鐘500個訪客，要是一分鐘就有4000個肯定就是不正常的，需要出發告警。設置合適的基線有助于企業遠離DDoS攻擊。

關注連接設備

物聯網是現在的熱門話題。從可穿戴設備到零售、醫療等等，物聯網影響著每一個領域，但是這種迅速增長的技術也被攻擊者納入囊中。黑客會找到自己的方式用這些連接設備破壞服務。關注這些連接設備有助于度過DDoS劫難。健壯的DDoS防護需要定期更改設備密碼，不使用時切斷設備。

確保具備額外帶寬

更多的帶寬比一些看似合理的需求更有意義，因為這些帶寬提供了額外的時間來識別和處理攻擊。服務器也能因此應對前所未有的流量劇增，而且在某種程度上降低攻擊的強度。

如果你擁有200%或600%的帶寬，停止DDoS攻擊當然是不一定的，但是能夠提供重要的減緩攻擊的時間資源。

明顯攻擊源頭丟包

DDoS攻擊有可能對業務造成極大破壞，需要不惜任何代價停止這些錯誤來源的流量。注意訪問列表邊界，防止惡意活動。此外命令路由器丟掉明顯的ip攻擊源頭的數據包。可以限制路由器速率加多一層保護。攻擊的規模越來越大，這個策略只能拖延時間和延遲威脅的增加。

購買專屬服務器

購買一個專用的主機服務器將提供更多的帶寬、控制安全和無數的資源。專用服務器作為第一層防線，可以成功運行企業網站與成千上萬的合法的客戶。無疑專用服務器成本較高，但帶來的好處明顯大于由于缺乏DDoS保護所造成的損失。我們的DDoS防護專屬服務器提供了多達80 Gbps的防護能力，同時提供其他的選擇。

鎖定偽造IP地址

防止偽造IP地址導致的DDoS攻擊需要關注一些內容：

創建訪問控制列表(ACL)用一個特定的源IP拒絕所有入站流量。