如何最大限度地保护企业服务器免受攻击?如果我们不能阻止这次袭击,我们可以采取什么措施?分布式拒绝服务是一种完全不同的攻击。你不能阻止黑客这样对你。除非你主动断网,否则它会对你的网站发起DDoS攻击。
Ddos防御,ddos保护
那么我们首先要了解DDoS攻击的三个阶段:
第一阶段是目标确认:黑客将公司网络的IP地址锁定在互联网上。锁定的IP地址可能代表企业的网络服务器、鬼影互联DNS服务器、互联网网关等。这些目标的选择是出于各种目的,比如赚钱(有些人会为黑客入侵一些网站而付费)或者打破乐趣。
第二阶段是准备阶段:在这个阶段,黑客会在没有好的防护系统的情况下入侵互联网上的大量电脑(基本上是网络上的家用电脑,NDSL宽带或者有线电缆是主要手段),黑客在未来会植入必要的工具。
第三阶段是实际攻击阶段:黑客向所有被攻击的计算机(即僵尸计算机)发送攻击命令,命令计算机使用预植入的攻击工具不断向攻击目标发送数据包,使目标无法处理大量数据或占用全部带宽。
聪明的黑客也会让这些僵尸电脑骗过攻击包的IP地址,将攻击目标的IP地址插入包的原始地址。这叫反射攻击。在服务器或路由器看到这些数据包后,它会将收到的响应转发(即反映)到原始IP地址,这将进一步增加到目标主机的数据流。因此,我们无法阻止这种DDoS攻击,但了解了这种攻击的原理,就可以将这种攻击的影响降到最低。
DDoS防御方法:
1.如果只有几台计算机是攻击的来源,并且您已经确定了这些来源的IP地址,您将在防火墙服务器上放置一个ACL(访问控制列表)来阻止这些IP访问。如果可能的话,将web服务器的IP地址更改一段时间,但是如果攻击者通过查询您的DNS服务器来解析您新设置的IP,这种措施将不再有效。
2.如果你确定攻击来自某个特定的国家,可以考虑屏蔽那个国家的IP,至少在一段时间内。
3.监控传入的网络流量。这样就可以知道是谁在访问你的网络,监控异常访客,事后分析日志和源IP。在大规模攻击之前,攻击者可能会使用少量攻击来测试您网络的健壮性。4.为了应对消耗带宽的攻击,最有效(也是最昂贵)的解决方案是购买更多带宽。异常流量由DDoS硬件防火墙清理过滤,数据包定期过滤、数据流指纹检测过滤、数据包内容定制过滤等顶级技术可以准确判断外部访问流量是否正常,进而禁止异常流量过滤。单个负载每秒可以防御800-927万个syn攻击包。
5.您还可以使用高性能负载平衡软件,使用多台服务器,并将其部署在不同的数据中心。
6.在对网络和其他资源使用负载平衡的同时,我们也使用相同的策略来保护域名系统。
7.优化资源使用,提高web服务器的负载能力。比如apache可以用来安装apachebooster插件,鬼影互联集成了清漆和nginx,可以应对流量和内存使用量的突然增加。
8.使用高度可扩展的DNS设备来保护DDoS免受DNS攻击。可以考虑从Cloudflare购买商业解决方案,可以针对DNS或者TCP/IP3第3层到第7层提供DDoS攻击防护。如果想得到更多的服务支持(国外的保安服务一般都不是售后,遇到问题只能提交工单解决,效率不高。),可以考虑选择国内的云安全服务提供商。推荐小蚁云安全,腾讯, 云和和阿里云
9.启用路由器或防火墙的防IP欺骗功能。在CISCO ASA防火墙中配置此功能比在路由器中配置更方便。要在ASDM启用此功能(思科自适应安全设备管理器),只需单击配置中的防火墙,找到反欺骗,然后单击启用。您也可以在路由器中使用访问控制列表来防止IP欺骗。首先为内网创建ACL,然后应用到互联网的接口上。
10.使用第三方服务来保护您的网站。很多公司都有这样的服务,提供高性能的基础网络设施,鬼影互联帮助你抵御拒绝服务攻击。一个月只需要交几百块。
11.注意服务器的安全配置,避免资源耗尽的DDoS攻击。
12.听取专家意见,提前制定应对攻击的应急预案。
13.监控网络和网络流量。如果可能的话,可以配置多个分析工具,比如Statcounter和Google analytics,这样可以更直观地了解流量变化模式,从中获取更多信息。14.保护DNS,避免DNS放大攻击。
15.在路由器上禁用ICMP。仅在需要测试时打开ICMP。配置路由器时还会考虑以下策略:流量控制、包过滤、半连接超时、垃圾数据包丢弃、使用伪造源的数据包丢弃、SYN阈值、禁用ICMP和UDP广播。
16.分布式集群防御:这是网络安全社区防御大规模DDoS攻击最有效的方式。分布式集群防御的特点是每个节点服务器配置多个IP地址,每个节点可以抵御不低于10G的DDOS攻击。如果一个节点受到攻击,无法提供服务,系统会根据优先级设置自动切换到另一个节点,将攻击者的所有数据包返回到发送点,使攻击源瘫痪,从更深层次的安全防护角度影响企业的安全执行决策。
17.云防御:目前很多企业用这种方式防御大攻击。一方面可以通过云进行调度,另一方面操作非常简单,可以及时应对各种类型的攻击性DDoS攻击。但缺点是攻击量大的时候代价会更高,这要看企业对DDoS攻击的衡量,失败的代价更大,还是花钱对付d的代价更大。
最后,多了解DDOS攻击的类型和手段,针对每次攻击制定应急预案。